A la luz del evento sobre Manejo de Incidentes del mes venidero, pensé que un buen punto para empezar sería el Paso 0, que es la Detección. Antes que siquiera comience su proceso de manejo de incidentes, debe saber que su seguridad está comprometida. Algunas veces es evidente y otras no tanto. Sin embargo hay algunos indicadores que son a menudo ignorados o sobre los que no se piensa que puedan ser posiblemente “maliciosos”.
Estos reportes pueden ser grandes pistas y a menudo no son verificados. Aquí hay algunas de esas ideas, sin ningún orden en particular, pero son buenos indicadores de que algo podría estar fallando.

1. Su servidor de registros no ha registrado ningún evento o no ha recibido ninguna alerta en la últimas 12 horas
2. Su servidor de FTP o disco de usuario etc. de pronto no tiene mas espacio libre o quizás los registros aumentaron mucho más que lo normal
3. Los productos e su competencia se parece a los suyos, pero tienen colores más lindos.
4. Sus clientes comienzan a recibir spam en las direcciones que ellos usan solo para ingresar a su servicio
5. Le reportan sobre maquinas que se comportan de forma “extraña” (ej. ventanas que se cierran solas, pagina inicio que cambia, etc)
6. Alguien necesita ayuda para conectarse al acceso inalámbrico de su compañía, y ud. no tiene acceso inalámbrico
7. Quejas de que el software (sistema de pago, navegadores web, etc) tiene caídas todo el tiempo
8. Quejas de los usuarios que no les funcionan las contraseñas/usuarios para ingresar al sistema
9. Computadoras que funcionan inusualmente lentas
10. Visitantes a su sitio web que se quejan que son redirigidos a otro sitio o a uno que no se “ve” como siempre

Si Ud. tiene otros indicadores que haya encontrado en el pasado y fueron la pista de un compromiso en la seguridad, avísenos y actualizaremos la lista.

Autor: Lorna Hutcheson – Internet Storm Center, Sans Institute

Fuente: http://isc.sans.org/diary.html?storyid=5095