Operación ShadowLock

01 —

Equipo CSIRT

Cuatro estudiantes, cuatro fases, un objetivo: responder al incidente.

Persona 1

ID: __________

Fase 1 — Preparación

Matriz RACI · Política IR · Backups · Herramientas

Steven

ID: 10163717

Fase 2 — Detección y Análisis

Cronología · Comandos · Clasificación

+ Página Web del Proyecto

Persona 3

ID: __________

Fase 3 — Contención y Recuperación

Contención · Erradicación · Golden Image

Persona 4

ID: __________

Fase 4 — Post-Incidente

Métricas · Costos · Mejoras 30/60/90 días

02 —

Resumen Ejecutivo

MedTech Dominicana fue víctima de un ataque de ransomware Ryuk que cifró sistemas críticos y comprometió historiales médicos de pacientes.

Organización Afectada

MedTech Dominicana

Tipo de Ataque

Ransomware Ryuk — Categoría 1

Sistemas Afectados

Servidores, historiales médicos, sistema de citas

Regulaciones Violadas

HIPAA + Ley 172-13 (Rep. Dominicana)

Detección

26 de marzo de 2026 — 08:30 AM

Responsable

Incident Response Manager · CSIRT

03 — 06

Las 4 Fases NIST

Marco completo de gestión de incidentes aplicado al ataque Operación ShadowLock.

Responsable: Persona 1 · NIST Sección 2

La preparación define los recursos, equipos, políticas y herramientas necesarias antes de que ocurra cualquier incidente.

Matriz RACI — Equipo CSIRT

Rol	Detección	Contención	Erradicación	Recuperación	Post-Inc.
IR Manager	A	A	A	A	A
Analista SOC	R	R	C	I	C
Ing. de Sistemas	C	R	R	R	C
Asesor Legal	I	C	I	C	R
Dir. Médico	I	I	I	R	I
Comunicaciones	I	I	I	I	R
CISO	C	A	C	C	A

R = Responsable A = Accountable C = Consulted I = Informed

Política IR Oficial

Alcance y Objetivo

Esta política establece el marco formal para la detección, reporte, manejo y recuperación de incidentes en MedTech Dominicana, en cumplimiento con NIST SP 800-61 Rev. 2, HIPAA y Ley 172-13 de la República Dominicana.

Reglas Obligatorias

Todo incidente debe reportarse al IR Manager en máximo 1 hora desde su detección.
Ningún empleado puede manejar un incidente de forma independiente sin notificar al CSIRT.
Se debe preservar la evidencia digital antes de cualquier acción correctiva.
La comunicación externa es exclusiva de Comunicaciones y el Asesor Legal.
El cumplimiento con HIPAA y Ley 172-13 es obligatorio en toda respuesta.

Plan de Backups 3-2-1

3

Tres Copias

Original en producción + 2 backups independientes completamente separados

2

Dos Medios

NAS local cifrado AES-256 + Nube AWS S3 con cifrado en tránsito y reposo

1

Sitio Externo

Backup diario automatizado a datacenter en Santo Domingo, probado mensualmente

Herramientas Instaladas

Sysmon — Detección de procesos y eventos

Velociraptor — Respuesta forense en endpoints

osquery — Consultas SQL del sistema

Windows Firewall — Bloqueo de tráfico

EDR CrowdStrike — Detección en endpoints

Backups 3-2-1 — Probados mensualmente

Responsable: Steven — ID: 10163717 · NIST Secciones 3.1–3.2

Identificación del ataque, análisis técnico detallado y clasificación del incidente según su impacto sobre sistemas médicos críticos.

Cronología del Incidente

06:30 AM

Actividad anómala detectada

Múltiples accesos a archivos médicos en horas no laborables desde cuenta administrativa.

07:15 AM — ALERTA EDR

Proceso malicioso identificado

CrowdStrike detecta ryuk.exe activo en estación Admin-01. Propagación lateral iniciada vía SMB.

07:45 AM — CRÍTICO

Propagación a 3 servidores adicionales

Ransomware explota puerto 445 (SMB) para moverse lateralmente dentro de la red interna de la clínica.

08:30 AM — CIFRADO MASIVO

Nota de rescate en todos los escritorios

Archivos cifrados con extensión .ryuk. Sistema de citas caído. MTTD confirmado: 2 horas.

08:30 AM

Incidente escalado al CSIRT completo

Declarado Categoría 1 / Prioridad Crítica. IR Manager asume comando del incidente.

Comandos de Detección

PowerShell — Detección de procesos sospechosos

# Detectar procesos en carpetas temporales o con CPU elevado

PS C:\> Get-Process | Where-Object { $_.Path -like "*temp*" -or $_.CPU -gt 50 }

| Select Id,Name,Path

# Buscar eventos de seguridad relacionados con ransomware

PS C:\> Get-WinEvent -LogName Security -MaxEvents 100

| Where-Object { $_.Message -match "ransomware" }

ryuk.exe detectado — C:\Windows\Temp\ — PID: 4821 — CPU: 87%

osquery — Consulta SQL del sistema

osquery> SELECT name, path, pid FROM processes

WHERE name LIKE '%ryuk%' OR cpu_time > 100;

┌──────────┬──────────────────────────────┬───────┐

│ name │ path │ pid │

├──────────┼──────────────────────────────┼───────┤

│ ryuk.exe │ C:\Windows\Temp\ryuk.exe │ 4821 │

└──────────┴──────────────────────────────┴───────┘

23 archivos sospechosos en Temp · Tamaño total: 142 MB

Clasificación del Incidente

Categoría NIST

● Categoría 1

Malware / Ransomware con impacto en sistemas críticos de salud.

Prioridad

● Alta / Crítica

Impacto directo en vidas humanas por sistemas médicos comprometidos.

Confidencialidad

● Comprometida

Riesgo de exfiltración de historiales médicos de pacientes.

Integridad

● Comprometida

Archivos cifrados y potencialmente alterados por el malware.

Disponibilidad

● Comprometida

Sistema de citas y registros médicos completamente inoperativos.

Marco Regulatorio

HIPAA Ley 172-13

Notificación obligatoria en 72 horas según ambas regulaciones.

Responsable: Persona 3 · NIST Sección 3.3

Detener la propagación, eliminar el ransomware del entorno y restaurar los sistemas desde backups verificados.

Contención Inmediata (0 – 4 horas)

01

Desconectar servidores afectados de la red

Aislamiento físico y lógico de Admin-01 y los 3 servidores comprometidos.

Ejecutado — 08:45 AM

02

Activar firewall en todos los perfiles de red

Bloqueo total del tráfico entrante sospechoso vía Windows Firewall.

Ejecutado — 08:50 AM

03

Bloquear puertos SMB (445) y RDP (3389)

Vectores usados por Ryuk para propagación lateral en la red interna.

Ejecutado — 09:00 AM

04

Deshabilitar cuentas administrativas comprometidas

Revocación inmediata de credenciales expuestas durante el ataque.

Ejecutado — 09:15 AM

05

Notificación HIPAA + Ley 172-13

Proceso legal de notificación a pacientes afectados y autoridades regulatorias.

En proceso — Asesor Legal

Comandos de Erradicación

PowerShell Admin — Contención + Erradicación

# Activar firewall en todos los perfiles

PS C:\> netsh advfirewall set allprofiles state on

OK

# Bloquear tráfico entrante ransomware

PS C:\> netsh advfirewall firewall add rule name="Bloqueo Ransomware" dir=in action=block protocol=tcp

OK

# Terminar procesos maliciosos

PS C:\> taskkill /f /im "ryuk.exe"

ÉXITO: Proceso "ryuk.exe" con PID 4821 terminado.

# Eliminar archivos del malware

PS C:\> Remove-Item -Path "C:\Windows\Temp\*.enc" -Recurse -Force

PS C:\> Get-ChildItem -Path C:\ -Recurse -Filter "*.ryuk" | Remove-Item -Force

Erradicación completa — 0 archivos .ryuk restantes

Recuperación — Golden Image

#	Paso	Tiempo Est.	Responsable	Estado
01	Restaurar desde backup offline (Golden Image)	4 h	Ing. Sistemas	Completado
02	Probar restauración en entorno aislado (sandbox)	6 h	Analista SOC	Completado
03	Verificar integridad de datos médicos	8 h	Dir. Médico	Completado
04	Reconectar sistemas con monitoreo intensivo	2 h	Ing. Sistemas	Completado
05	Monitoreo continuo durante 72 horas	72 h	Analista SOC	Completado
06	Confirmar restauración y cierre del incidente	2 h	IR Manager	Cerrado

Responsable: Persona 4 · NIST Sección 3.4

Documentar lecciones aprendidas, calcular métricas de desempeño e implementar mejoras para fortalecer la postura de seguridad.

Métricas de Desempeño

2 h

Objetivo < 4 h

MTTD — Detección

Cumplido

48 h

Objetivo < 72 h

MTTR — Recuperación

Cumplido

45 min

Objetivo < 2 h

Contención

Excelente

100 %

Sistemas restaurados

Recuperación

Cumplido

Análisis de Costos

Categoría	Costo (RD$)	Observación
Tiempo de inactividad (48 h)	800,000	Sistema de citas caído
Honorarios legales HIPAA + Ley 172-13	450,000	Notificaciones y asesoría
Recuperación técnica (horas extra IT)	350,000	72 horas de trabajo intensivo
Herramientas forenses y licencias	200,000	Velociraptor Enterprise, etc.
Comunicación a pacientes afectados	150,000	Cartas certificadas + call center
Mejoras de seguridad post-incidente	550,000	MFA, EDR, segmentación de red
Total Estimado	RD$ 2,500,000	Costo total del incidente

Plan de Mejoras — 30 / 60 / 90 Días

30 días

Acciones Críticas

Implementar MFA en todos los sistemas. Actualizar y probar backups offline. Parchear vulnerabilidades SMB/RDP.

60 días

Hardening de Red

Segmentar red en VLANs por departamento. Realizar tabletop exercise completo. Actualizar política IR.

90 días

Cultura de Seguridad

Capacitación en ciberseguridad para todo el personal. Monitoreo 24/7 con SIEM. Revisión trimestral del plan IR.

07 —

Tabletop Exercise

Simulacro de 45 minutos donde el equipo CSIRT practica la toma de decisiones en un entorno controlado.

Escenario 01

⏱ 10 minutos

Detección del Incidente

El SOC recibe alerta del EDR. El proceso ryuk.exe está activo en Admin-01 y hay tráfico hacia IPs externas desconocidas.

Correlaciona la alerta del EDR con otras fuentes: revisa logs de Windows Event (IDs 4688, 7045), verifica si el proceso tiene firma digital válida, analiza el hash del archivo en VirusTotal, y confirma si hay tráfico C2 saliente. Si dos o más indicadores coinciden, es verdadero positivo.
NIST SP 800-61 § 3.2.2 — Analyzing Incidents
Escala inmediatamente al confirmar el verdadero positivo o si el impacto potencial supera la capacidad del analista individual. En este caso, al detectar ryuk.exe activo y tráfico C2, la escalada es automática e inmediata — no esperes a tener certeza total para activar el CSIRT.
NIST SP 800-61 § 3.2.7 — Incident Notification
Captura imagen forense de memoria RAM, dump del proceso sospechoso, logs del sistema (Security, Application, System), tráfico de red (pcap), y estado actual del sistema de archivos. Nunca apagues el equipo primero — la RAM contiene claves de cifrado que se pierden al apagarlo.
NIST SP 800-61 § 3.3.2 — Evidence Gathering
Según la Matriz RACI, el IR Manager es el primero en ser notificado (Accountable). El Analista SOC que detectó el incidente es el Responsable del reporte inicial. El CISO es Consulted en esta fase. Todos los demás roles son Informed una vez confirmado el incidente.
NIST SP 800-61 § 2.4.2 — Incident Response Team

Escenario 02

⏱ 15 minutos

Decisión de Contención

El ransomware se propaga activamente. ¿Aíslas solo el servidor afectado o desconectas toda la red incluyendo urgencias?

Opción A (aislar solo servidor): el ransomware continúa propagándose, riesgo de cifrado total en minutos. Opción B (cortar toda la red): sistemas de urgencias y monitoreo de pacientes quedan sin datos en tiempo real. La decisión correcta según NIST es contención selectiva: aislar los segmentos afectados, manteniendo activos los sistemas críticos de soporte vital.
NIST SP 800-61 § 3.3.1 — Containment Strategies
Ambas opciones generan obligaciones bajo HIPAA. Si el ransomware continúa (Opción A), el riesgo de exfiltración escala y la notificación es obligatoria en 72h. Si cortas la red (Opción B), debes documentar que la interrupción fue para proteger la integridad de la PHI (Protected Health Information). HIPAA exige documentar todas las decisiones tomadas durante el incidente.
HIPAA Breach Notification Rule § 164.404
Es aceptable cuando: (1) la propagación es activa e incontrolable, (2) existen protocolos manuales de emergencia documentados y listos, (3) los equipos de soporte vital funcionan de forma autónoma sin red, y (4) el personal médico ha sido notificado. Nunca se corta sin antes activar el protocolo de contingencia manual.
NIST SP 800-61 § 3.3.1 — Choosing a Containment Strategy
Monitores cardíacos, ventiladores, bombas de infusión IV, sistemas de alarma de urgencias y desfibriladores. Estos deben estar en una VLAN aislada de misión crítica con acceso físico independiente. Si están en la misma red comprometida, activa inmediatamente los protocolos manuales de las áreas de UCI y emergencias.
NIST SP 800-82 — ICS/SCADA Critical Systems

Escenario 03

⏱ 20 minutos

Comunicación de Crisis

Los atacantes amenazan publicar 5,000 historiales médicos si no se paga el rescate. Un periodista llama. Salud Pública pide un informe.

No. El NIST, el FBI y CISA recomiendan explícitamente no pagar. Razones: (1) pagar no garantiza recuperar los datos, (2) financia operaciones criminales futuras, (3) convierte a la organización en objetivo recurrente, (4) puede violar sanciones del OFAC si el grupo está en lista negra. La alternativa es restaurar desde backups offline verificados.
NIST SP 800-61 § 3.3.4 — CISA Ransomware Guide 2021
Solo el vocero oficial designado por Comunicaciones y el Asesor Legal puede hablar con prensa. El mensaje debe ser: "Estamos atendiendo un incidente de seguridad, hemos activado nuestros protocolos de respuesta y la seguridad de nuestros pacientes es nuestra prioridad. Informaremos conforme avance la situación." Nunca confirmar detalles técnicos ni el vector del ataque.
NIST SP 800-61 § 3.2.7 — External Communications
HIPAA exige notificar al HHS (Dept. of Health) en 60 días tras confirmar la brecha, y a los pacientes afectados sin demora irrazonable. La Ley 172-13 RD exige notificación a la autoridad competente en 72 horas. La notificación debe incluir: qué datos fueron afectados, cuándo ocurrió, qué medidas se tomaron y cómo los pacientes pueden protegerse.
HIPAA § 164.404 + Ley 172-13 RD Art. 29
El informe debe incluir: (1) cronología del incidente, (2) sistemas y datos afectados, (3) número aproximado de pacientes impactados, (4) medidas de contención adoptadas, (5) estado actual de los sistemas, (6) plan de recuperación y tiempos estimados, y (7) medidas para prevenir recurrencia. Debe ser firmado por el Director Médico y el Asesor Legal.
NIST SP 800-61 § 3.4 — Post-Incident Activity

Rúbrica de Evaluación

Competencia	Criterio de Éxito	Peso
Velocidad de detección	Escalada al CSIRT en < 30 min	25 %
Decisión de contención	Decisión documentada y justificada	25 %
Gestión de comunicación	Cumple plazos HIPAA y Ley 172-13	25 %
Coordinación del equipo RACI	Todos los roles activos y coordinados	25 %

Equipo CSIRT

Resumen Ejecutivo

Las 4 Fases NIST

Tabletop Exercise

OPERACIÓN
SHADOWLOCK