Universidad Mariano Gálvez de Guatemala

Facultad de Ingeniería en Sistemas de Información

Maestría en Seguridad de Sistemas de Información

Principios de Seguridad informática

Ing. Juan Manuel Lemus Ponciano

PROYECTO FINAL

Primer entregable

Ana Paula Vásquez Chacón 1493-16-1037

Jorge Alexander Barrios Paz 1493-16-16141

Williams Neftalí Sánchez Barahona 1493-16-7345

Sheryl María Chew Echeverría 1493-19-21511

Plan Sabatino, Sección “A”

26 de enero de 2024
 Índice de Tablas

Tabla 1. Activo – Laptop .......................................................................................... 7

Tabla 2. Activo - Servidor ........................................................................................ 8
Tabla 3. Activo - Veeam ........................................................................................... 8
Tabla 4. Activo - Equipo de red local ....................................................................... 9
Tabla 5. Activo - Equipo de proyección ................................................................. 10
Tabla 6. Activo - Eset Endpoint Security ................................................................ 10
Tabla 7. Activo - Adobe ........................................................................................... 11
Tabla 8. Activo - Dispositivos Móviles ..................................................................... 11
Tabla 9. Activo - Servidor Productivo ..................................................................... 12
Tabla 10. Activo – Servidor QA.............................................................................. 13
Tabla 11. Activo - Rac con Switch ......................................................................... 13
Tabla 12. Activo - UPS .......................................................................................... 14
Tabla 13. Activo - Aire de precisión ....................................................................... 14
Tabla 14. Activo - Equipo de computo ................................................................... 15
Tabla 15. Activo - Equipo de Telefonía .................................................................. 15
Tabla 16. Activo - SAF ........................................................................................... 16
Tabla 17. Activo - Cupones de Combustible .......................................................... 17
Tabla 18. Activo - Control y Registro del Personal ................................................ 17
Tabla 19. Activo - Intranet ...................................................................................... 18
 Introducción

La presente documentación ofrece una panorámica completa sobre la

institución financiera, comenzando con una descripción detallada de su misión,
visión, objetivos, historia y política nacional. A continuación, se presenta un
inventario exhaustivo de los activos críticos de la organización.

De igual manera se aborda incidentes previos de seguridad, destacando

vulnerabilidades relevantes como la inyección SQL y los ataques de phishing con
ransomware. Este análisis subraya la imperiosa necesidad de implementar un
Sistema de Gestión de Seguridad de la Información (SGSI) para salvaguardar
datos sensibles, cumplir con regulaciones aplicables, gestionar riesgos de manera
efectiva y prevenir posibles fraudes.

Asimismo, se establecen objetivos de seguridad prioritarios y específicos

para orientar las acciones y esfuerzos hacia el fortalecimiento de la postura de
seguridad.
 Capítulo 1 - Documentos de la empresa

1.1 Documentación

1.1.1 Misión

Proporcionar servicios financieros de alta calidad y soluciones

innovadoras que satisfagan las necesidades de los clientes, contribuyendo
al desarrollo económico y social de Guatemala y la región.

Esto implica un compromiso con la excelencia en el servicio al

cliente, la integridad en todas las operaciones, la responsabilidad social
corporativa y la generación de valor para todos los grupos de interés,
incluyendo accionistas, empleados y la comunidad en general, buscando
ser líder en el mercado financiero, impulsando la innovación y la tecnología
para brindar soluciones financieras efectivas y accesibles.

1.1.2 Visión

Ser el banco líder en Guatemala y una referencia destacada en la

región centroamericana, reconocido por la excelencia en el servicio al
cliente, innovación constante, solidez financiera y compromiso con el
desarrollo sostenible.

Aspirando a ser el socio financiero preferido por individuos, empresas

e instituciones, proporcionando soluciones integrales y adaptadas a las
necesidades cambiantes del mercado, mientras mantienen un fuerte
enfoque en la responsabilidad social corporativa y la generación de valor
para todos los grupos de interés.

1.1.3 Objetivo

Consolidar y fortalecer la posición como líder en el sector financiero

guatemalteco y regional, mediante la provisión de servicios financieros de
calidad, innovadores y accesibles para los clientes. Buscando mantener un
crecimiento sostenible y rentable, centrado en la satisfacción del cliente, la
eficiencia operativa, la gestión responsable de riesgos y el desarrollo
integral de los colaboradores, mientras contribuyen de manera significativa
al desarrollo económico y social de Guatemala y la región.

1.1.4 Historia

Abriendo brecha en el financiamiento de vivienda y el ahorro, este banco

cobra vida en 1962. Más tarde en 1990, un grupo de empresarios
vanguardistas daba vida al Banco. La nueva institución se caracterizaba por
su dinamismo, enfoque de servicio al cliente, productos innovadores.

Para llegar a tener un acercamiento a la población a quien estaba

dirigido el proyecto especialmente para la captación de recursos era
necesaria la apertura de agencias bancarias. De manera que se comenzó
con la apertura de diversas agencias en la capital y en las principales
cabeceras departamentales. Dio rápidamente la necesidad de contar con
vehículos para transportar valores para garantizar el suministro de efectivo
a cada punto de servicio.

El año 2001 concretan una alianza estratégica para convertirse en

Grupo Financiero y en 2006 se convierte en el primer banco guatemalteco
en crecer hacia Centroamérica. Con operaciones en El Salvador, Costa
Rica y en Panamá, reafirmando su visión de: Crecer y hacer crecer,
generando riqueza”.

1.1.5 Política Nacional

El mercado financiero internacional ha ofrecido a las instituciones

bancarias de Guatemala recursos de carácter permanente, calificados como
capital y se ha estudiado la posibilidad de aceptar estos recursos dentro del
patrimonio de las instituciones y a esta clase de recurso se la ha
denominado capital hibrido. Estos son bonos con vencimiento perpetuo y en
concordancia a las normas de Basilea. Los mismos pueden ser utilizados
en una proporción al capital primario de los bancos.

La modernización financiera obligó a los grupos bancarios en donde

los mismos se relacionaban con las diferentes empresas que trabajaban
para llenar los diferentes servicios que ofrecían al público:

• Operaciones de leasing (arrendamiento financiero)

• Casa de bolsa
• Tarjetas de crédito
• Sociedades bancarias de inversión
• Bancos hipotecarios
• Comerciales en plazas locales
• Offshore (Bancos hipotecarios y comerciales fuera de plaza).

Y con esta legislación se obligó a revelar todas las empresas del

grupo y a brindar información de cada una de ellas, así como a su
incorporación (grupo financiero).

1.1.6 Proyección de mercado

Los objetivos trazados por los accionistas de la institución se

resumen en 4 principales aspectos:

Crecimiento: para mantener un crecimiento constante se ha

requerido la diversificación geográfica y la penetración en diversos
segmentos de la población, a la vez el diseño de nuevos productos y
servicios.

Rentabilidad: en lo que se refiere a rentabilidad se ha mantenido un

estricto monitoreo del gasto, una alineación entre los pagos variables a
ejecutivos y empleados con las metas trimestrales.
 Servicio: no es más que un deseo de servir, un espíritu de atender y
una necesidad de resolver, y para lograrlo hay que cultivarlo en las mentes
de nuestros subordinados.

Balance blindado: se monitorea diariamente el riesgo de liquidez con

el calce de los vencimientos, obligaciones y del vencimiento de las
inversiones.

1.2 Inventario de activos críticos

Lista detalla de activos vitales dentro de la organización, estos activos son

esenciales para el funcionamiento continuo y exitoso de la empresa, cuya pérdida,
daño o falta de disponibilidad podría tener un impacto significativo en las
operaciones o capacidad al cumplir con los objetivos comerciales.

Esto ayuda a comprender mejor los activos y a tomar decisiones informadas

sobre cómo proteger y mitigar posibles amenazas o incidentes.

ACTIVO
Nombre Laptop
Descripción Computadora portátil para empleados
Criticidad Medio
Ambiente Desarrollo
Sistema Involucrado Ninguno
Tipo de Activo Físico
Tipo de Ubicación Física
Nivel de
Confidencial de los empleados
Confidencialidad
Propietario del
Área de Data Analytics
Activo
VALORIZACIÓN
Proteger la información almacenada en el dispositivo
Confidencialidad
evitando el acceso a personas no ajenas al usuario.
La información almacenada en el dispositivo no debe
Integridad
ser alterada de manera no autorizada.
Acceso y utilización de los recursos del dispositivo
Disponibilidad
cuando sea necesario, sin interrupciones.
Tabla 1. Activo – Laptop
 ACTIVO
Nombre Servidor
Descripción Computadora capaz de atender el servicio de PowerBi
Criticidad Muy Alto
Ambiente Productivo
Sistema Involucrado PowerBi
Tipo de Activo Información
Tipo de Ubicación Física
Nivel de
Confidencial de la compañía
Confidencialidad
Propietario del
Área de Data Analytics
Activo
VALORIZACIÓN
Proporcionar diversas características y controles de
Confidencialidad seguridad para proteger la confidencialidad de los
datos.
Utilizando cifrados en datos, control de versiones y
Integridad autenticaciones seguras definiendo roles y permisos a
los usuarios.
Arquitectura redundante, balanceo de cargas entre el
Disponibilidad
servidor para una mejor utilización del hardware
Tabla 2. Activo - Servidor

ACTIVO
Nombre Veeam
Software que garantiza la resiliencia de datos para su
Descripción
negocio a través del Backup de datos seguro
Criticidad Muy Alto
Ambiente Productivo
Sistema Involucrado Veeam Backup
Tipo de Activo Software
Tipo de Ubicación Lógica
Nivel de
Confidencial de la compañía
Confidencialidad
Propietario del Activo Área de Operaciones de Sistemas, IOT
VALORIZACIÓN
Autenticación mediante cuentas de usuario, cifrado de
Confidencialidad datos en reposo como en tránsito para las copias de
seguridad almacenadas.
Mantener la versión actualizada en conjunto con
Integridad
parches de seguridad
Equipo de monitoreo continuo y copias de seguridad
Disponibilidad
periódicamente para restaurar dado una interrupción
Tabla 3. Activo - Veeam
 ACTIVO
Nombre Equipo de red local
Equipo utilizado para realizar pruebas de extracción y
Descripción
transformación de data
Criticidad Medio
Ambiente Desarrollo
Sistema Involucrado Ninguno
Tipo de Activo Información
Tipo de Ubicación Física
Nivel de
Confidencial de la compañía
Confidencialidad
Propietario del
Área de Data Analytics
Activo
VALORIZACIÓN
Políticas de seguridad que aborden el manejo y la
Confidencialidad
protección de información financiera confidencial.
Utilizar firmas digitales para verificar la autenticidad e
Integridad integridad de documentos financieros y transacciones
electrónicas.
Contar con sistemas de respaldo de energía,
Disponibilidad mantenimientos preventivos regulares en la PC con sus
debidas actualizaciones al software.
Tabla 4. Activo - Equipo de red local

ACTIVO
Nombre Equipo de proyección
Descripción Cañoneras, apuntadores, pantalla de proyecciones
Criticidad Muy bajo
Ambiente Capacitaciones
Sistema Involucrado Projection
Tipo de Activo Físico
Tipo de Ubicación Física
Nivel de
No clasificado
Confidencialidad
Propietario del
Área de Soporte Técnico
Activo
VALORIZACIÓN
El acceso a los equipos debe de ser solamente a los
técnicos para brindar apoyo en reuniones y este no
Confidencialidad
debe de estar a la mano de otra persona fuera de área
asignada.
Los equipos deben de estar en correcta funcionalidad,
Integridad almacenados en un lugar seguro bajo vigilancia de los
técnicos del área
 La utilización de los equipos debe estar disponible al
Disponibilidad momento de ser solicitados para actividades
específicas
Tabla 5. Activo - Equipo de proyección

ACTIVO
Nombre ESET Endpoint Security
Antivirus, diseñados para detectar, prevenir y eliminar
Descripción
software malicioso.
Criticidad Muy Alto
Ambiente Producción
Sistema Involucrado Eset, sistemas operativos
Tipo de Activo Software
Tipo de Ubicación Lógico
Nivel de
Confidencial de la compañía
Confidencialidad
Propietario del
Área de Ciberseguridad, IOT
Activo
VALORIZACIÓN
Los accesos al sistema de Eset estar permitidos solo
para los administradores y técnicos encargados de
Confidencialidad
activar y corregir errores en el funcionamiento del
antivirus.
Los administradores de las licencias extendidas al
personal deberán de velar por el correcto
Integridad
funcionamiento del antivirus al igual que los usuarios
procuren no dar permiso a software dañinos.
El encargado de IT deberá de mantener al día el
licenciamiento activo, y contactar con los proveedores
Disponibilidad
en caso de problemas para solucionarlos de manera
inmediata.
Tabla 6. Activo - Eset Endpoint Security

ACTIVO
Nombre Adobe
Descripción Utilizado para la dirección de telecomunicaciones
Criticidad Alto
Ambiente Producción
Sistema Involucrado Adobe Creative Suite
Tipo de Activo Software
Tipo de Ubicación Lógico
Nivel de
Confidencial de la compañía
Confidencialidad
Propietario del
Área de Soporte Técnico
Activo
 VALORIZACIÓN
Los usuarios que tienen acceso al sistema deben de
realizar un correcto uso, enfocado a realizar tarea para
Confidencialidad
la compañía, sin compartir el acceso a personas
externas.
Las versiones de este software deben de estar
Integridad actualizadas, procurando no añadir herramientas que
puedan dañar el funcionamiento del software.
El software debe de estar disponible al momento de
Disponibilidad
que un usuario deba de utilizarlo.
Tabla 7. Activo - Adobe

ACTIVO
Nombre Dispositivos Móviles (Smartphone)
Diseñados para la comunicación inmediata entre los
Descripción
directores de cada área
Criticidad Muy Alto
Ambiente Producción
Sistema Involucrado Android
Tipo de Activo Físico
Tipo de Ubicación Física
Nivel de
Confidencial de la compañía
Confidencialidad
Propietario del
Gerencia General
Activo
VALORIZACIÓN
Los dispositivos móviles son de uso laboral solo para
Confidencialidad los directores de área, no está permitido utilizarlos para
uso personal.
Los dispositivos móviles deben conservarse en buen
Integridad estado físico, usándolos de forma adecuada y no
exponerlos a daños físicos.
Los dispositivos móviles deben de usarse para acceder
Disponibilidad
o comunicarse de manera inmediata con la compañía.
Tabla 8. Activo - Dispositivos Móviles

ACTIVO
Nombre Servidor Productivo
Se encuentran todos los servidores físicos, en el cual
Descripción se almacena información de la institución y de los
sistemas que funcionan actualmente.
Criticidad Muy Alto
Ambiente Producción
Servidor de correos, servidor VoIP, SAN, NAS, Active
Sistema Involucrado
Directory, sistemas varios de producción
Tipo de Activo Físico, intangible
Tipo de Ubicación Físico
Nivel de
Confidencial de la institución
Confidencialidad
Propietario del
Área de IOT
Activo
VALORIZACIÓN
El jefe del Departamento de Tecnología, juntos con los
encargados de las áreas de desarrollo y soporte son
Confidencialidad
los encargados al acceso a los servidores y a su
información.
La información almacenada en los servidores se
Integridad mantiene íntegra debido a las constantes creaciones de
respaldo.
Los servidores se encuentran con la disponibilidad para
Disponibilidad almacenar información de los usuarios y de los
sistemas.
Tabla 9. Activo - Servidor Productivo

ACTIVO
Nombre Servidor QA
Se encuentran todos los servidores físicos, en el cual
Descripción se almacena información de la institución y de los
sistemas que funcionan actualmente.
Criticidad Muy Alto
Ambiente Desarrollo y pruebas
servidor de correos, servidor VoIP, SAN, NAS, Active
Sistema Involucrado Directory, sistemas varios de producción, prueba y
desarrollo.
Tipo de Activo Físico, intangible
Tipo de Ubicación Físico
Nivel de
Confidencial de la institución
Confidencialidad
Propietario del
Área de QA y Desarrollo
Activo
VALORIZACIÓN
El jefe del Departamento de Tecnología, juntos con los
encargados de las áreas de desarrollo y soporte son
Confidencialidad
los encargados al acceso a los servidores y a su
información.
La información almacenada en los servidores se
Integridad mantiene codificada para pruebas de los nuevos
sistemas o mejoras a implementar.
 Los servidores se encuentran con la disponibilidad para
Disponibilidad realizar pruebas y desarrollos de nuevos o mejoras a
los sistemas.
Tabla 10. Activo – Servidor QA

ACTIVO
Nombre Rac con SWITCH
Son los encargados de distribuir acceso a internet a los
usuarios para que puedan navegar dentro y fuera de la
Descripción
institución para la utilización de sistemas internos y
externos.
Criticidad Medio
Ambiente Producción
Sistema Involucrado
Tipo de Activo Físico
Tipo de Ubicación Físico
Nivel de
Confidencial de la Institución
Confidencialidad
Propietario del
Área de Infraestructura
Activo
VALORIZACIÓN
El jefe del departamento junto con el encargado de
Confidencialidad rede e infraestructura son los encargados de mantener
la confidencialidad de cada switch y el manejo de este.
El único manejo de la configuración de cada switch lo
Integridad
realiza el encargado de redes.
Estos dispositivos no se encuentran disponibles para la
Disponibilidad
utilización de los usuarios.
Tabla 11. Activo - Rac con Switch

ACTIVO
Nombre UPS
Estos son los encargados de soportar un apagón de
energía eléctrica en la institución para que los sistemas
Descripción sigan funcionando correctamente y/o se obtenga la
posibilidad de guardar lo trabajado y apagar
correctamente los equipos.
Criticidad Muy Alto
Ambiente Producción
Sistema Involucrado
Tipo de Activo Físico
Tipo de Ubicación Físico
Nivel de
Confidencial de la institución
Confidencialidad
Propietario del
Área de Infraestructura
Activo
VALORIZACIÓN
El jefe del departamento administrativo y el jefe del
Confidencialidad departamento de tecnología de información, son los
encargados de salvaguardar los equipos.
Los equipos de mantienen su integridad debido a que
Integridad se le realizan mantenimientos preventivos y correctivos
constantemente.
Estos se encuentran disponibles para el uso de los
Disponibilidad
empleados al momento de una falla eléctrica.
Tabla 12. Activo - UPS

ACTIVO
Nombre Aire de precisión
Descripción Es el encargado de mantener el Data Center con clima
adecuado para evitar un sobrecalentamiento de
equipos.
Criticidad Muy alto
Ambiente Producción
Sistema Involucrado
Tipo de Activo Físico
Tipo de Ubicación Físico
Nivel de
Confidencial de la institución
Confidencialidad
Propietario del
Área de IOT
Activo
VALORIZACIÓN
El jefe de IT es el encargado de la verificación del clima
Confidencialidad en el área de data center para el correcto
funcionamiento de los dispositivos instalados.
El aire de precisión debe de conservarse en constante
Integridad
mantenimiento para su funcionamiento correcto
Se debe de contar con la disponibilidad del aire de
Disponibilidad precisión y con ello evitar sobrecalentamiento de
equipos en data center.
Tabla 13. Activo - Aire de precisión

ACTIVO
Nombre Equipo de Computo
Es el equipo que utilizan los usuarios para poder
Descripción ingresar a los diversos sistemas y realizar cada una de
sus actividades diarias.
Criticidad Medio
Ambiente Producción
Sistema Involucrado Windows 10 y 11
Tipo de Activo Físico
Tipo de Ubicación Físico
Nivel de
Confidencial de la institución
Confidencialidad
Propietario del
Área de Recursos Humanos
Activo
VALORIZACIÓN
Resguardar la información que el usuario almacena en
Confidencialidad
el equipo asignado con su respectivo usuario.
La información deberá mantenerse íntegra ya que solo
Integridad
el usuario podrá alterar la información.
Los equipos se encuentran disponibles para el usuario
Disponibilidad
con toda su información.
Tabla 14. Activo - Equipo de computo

ACTIVO
Nombre Equipo de telefonía
Este equipo se utiliza para realizar la conexión VoIP y
Descripción dar acceso a los usuarios a internet por medio del
mismo a través del switch
Criticidad Medio
Ambiente Producción
Sistema Involucrado
Tipo de Activo Físico
Tipo de Ubicación Físico
Nivel de
Confidencial de la institución
Confidencialidad
Propietario del
Área de Recursos Humanos
Activo
VALORIZACIÓN
Los dispositivos de telefonía son de uso laboral solo
Confidencialidad para todos los usuarios y realizar llamadas internas y
externas pero el uso único de la institución.
Los usuarios son los encargados de darle un buen uso
Integridad
a la telefonía dentro de la institución.
los teléfonos se encuentran disponibles para el uso de
Disponibilidad
todos los usuarios.
Tabla 15. Activo - Equipo de Telefonía

ACTIVO
Nombre SAF
Es un sistema auxiliar de fiscalización es el encargado
Descripción
de brindar un mejor control sobre todos los
 establecimientos que se encuentran pendientes del
traslado del impuesto.
Criticidad Muy Alto
Ambiente Producción y pruebas
Sistema Involucrado
Tipo de Activo Intangible
Tipo de Ubicación Lógico
Nivel de
Confidencial de la institución
Confidencialidad
Propietario del
Área de Fiscalización
Activo
VALORIZACIÓN
Los accesos al SAF únicamente deben estar permitidos
Confidencialidad al personal de dicho departamento para almacenar
información diaria realizada.
El jefe del departamento deberá velar el correcto
Integridad
ingreso de la información almacenada.
El software deberá estar siempre disponible para
Disponibilidad
realizar actividades diarias.
Tabla 16. Activo - SAF

ACTIVO
Nombre Cupones de Combustible
El sistema es creado para tener una mejor
Descripción
administración de cada cupón de combustible.
Criticidad Muy Alto
Ambiente Producción y pruebas
Sistema Involucrado
Tipo de Activo Intangible
Tipo de Ubicación Lógico
Nivel de Confidencial de la institución
Confidencialidad

Propietario del
Área Administrativa, Sección de Transportes
Activo

VALORIZACIÓN
La información que se encuentra almacenada e
ingresada dentro del sistema es únicamente para el
Confidencialidad
uso confidencial de los encargados al acceso al
sistema.
El jefe del departamento administrativo deberá velar
Integridad por el correcto uso para la creación de solicitudes y
liquidaciones de cupones.
 Este se encuentra disponible solo a los encargados de
Disponibilidad cada departamento, sección o unidad que requiere
combustible.
Tabla 17. Activo - Cupones de Combustible

ACTIVO
Nombre Control y Registro del Personal
Este sistema fue diseñado para el departamento de
recursos humanos, para poder llevar un control sobre
Descripción
cada colaborador, teniendo en cuenta el renglón al que
pertenece.
Criticidad Muy Alto
Ambiente Producción y pruebas
Sistema Involucrado
Tipo de Activo Intangible
Tipo de Ubicación Lógico
Nivel de
Confidencial de la institución
Confidencialidad
Propietario del
Área de Recursos Humanos
Activo
VALORIZACIÓN
La información que se encuentra almacenada e
ingresada dentro del sistema es únicamente para el
Confidencialidad
uso confidencial del departamento de recursos
humanos y de la institución.
El jefe de la sección de acciones del personal es el
Integridad encargado de velar por la integridad de la información
proporcionada por los colaboradores.
Este se encuentra disponible para la actualización de
Disponibilidad
datos de los empleados.
Tabla 18. Activo - Control y Registro del Personal

ACTIVO
Nombre INTRANET
Es un sistema en el que se comparte información a los
Descripción usuarios finales y se encuentran los accesos a los
sistemas internos y externos de la institución.
Criticidad Muy Alto
Ambiente Producción y pruebas
Sistema Involucrado
Tipo de Activo Intangible
Tipo de Ubicación Lógico
Nivel de
Confidencial de la institución
Confidencialidad
Propietario del
Institución (todas las áreas)
Activo
VALORIZACIÓN
Todos los usuarios tienen acceso a su respectivo
Confidencialidad software que deberán utilizar para realizar sus
actividades cotidianas.
Las versiones del software deben de estar actualizadas
Integridad ya que se almacena información en los sistemas a
utilizar diariamente.
Se deberá tener la disponibilidad para que todos los
Disponibilidad usuarios puedan utilizar en horario laboral o fuera de
este.
Tabla 19. Activo - Intranet
 Capítulo 2 - Antecedentes y Justificación

2.1 Análisis de incidentes pasados

2.1.1 Informe de análisis de incidentes con lecciones aprendidas

Informe de Incidente de Inyección SQL por medio de un Sistema

Web
Código: In-001-2023
Elaborado Por: Aprobado por: Fecha de Aprobación:
Versión: 1.0
DIT jefe IT 02-11-2023

Resumen Ejecutivo

Este informe detalla un incidente de ciberseguridad relacionado con

una inyección SQL que afecto el sistema web de la institución. El incidente
se detectó el 28/10/2023 y se tomaron medidas inmediatas para contener el
riesgo y mitigar cualquier impacto adicional.

El objetivo principal de este informe es analizar las causas del

incidente, evaluar su impacto y proponer medidas correctivas para prevenir
incidentes similares en el futuro.

Descripción del Incidente

El 28 de octubre de 2023, se detectó una actividad inusual en el

sistema web de la institución, tras una investigación inicial se identificó que
los ataques habían explotado una vulnerabilidad de inyección SQL para
obtener acceso no autorizado a la base de datos subyacente del sistema.

Investigación y análisis

Método de ataque: Los atacantes utilizaron técnicas de inyección

SQL para manipular consultas de base de datos a través de los campos de
entrada del sistema web.

Se identificaron patrones de ataque consistentes con intentos de

extracción de datos confidenciales y manipulación de la base de datos.
 Alcance del ataque: Se determino que los atacantes lograron
acceder a datos sensibles almacenados en la base de datos incluyendo
información de usuario y datos transaccionales.
No se encontraron evidencias de acceso a sistemas fuera del ámbito
del sistema web comprometido.

Impacto del incidente

Impacto Operacional: El incidente afecto la disponibilidad del

sistema web durante 48 horas.

Se interrumpieron las operaciones normales del sistema lo que

resulto en una disrupción de los servicios para los usuarios finales.

Compromiso de datos: Se comprometieron datos sensibles

almacenados en la base de datos, incluyendo información personal de
usuarios y registros transaccionales.

Se evalúa el alcance completo del compromiso de datos para

notificar a los usuarios afectados y cumplir con las regulaciones de
protección de datos.

Medidas tomadas y recomendaciones

Contención y remediación: Se aplicaron parches de seguridad y se

corrigieron las vulnerabilidades de inyección SQL en el sistema web
afectado.

Se realizo una revisión exhaustiva de todos los sistemas y

aplicaciones web para identificar posibles vulnerabilidades similares.

Mejoras en la seguridad: Se recomienda implementar medidas

adicionales de seguridad, como la validación de entrada de datos, el uso de
parámetros preparados en consultas SQL y la aplicación de listas blancas
de caracteres en campos de entrada.
 Concientización y capacitación: Se llevará a cabo una campaña de
concientización sobre seguridad para todo el personal, enfocada en la
importancia de proteger contra ataques de inyección SQL y otras amenazas
comunes.

Conclusiones

El incidente de inyección SQL resalto la importancia de mantener una

postura de seguridad robusta en todos los sistemas web. Se están
implementando medidas correctivas y preventivas para mitigar futuros
riesgos y garantizar la integridad y seguridad de los datos de la
organización

Este informe proporciona una visión detallada del incidente de

seguridad, las acciones tomadas y las recomendaciones para mejorar la
seguridad del sistema web afectado y prevenir incidentes similares en el
futuro.

Informe de incidente Phishing y Ransomware

Código: In-001-2024
Elaborado Por: Aprobado Fecha de Aprobación:
Versión: 1.0
DIT por: jefe IT 15-01-2023

Resumen ejecutivo

Este informe documenta un incidente de seguridad que involucra una

campaña de phishing que resultó en la propagación de ransomware dentro
de la red de la organización. El incidente se detectó el 12 de enero de 2024
y se tomaron medidas inmediatas para contener el riesgo y mitigar más
impactos. El propósito de este informe es analizar las causas del incidente,
evaluar su impacto y proponer medidas correctivas y preventivas para
fortalecer la seguridad de la organización.
Descripción del incidente

El 12 de enero de 2024, varios empleados de la organización

recibieron correos electrónicos de phishing que parecían provenir de
fuentes legítimas y solicitaban acciones como hacer clic en enlaces
maliciosos o descargar archivos adjuntos. Algunos empleados cayeron en la
trampa y abrieron los archivos adjuntos, lo que llevó a la descarga e
instalación de ransomware en sus sistemas.

Investigación y análisis

Método de ataque: La campaña de phishing se llevó a cabo

mediante el envío masivo de correos electrónicos fraudulentos, diseñados
para engañar a los empleados y hacer que divulguen información
confidencial o descarguen archivos maliciosos.

Los archivos adjuntos en los correos electrónicos de phishing

contenían ransomware que se activó al abrirse, cifrando los archivos en los
sistemas comprometidos.

Alcance del ataque: La propagación del ransomware resultó en la

cifrado de archivos en múltiples sistemas de la red, incluyendo servidores
de archivos y estaciones de trabajo.

Se detectaron intentos de extorsión por parte de los atacantes,

exigiendo pagos de rescate para descifrar los archivos afectados.

Impacto del incidente

Impacto operacional: El incidente causó una interrupción

significativa en las operaciones normales de la organización, con la pérdida
de acceso a archivos críticos y sistemas importantes.

Se necesitaron 72 horas para contener y mitigar el incidente, lo que

resultó en una pérdida de productividad y recursos.
 Perdida de datos y recuperación: Se identificaron datos sensibles
cifrados por el ransomware, incluyendo documentos confidenciales y
archivos de clientes.
Se implementaron medidas de recuperación de datos para restaurar
los sistemas afectados a un estado operativo seguro.

Medidas tomadas y recomendaciones

Contención y remediación: Se tomaron medidas inmediatas para

contener la propagación del ransomware y aislar los sistemas afectados de
la red.
Se implementaron procedimientos de recuperación de datos para
restaurar los archivos cifrados desde copias de seguridad confiables.
Mejoras en la Concientización y Entrenamiento: Se recomienda
reforzar la formación y concienciación del personal sobre la detección de
correos electrónicos de phishing y la importancia de no abrir enlaces o
archivos adjuntos sospechosos.
Reforzamiento de la Seguridad de TI: Se están implementando
medidas adicionales de seguridad, como filtros de correo electrónico
mejorados, soluciones antivirus avanzadas y parches de seguridad
actualizados, para prevenir futuros incidentes similares.

Conclusiones

El incidente de phishing y ransomware subraya la importancia crítica

de la seguridad cibernética en la organización. Se toman medidas para
fortalecer las defensas de seguridad y mejorar la concienciación del
personal, para prevenir futuros incidentes y proteger los activos críticos de
la organización.
Identificación de vulnerabilidades y brechas de seguridad pasadas

Revisión de Registros de Incidentes Anteriores

Analizar registros de incidentes de seguridad anteriores puede
proporcionar información valiosa sobre vulnerabilidades y brechas que la
organización ha experimentado en el pasado. Estos registros pueden incluir
informes de incidentes, registros de auditoría, registros de seguridad de
sistemas y cualquier documentación relacionada con incidentes anteriores.
Auditorías de Seguridad y Evaluaciones de Vulnerabilidades
Realizar auditorías de seguridad periódicas y evaluaciones de
vulnerabilidades puede ayudar a identificar posibles brechas de seguridad
pasadas. Estas evaluaciones pueden incluir análisis de penetración,
pruebas de intrusión, escaneos de vulnerabilidades y evaluaciones de
seguridad de aplicaciones.
Revisión de Parches y Actualizaciones de Seguridad
Analizar el historial de parches y actualizaciones de seguridad
aplicadas a sistemas y software en la organización puede revelar
vulnerabilidades previamente identificadas y abordadas. Esto puede incluir
revisar registros de cambios, registros de actualizaciones de software y
bases de datos de vulnerabilidades conocidas.
Análisis de Informes de Seguridad y Avisos Públicos
Mantenerse al día con los informes de seguridad y los avisos
públicos de vulnerabilidades conocidas en productos y sistemas utilizados
por la organización puede ayudar a identificar brechas de seguridad
pasadas. Esto incluye revisar informes de vulnerabilidades de
organizaciones como el Centro de Coordinación de Respuesta a
Emergencias Informáticas (CERT), el National Vulnerability Database (NVD)
y otros proveedores de seguridad.
 Entrevistas y Encuestas con Personal de TI y Seguridad
Realizar entrevistas y encuestas con el personal de TI y seguridad
puede proporcionar información valiosa sobre vulnerabilidades y brechas de
seguridad pasadas. Esto puede incluir preguntar sobre incidentes
anteriores, problemas de seguridad conocidos y áreas de preocupación
identificadas por el personal de seguridad y de TI.

Análisis de Registros y Logs de Sistemas

Revisar registros y logs de sistemas, como registros de eventos de

seguridad, registros de firewall, registros de acceso y registros de
autenticación, puede ayudar a identificar actividad sospechosa y posibles
brechas de seguridad pasadas.

Al combinar estas técnicas y enfoques, las organizaciones pueden

identificar de manera más efectiva vulnerabilidades y brechas de seguridad
pasadas, lo que les permite tomar medidas correctivas y preventivas para
fortalecer su postura de seguridad en el futuro.

2.2 Justificación del SGSI

2.2.1 Documento de justificación del SGSI

La implementación de un Sistema de Gestión de Seguridad de la

Información en una entidad financiera es crucial para garantizar la
confidencialidad, integridad y disponibilidad de la información sensible que
manejan. Fundamentalmente deben enfocarse en:

Protección de Datos Sensibles

Las entidades financieras manejan una gran cantidad de información

sensible, como datos personales, detalles financieros y transacciones. Un
SGSI ayuda a identificar, clasificar y proteger adecuadamente estos datos,
garantizando su confidencialidad además de evitar accesos no autorizados.
Cumplimiento Normativo

La industria financiera está sujeta a regulaciones estrictas en

términos de seguridad de la información. Implementar un SGSI ayuda a
cumplir con requisitos legales y normativas, como la Ley de Protección de
Datos Personales, normativas de la industria financiera agregando
estándares internacionales como ISO 27001.

Gestión de Riesgos

Un SGSI permite identificar y evaluar los riesgos asociados con la

seguridad de la información. Al gestionar estos riesgos, la entidad financiera
puede tomar medidas proactivas para mitigar amenazas potenciales y
garantizar la continuidad del negocio.

Prevención de Fraudes

Las entidades financieras son objetivos frecuentes de ciberataques y

fraudes. Un SGSI ayuda a implementar controles adecuados, como la
autenticación multifactorial, la monitorización continua para poder prevenir y
detectar actividades fraudulentas.

2.2.2 Evaluación de riesgos destacando la necesidad de medidas de

seguridad

Riesgo de ciberataques dirigidos a robo de datos financieros

Amenaza: persona externa intenta infiltrarse en el sistema para robar

información confidencial de los clientes, intentando acceder a número de
tarjetas, cuentas y contraseñas.

Medidas de seguridad: pensando de esta manera se consideran las

siguientes medidas:

Implementación de firewalls y sistemas de detección de intrusos para

proteger la red contra accesos no autorizados.
 Monitoreo continuo de la actividad de la red y los sistemas para
detectar y responder rápidamente a posibles intrusiones.

Uso de cifrado para proteger los datos financieros sensibles tanto en

uso como de datos almacenados.

Implementación de autenticación multifactor, como código de

verificación para acceder al sistema financiero.

Riesgo de fraude financiero interno

Amenaza: un empleado deshonesto dentro de la institución llega a

tener acceso al sistema donde puede hacer transferencias de fondos para
beneficio personal.

Medidas de seguridad: pensando de esta manera se consideran las

siguientes medidas:

Implementación de privilegios para restringir el acceso al sistema y

funciones importantes dentro del este.

Establecimiento de políticas y procedimientos claros para la

autorización y verificación de transacciones financieras.

Monitoreo regular de las transacciones y actividades sospechosas

para detectar patrones de fraude.

Capacitación y concienciación del personal sobre ética empresarial.

Riesgo de interrupciones del servicio por desastres o fallas técnicas

Amenazas: desastres naturales que pueden afectar la infraestructura

física o técnica de la institución, resultado en la interrupción de los servicios
o sistema.

Medidas de seguridad: pensando de esta manera se consideran las

siguientes medidas:
 Implementación de planes de continuidad del negocio y recuperación
ante desastres que incluyan la replicación de datos, la disponibilidad de
sitios de respaldo y la capacidad de conmutación.

Uso de sistemas de alimentación ininterrumpida (UPS) y

generadores de energías de respaldo para garantizar la disponibilidad
continua del sistema.

Poner en marcha las pruebas de planes de continuidad del negocio

para garantizar la efectividad y capacidad de respuesta.

Riesgo de ataques de phishing

Amenaza: los empleados de la institución son engañados por

atacantes mediante técnicas de envío de correo electrónico, lo que resulta
en el acceso no autorizado al sistema o divulgación de información
confidencial.

Medidas de seguridad: pensando de esta manera se consideran las

siguientes medidas:

Implementación de programas de concienciación y capacitación en

seguridad para educar a los empleados sobre las tácticas más comunes de
phishing, y como reconocer y responder adecuadamente a estas
amenazas.

Uso de soluciones de filtrado de correo electrónico y detección de

malware para identificar y bloquear correos electrónicos que lleguen a las
bandejas de entrada de los empleados.

Establecimiento de políticas y procedimientos claros para la

verificación de identidad y autorización de los mensajes que aparecen en la
bandeja de entrada de los empleados.
 Capítulo 3 - Objetivos de seguridad

3.1 Priorización de objetivos según su importancia para la organización

3.1.1 Cumplimiento normativo y legal

Garantizar que la empresa cumpla con todas las regulaciones y

leyes, ya que el incumplimiento podría resultar en multas, sanciones
legales, perdidas de reputación y vulnerabilidad en los sistemas. Por tanto,
debe recibir atención prioritaria y recursos suficientes para garantizar el
cumplimiento continuo.

3.1.2 Optimización de procesos y eficiencia operativa

Mejorar la eficiencia y la productividad de las operaciones internas

para reducir costos y maximizar la utilización de recursos. Por lo tanto, este
objetivo debe recibir una atención significativa y promover iniciativas de
mejora y reingeniería de procesos.

3.1.3 Desarrollo del sistema seguro y confiable

Garantizar que el software utilizado para las operaciones financieras

sea robusto, seguro y libre de errores para proteger la integridad de los
datos y confianza del cliente. Es por eso, que este objetivo debe requerir
prácticas de desarrollo seguro, pruebas exhaustivas y revisión de código.

3.1.4 Integración de sistemas y datos

Facilitar la comunicación y el intercambio de datos entre diferentes

sistemas para eliminar silos de información, evitar la duplicación de datos y
garantizar la coherencia y la precisión de la información. Este objetivo
requiere de implementación de arquitecturas de integración flexibles y
estándares de interoperabilidad.
 3.1.5 Mejora continua y actualización del software

Mantener el software actualizado con las últimas tecnologías y

mejores prácticas para mantener su relevancia, rendimiento y seguridad.
este objetivo requiere un ciclo de vida de desarrollo de software ágil,
actualizaciones regulares y retroalimentación de los usuarios.

3.2 Objetivos específicos y medibles.

Reducir el número de incidentes de seguridad anualmente mejorando

la postura de seguridad en el grupo financiero.

Aumentar en un 95% la tasa de cumplimiento con estándares

específicos de seguridad (ISO 270001) mediante auditorias constantes y
evaluaciones de vulnerabilidades.

Reducir en un 20% el tiempo medio de resolución de incidentes de

seguridad mediante planes de respuesta.

Incrementar en un 30% la satisfacción del cliente en relación a la

seguridad de su información reflejando mayor confianza.

Aumentar en un 50% la participación de los empleados en programas

de capacitación para lograr consciencia sobre la seguridad, phishing y
ataques de ingeniería social en la entidad financiera.
 Referencias

Banco G&T Continental | ¿Quiénes somos? | ¡Conócenos! (s. f.).

https://www.gtc.com.gt/nuestro-banco/quienes-somos

IMTC. (2021, 16 noviembre). Grupo G&T Continental - CrossTech.

https://imtconferences.com/grupo-gt-continental/

ORTEGA MONTENEGRO, J. A. (2008, 19 febrero). HISTORIA BANCO G&T

CONTINENTAL. Universidad del Istmo.

https://glifos.unis.edu.gt/digital/tesis/2008/49151.pdf

Normas ISO. (s. f.). ISO 27001 - Seguridad de la información: norma ISO IEC

27001/27002. https://www.normas-iso.com/iso-27001/