Respuesta ante incidentes en redes sociales IV: Detección

A lo largo de los artículos anteriores de la serie hemos visto cómo prepararnos y cómo configurar nuestras redes sociales para responder de la mejor forma posible a un compromiso. Ahora llega el momento de la verdad: poner a prueba el trabajo realizado frente a un incidente de seguridad.

Una de las fases más importantes de la respuesta ante incidentes es la detección. Obviamente, cuanto antes nos demos cuenta de que estamos teniendo un problema, antes seremos capaces de reaccionar y de poner manos a la obra para solventarlo.

Lo primero que hay que tener en cuenta es que los fenómenos paranormales no existen: Si en nuestras redes sociales comienzan a aparecer mensajes que no tienen nada que ver con nuestra temática, y que además no tienen autor reconocido, es que tenemos un problema.

Una buena medida para no tener que “enterarte por la prensa” (queda fatal que un cliente/conocido/enemigo sea el que te avise de las cosas raras que está haciendo tu cuenta de Twitter) es la monitorización de las redes sociales propias (como parte de las tareas del community manager, o por otra persona).

Si ya estamos convencidos de que tenemos un incidente de seguridad, debemos comenzar el procedimiento de respuesta. En primer lugar debemos avisar a los contactos designados (TI, marketing, gerencia), para que todo el mundo con capacidad de acción y/o toma de decisiones esté al tanto (habitualmente se suele empezar con TI/marketing, y avisar a gerencia solo cuando ya se tiene una idea de lo que está sucediendo, pero dependerá del procedimiento definido para cada empresa).

El paso siguiente es comunicar el problema. Es importante ser muy ágiles porque cada minuto que pasa es un tiempo en el que a ojos del público “no estamos haciendo nada”. Un mensaje escueto que informe del problema y que estamos trabajando para solventarlo lo antes posible nos ayudará a ganarnos la comprensión y simpatía del público.

A continuación debemos entrar en faena, y detectar dónde se está produciendo el incidente de seguridad. Lo primero que debemos hacer es chequear los inventarios de redes sociales, contactar con las personas responsables y verificar que todos los dispositivos están sanos y salvos (cuando sano se entiende como en posesión del usuario y a priori sin malware).

Si el incidente está ocurriendo en Facebook, es muy interesante hacer uso de las opciones de Navegadores de confianza y Dónde has iniciado sesión, ya que pueden darnos unas pistas excelentes sobre quién está usando nuestra cuenta. En Google+ una opción sería obtener un informe de actividad de la cuenta, que nos ofrece una información similar.

Nota importante: Si tenemos un dispositivo con una sesión iniciada en una red social, es muy importante no cerrar dicha sesión, ya que si el intruso ha cambiado la contraseña nos será imposible volver a acceder.

El siguiente paso es intentar entrar en nuestras cuentas, primero desde los dispositivos autorizados y luego desde otros dispositivos (el objetivo es comprobar que todavía tenemos acceso a la cuenta). Si podemos entrar a la cuenta, lo primero que debemos hacer es comprobar qué direcciones de correo están asociadas a la cuenta.

Es imperativo borrar cualquier dirección de correo que no reconozcamos como propia (porque de lo contrario el intruso podrá iniciar un proceso de recuperación de contraseña de nuestra red social, y recuperar el acceso).

Llegados a este punto deberíamos de tener más o menos claro qué red social es la que tiene el problema, y qué es lo que ha hecho el intruso hasta el momento, por lo que podemos categorizar la gravedad del incidente (lo que se denomina en la jerga triage, categorización). En la entrada siguiente hablaremos de cómo contener y eliminar la intrusión.

0 Comments

Write a Comment

Your email address will not be published. Required fields are marked *