Trabajo Integrador · Licenciatura en Ciberseguridad

Gestión Integral de la Seguridad de la Información

Análisis completo del programa de seguridad de NexoPay S.A. — una fintech argentina — desde el diseño del programa (Etapa 1), la materialización de un incidente real de ransomware + exfiltración (Etapa 2), hasta la mejora continua post-incidente (Etapa 3).

Organización
NexoPay S.A.
Carrera
Lic. en Ciberseguridad
Materia
Gestión Integral de la Seguridad
Marcos normativos
ISO 27001 · PCI DSS · GDPR · Ley 25.326

00Presentación de la organización

NexoPay S.A. es una fintech argentina fundada en 2019, con sede en CABA. Su negocio central es una billetera digital y un servicio de procesamiento de pagos para comercios e-commerce.

480K
usuarios finales
3.200
comercios integrados
2M
transacciones / mes
180
empleados

Composición del personal

  • Tecnología: ~70 personas
  • Operaciones / comercial: ~80 personas
  • Administración / finanzas: ~30 personas

Datos que procesa

  • Datos de tarjetas de crédito/débito (PAN, vencimiento) → sujeta a PCI DSS.
  • Datos personales de clientes (DNI, email, teléfono, geolocalización) → sujeta a Ley 25.326 (Argentina) y GDPR para clientes residentes en la UE.

Infraestructura

Nube híbrida (AWS principal + on-premise para el core bancario), conectividad VPN para trabajo remoto.

Esta organización fue elegida porque combina los tres marcos normativos más relevantes para la cátedra (ISO 27001, PCI DSS, GDPR/Ley 25.326) y porque su modelo de negocio depende críticamente de la confianza y la disponibilidad — ambos golpeados de frente por el incidente de la Etapa 2.

ISO 27001 PCI DSS GDPR Ley 25.326 ISO/IEC 27005 NIST SP 800-61 PDCA
Etapa 1

Diseño del Programa de Seguridad

Gobierno, roles, gestión de riesgos, controles, políticas y métricas. La base sobre la que se construye (y se mide) toda la seguridad de NexoPay.

1.1Gobierno y estrategia

1.1.1 Objetivos de seguridad — Análisis CIA de activos críticos

Se identificaron 8 activos de información críticos. Para cada uno se evaluó la tríada CIA (Confidencialidad, Integridad, Disponibilidad) usando una escala 1–5, donde 1 = impacto insignificante y 5 = impacto crítico si esa propiedad se vulnera.

Escala CIA (1–5)

ValorConfidencialidadIntegridadDisponibilidad
1Información públicaDatos modificables sin impactoServicio no esencial
2Información internaModificación detectable y reversibleCaída breve sin afectar clientes
3Datos comerciales sensiblesModificación con impacto operativoCaída afecta algunos clientes
4Datos personales / financierosModificación con impacto legal/financieroCaída afecta muchos clientes
5Datos de tarjetas / secretosModificación con daño severo e irreversibleParálisis total del negocio
Criticidad del activo TEMPLATE RIESGOS v2
Variables:
  • C, I, A — valores de Confidencialidad, Integridad y Disponibilidad (1–5).
  • MAX — el activo hereda el valor más alto de las tres dimensiones, porque su prioridad de protección la determina su punto más débil.

Tabla CIA de activos críticos

IDActivoCIACriticidadJustificación
ACT-001Base de datos de clientes (PII + transacciones)5555Contiene datos personales y de tarjetas. Pérdida o robo = multas PCI/GDPR/Ley 25.326 + daño reputacional crítico.
ACT-002Plataforma de procesamiento de pagos4555Core del negocio. Si cae, no hay transacciones. Si se altera, hay fraude financiero.
ACT-003Portal/API de comercios e-commerce3455Canal de integración. Disponibilidad = ingresos de comercios.
ACT-004Active Directory / Identity Provider (IAM)5545Centro de autenticación. Quien lo domina, domina todo.
ACT-005Repositorio de código (GitHub)4535Contiene secretos, lógica de negocio. Modificación = backdoor persistente.
ACT-006SIEM y logs de seguridad4535Evidencia de incidentes. Integridad clave para investigación y compliance.
ACT-007Backups (cifrados)4545Última línea de defensa ante ransomware. Integridad = confianza en la recuperación.
ACT-008Correo + Slack/Teams corporativo3333Canal de phishing principal. Menor criticidad pero vector de entrada.

Prioridad de protección: los 7 primeros activos tienen criticidad 5. La prioridad operativa se define entonces por la exposición: el Active Directory (ACT-004) y la DB de clientes (ACT-001) son los blancos más atacables y reciben los controles más estrictos.

1.1.2 Apetito de Riesgo

El apetito de riesgo define cuánto riesgo la organización está dispuesta a tolerar antes de obligarse a tratarlo. Se aplica sobre los activos identificados.

RiesgoApetitoJustificación
Ransomware sobre sistemas críticosBajo / CeroImpacto crítico en operación e ingresos. No tolerable.
Exfiltración de datos de clientesCeroRiesgo legal (PCI/GDPR/Ley 25.326) y reputacional. Inaceptable.
Caída del procesador de pagosBajoCada hora offline = pérdida directa de comisiones.
Acceso indebido a sistemasBajoRiesgo legal y de fraude.
Abuso de privilegios administrativosBajoBase del fraude interno. Tolerancia mínima.
Demoras menores en sistemas no críticosMedioImpacto operativo bajo, recuperable.
Phishing no exitoso (reportado)MedioEs esperable; lo que importa es la detección.
Vulnerabilidades de baja severidad sin parchearMedioSe gestionan por ventana de mantenimiento.

Lectura: "Cero/Bajo" significa que ante la materialización del riesgo la organización debe actuar de inmediato (mitigar o eliminar). "Medio" permite una ventana de gestión razonable.

1.2Roles y responsabilidades

La seguridad en NexoPay se organiza siguiendo el principio de segregación de funciones: decidir ≠ ejecutar ≠ controlar. Ninguna persona o área tiene control completo de un proceso crítico.

RolDecideEjecutaControlaObservaciones
CEORumbo estratégico del negocioAutoridad última. Aprueba el presupuesto de seguridad y respalda las decisiones del CISO ante el directorio.
CISOEstrategia, riesgos, políticas de seguridadSupervisión del programaDefine qué proteger y qué riesgos aceptar. No administra servidores ni crea usuarios. Reporta al CEO y al Comité.
Comité de SeguridadAprobación de políticas, apetito de riesgo, decisiones de tratamientoRevisión trimestral del programaIntegrado por: CISO (presidente), CFO, Director Legal, CTO, Director de RRHH. Se reúne mensualmente.
IT / DevOpsOperación técnica: sistemas, redes, despliegues, ABM de usuariosImplementa los controles que define Seguridad, sin autonomía para crear las reglas ni auditarse a sí mismo.
SOCMonitoreo, detección y triaje de incidentesVigilancia de eventos 24/7Actúa sobre alertas. Escala a CSIRT ante incidentes confirmados.
CSIRTCoordinación de la respuesta a incidentesConduce contención, erradicación y recuperación. Se activa ante incidentes confirmados.
DPO (Delegado de Protección de Datos)Cumplimiento legal de datos personalesVerifica cumplimiento de Ley 25.326 / GDPRIndependiente de operaciones para evitar conflicto de intereses. Gestiona notificaciones de brechas a la autoridad.
Auditor (interno/externo)Auditoría independiente del programaRevisa que los controles funcionan. No diseña ni ejecuta: solo evalúa. Diferencia con consultor: el auditor evalúa, el consultor asesora.
Owner del datoClasificación y uso autorizado del datoCustodia lógica de su informaciónEj. el área Finanzas es owner de los datos financieros.
Custodio (IT)Administración de la plataforma que aloja el datoIT es custodio de la DB de clientes, pero Finanzas es el owner.
UsuarioUso de los sistemas dentro de la políticaSujeto a política de uso aceptable.

Segregación de funciones — ejemplos concretos

  1. ABM de usuarios: IT puede crear/modificar/borrar usuarios, pero las políticas de acceso las define Seguridad y el uso de los accesos lo revisa Auditoría.
  2. Aprobación de pagos: quien carga una transferencia no puede aprobarla ni ejecutarla (regla de doble control, propia de fintech).
  3. Cuentas administrativas: IT administra servidores, pero las cuentas privilegiadas se gestionan con un PAM (Privileged Access Management) cuya auditoría la revisa Seguridad, no el propio IT.
  4. Respuesta a incidentes: el SOC detecta, el CSIRT contiene, pero el post-mortem lo revisa Auditoría para que no haya autoevaluación.

Principio RBAC (Role-Based Access Control): los accesos se asignan por rol, no por persona. Esto simplifica la gestión (alta/baja/rotación) y reduce el riesgo de privilegios huérfanos. Cada rol tiene el mínimo privilegio necesario (least privilege).

1.3Gestión de riesgos

1.3.1 Metodología

NexoPay aplica una metodología cuali-cuantitativa basada en ISO/IEC 27005, operada con la plantilla "TEMPLATE RIESGOS v2". El proceso tiene cuatro pasos:

  1. Identificación de activos críticos → ya hecho en 1.1 (ACT-001 a ACT-008).
  2. Identificación de amenazas y vulnerabilidades por activo.
  3. Evaluación del riesgo inherente = Probabilidad × Impacto.
  4. Evaluación de controles y cálculo del riesgo residual.

1.3.2 Escalas de medición

Probabilidad (1–5)

NivelValorFrecuencia esperada
Muy Baja1Teóricamente posible, nunca ocurrió (menos de 1 vez cada 5 años)
Baja2Poco probable, raro en la industria (1 vez cada 2 a 5 años)
Media3Posible, ocurre ocasionalmente (1 vez al año)
Alta4Probable, ocurre con frecuencia (varias veces al año)
Muy Alta5Casi seguro, recurrente (mensual o semanal)

Impacto (1–5)

NivelValorImpacto operacional / financiero / legal
Insignificante1Sin interrupción, pérdidas despreciables
Menor2Interrupción breve, manejable localmente, sin consecuencias legales
Moderado3Pérdida temporal de operaciones clave, sanciones menores, afectación a clientes
Mayor4Interrupción prolongada, pérdidas financieras serias, incumplimiento regulatorio
Crítico5Parálisis total del negocio, daño reputacional severo, multas críticas

1.3.3 Fórmulas del análisis

Severidad (Riesgo Inherente) TEMPLATE RIESGOS v2 · rango 1 a 25
Variables:
  • Probabilidad — likelihood del evento (escala 1–5).
  • Impacto — daño potencial si el evento ocurre (escala 1–5).
  • Producto en el rango 1 a 25.
Nivel de Riesgo (umbrales) TEMPLATE RIESGOS v2
La severidad se mapea a cuatro niveles:
  • CRÍTICO Severidad ≥ 15 — tratamiento obligatorio.
  • ALTO Severidad ≥ 10 — tratamiento prioritario.
  • MEDIO Severidad ≥ 5 — monitorear y tratar en ventana.
  • BAJO Severidad < 5 — aceptable con revisión.
Probabilidad Residual TEMPLATE RIESGOS v2
Variables:
  • Mitigación — eficiencia del control, valor entre 0 y 1 (0 = sin control, 1 = control perfecto).
  • ROUND — el redondeo devuelve un entero 1–5.
Severidad Residual TEMPLATE RIESGOS v2
El impacto no se reduce con la mitigación: los controles disminuyen la probabilidad de que el evento ocurra, pero si ocurre, el daño potencial es el mismo. (Enfoque simplificado de la plantilla v2; la plantilla AUSOL-GCO v7 sí permite reducir impacto con controles correctivos.)
Eficiencia del Control TEMPLATE RIESGOS v2
Clasificación del valor de mitigación:
  • Excelente Mitigación ≥ 0.7
  • Moderado Mitigación ≥ 0.4
  • Débil Mitigación < 0.4
Estrategias de tratamiento

Mitigar (reducir con controles) · Transferir (seguro cibernético) · Aceptar (asumir el riesgo residual) · Eliminar (quitar el activo o la función).

1.3.4 Matriz de riesgos de NexoPay

IDActivoAmenaza / VulnerabilidadPISevNivelControl actualMit.P ResSev ResNivel ResTrat.

Lectura ejecutiva: antes de controles hay 4 riesgos CRÍTICOS y 3 ALTOS. Después de controles queda 0 CRÍTICOS residuales, 2 ALTOS residuales (RSK-001 y RSK-002), que son los que más atención reciben. RSK-002 (compromiso de cuenta admin) es el riesgo que se materializa en la Etapa 2.

1.3.5 Mapa de calor y visualización

El mapa de calor es una matriz 5×5 (Probabilidad en filas × Impacto en columnas). Cada celda cuenta cuántos riesgos caen ahí. Hacé clic en una fila de la tabla de riesgos para resaltar su celda en el mapa; pasá el mouse por una celda para ver qué riesgos contiene.

Severidad: Riesgo Inherente vs Residual
Comparación de la severidad de los 8 riesgos antes y después de controles. Color según nivel de riesgo. Interactuá con la leyenda para mostrar/ocultar series.
Distribución de riesgos por nivel — Inherente vs Residual
Antes de controles: 4 críticos + 3 altos + 1 medio. Después de controles: 0 críticos + 2 altos + 5 medios + 1 bajo.

Inherente

Residual

Mapas de calor 5×5 — Inherente vs Residual

Crítico (≥15) Alto (10–14) Medio (5–9) Bajo (<5)

Inherente

Impacto →
↑ Probabilidad

Residual

Impacto →
↑ Probabilidad

1.4Controles de seguridad establecidos

Los controles se alinean con los riesgos definidos y cubren accesos, monitoreo, protección de la información y continuidad.

#ControlTipoAplica aCubre riesgo
C-01Control de accesos basado en roles (RBAC)PreventivoTodos los sistemasRSK-002, RSK-008
C-02Autenticación multifactor (MFA) — detallado abajoPreventivoVPN, consolas admin, O365RSK-002, RSK-003
C-03ABM de usuarios (altas/bajas/modificaciones)PreventivoActive DirectoryRSK-008
C-04Gestión de privilegios (PAM, cuentas admin)PreventivoServidores, DB, cloudRSK-002
C-05Registro de eventos (logs centralizados)DetectiveTodos los sistemasRSK-001, RSK-003
C-06SIEM (correlación y alertas)DetectiveRed + endpoints + cloudRSK-001, RSK-003
C-07Cifrado en tránsito (TLS 1.2/1.3)PreventivoTodas las comunicacionesRSK-005
C-08Cifrado en reposo (AES-256)PreventivoDB, backups, volúmenesRSK-001, RSK-007
C-09Seguridad de base de datos (auditoría, máscaras)Preventivo + DetectiveACT-001, ACT-002RSK-001, RSK-008
C-10Backups periódicos (3-2-1)CorrectivoACT-001, ACT-002, ACT-007RSK-001, RSK-004
C-11Pruebas de restauración de backupsDetectiveACT-007RSK-007
C-12Plan de continuidad (BCP)CorrectivoNegocioRSK-004
C-13Plan de recuperación ante desastres (DRP)CorrectivoACT-002RSK-004
C-14Concientización en seguridad para usuariosPreventivoTodos los empleadosRSK-003

Control detallado: C-02 — Autenticación Multifactor (MFA)

Se detalla este control porque es el que falla en la Etapa 2 y, por tanto, el que se rediseña en la Etapa 3.

Propósito

Exigir un segundo factor de autenticación (algo que el usuario tiene o es, además de lo que sabe) para acceder a VPN, consolas administrativas y correo corporativo.

Implementación actual

  • Proveedor: solución MFA basada en notificación push a teléfono (estilo Duo / Microsoft Authenticator).
  • Cobertura: 100% del personal admin, ~70% del resto (en rollout progresivo).
  • Política: MFA obligatorio para VPN y consolas admin; "recomendado" para correo.

Funcionamiento técnico

  1. El usuario ingresa usuario + contraseña (primer factor: algo que sabe).
  2. El IdP envía una notificación push al teléfono registrado (segundo factor: algo que tiene).
  3. El usuario aprueba con un toque → se completa la autenticación.

Debilidades conocidas (que se explotan en Etapa 2)

  • MFA fatigue / push bombing: el atacante, con la contraseña robada, dispara muchas notificaciones seguidas. El usuario, cansado o confundido, aprueba por error.
  • Sin number matching: la aprobación no exige comparar un número en pantalla con el del teléfono, así que el usuario no verifica que la solicitud sea legítima.
  • Sin contexto de la solicitud: no se muestra desde dónde/desde qué dispositivo se solicita el acceso.
  • Cobertura parcial: el 30% de cuentas aún sin MFA.
Mitigación asignada en la matriz (RSK-002)

0.5 (Moderado). Esto explica por qué el riesgo residual sigue ALTO: el control existe pero no es phishing-resistant.

Entregable: "Documento Detallado de Control Implementado" — este apartado cumple ese entregable.

1.5Políticas y procesos

Las políticas definen el "qué" (lineamientos); los procedimientos definen el "cómo" (ejecución).

Políticas principales vigentes

  1. Política de control de accesos
  2. Política de gestión de identidades y usuarios
  3. Política de uso aceptable de los recursos tecnológicos
  4. Política de protección de datos personales
  5. Política de clasificación de la información
  6. Política de seguridad de la información
  7. Política de backups y recuperación
  8. Política de gestión de incidentes de seguridaddetallada abajo (relacionada con la Etapa 2)

Política detallada: Gestión de Incidentes de Seguridad (extracto)

Se detalla esta política porque rige la respuesta al incidente de la Etapa 2.

Objetivo

Establecer cómo NexoPay detecta, contiene, erradica y se recupera de incidentes de seguridad, minimizando el impacto al negocio y cumpliendo las obligaciones legales de notificación.

Alcance

Todos los sistemas, personas y datos de la organización.

Clasificación de incidentes (severidad)

SeveridadDefiniciónTiempo de respuesta objetivo
CríticaCompromiso de datos o caída de servicios críticos15 min
AltaAmenaza activa a activos críticos, sin compromiso confirmado1 h
MediaEvento contenido con impacto limitado4 h
BajaEvento aislado, sin impacto al negocio24 h

Proceso (alineado a NIST SP 800-61)

  1. Detección y reporte — cualquier empleado o alerta del SOC.
  2. Triaje — el SOC clasifica la severidad y escala al CSIRT si es Alta/Crítica.
  3. Contención — aislar, bloquear, revocar accesos.
  4. Erradicación — eliminar la causa raíz.
  5. Recuperación — restaurar sistemas y validar.
  6. Post-mortem — análisis de causa raíz dentro de los 10 días. Lo revisa Auditoría.
  7. Notificación legal — el DPO evalúa obligación de notificar a AAPI / autoridad de datos dentro de 72 h (GDPR) o "sin demora indebida" (Ley 25.326).
Roles en la respuesta

SOC detecta → CSIRT coordina → IT ejecuta contención → DPO gestiona compliance → CISO informa al Comité → Auditoría revisa el post-mortem.

Entregable: "Documento de Política o Procedimiento para su análisis de etapa 2" — este apartado cumple ese entregable.

1.6Métricas

Se eligieron 3 métricas coherentes con el incidente de la Etapa 2 (compromiso por phishing + MFA). La cátedra distingue:

  • KPI (Key Performance Indicator): mide desempeño — "¿qué tan bien lo estoy haciendo?" — más alto = mejor.
  • KRI (Key Risk Indicator): mide exposición — "¿qué tan cerca estoy de un problema?" — más alto = peor.
MétricaTipoQué mideFórmula / forma de mediciónObjetivo
MTTD — Tiempo medio de detecciónKPICuánto tarda el SOC en detectar un incidente desde que iniciaMTTD = (Σ tiempo desde inicio hasta detección) / nº de incidentes< 1 hora
% empleados con MFA habilitadoKPICobertura del control C-02(% con MFA / total empleados) × 100100%
Tasa de éxito de phishingKRIExposición a ataques de phishing (relacionada con RSK-003)(empleados que cayeron / empleados atacados) × 100< 5%
MTTD — Tiempo medio de detecciónKPI
  • Σ tiempo — suma de los tiempos desde el inicio de cada incidente hasta su detección.
  • nº de incidentes — cantidad de incidentes del período. Objetivo < 1 h.
% MFA habilitadoKPI
  • con MFA — empleados con autenticación multifactor activa.
  • total — total de empleados. Objetivo 100%.

Por qué estas tres: el incidente de la Etapa 2 empieza con un phishing exitoso contra un empleado sin MFA resistente. MTTD mide si lo detectamos rápido; %MFA mide la cobertura del control que debió frenarlo; la tasa de éxito de phishing mide la exposición humana que lo habilitó.

Tablero de métricas — Etapa 1
KPI/KRI con su objetivo. El incidente de la Etapa 2 (MTTD ≈ 36 h) excede largamente el objetivo de 1 h.
Etapa 2 · Incidente de Seguridad

"Operación Midnight Pull"

Ransomware + Exfiltración de datos. Un atacante externo sorteó el MFA por fatiga, se movió lateralmente hasta la DB de clientes y exfiltró ~480.000 registros antes de desplegar ransomware.

2.1Definición del incidente

Tipo

Ransomware + Exfiltración de datos (uno de los escenarios listados en la consigna).

Nombre clave

Operación Midnight Pull

Resumen

Un atacante externo realiza un spear phishing a un empleado del área de Finanzas, roba sus credenciales de VPN y sortea el MFA mediante MFA fatigue (push bombing). Una vez dentro, se mueve lateralmente hasta la base de datos de clientes, exfiltra ~480.000 registros (PII + datos de tarjeta parcialmente tokenizados) y luego despliega ransomware que empieza a cifrar servidores de análisis. El ransomware es contenido rápidamente, pero la exfiltración ya se consumó.

Por qué este escenario: materializa justamente el riesgo residual ALTO RSK-002 (compromiso de cuenta admin/vía MFA débil) y el RSK-003 (phishing), que la Etapa 1 dejó como los dos residuales más altos. Conecta con control C-02 (MFA) y con la política de incidentes — cerrando el círculo pedagógico.

2.2Análisis del incidente

2.2.1 Origen del incidente

  • Origen: externo (atacante no perteneciente a la organización).
  • Vector de entrada: spear phishing dirigido al empleado de Finanzas. Email suplantando al área de RRHH con asunto "Actualización de datos bancarios — acción requerida", con un enlace a un portal de credentials harvesting idéntico al login de VPN de NexoPay.

Vulnerabilidad explotada (cadena)

  1. Humana: el empleado ingresó sus credenciales en el portal falso (falla de concientización — RSK-003).
  2. Técnica de MFA: el atacante disparó >40 notificaciones push en 5 minutos (MFA fatigue). El empleado, confundido, aprobó una para que pararan. El MFA push sin number matching y sin contexto no permitió al usuario distinguir una solicitud legítima de una fraudulenta (falla del control C-02).
  3. De segmentación: una vez en la VPN, el atacante pudo alcanzar segmentos que no debían ser accesibles desde un usuario de Finanzas (falla de microsegmentación).
  4. De monitoreo: la descarga masiva desde la DB no disparó una alerta crítica automatizada (falla del control C-06 / SIEM mal afinado).

Vínculo con la Etapa 1: el incidente fue posible porque RSK-002 quedó residual ALTO con un control de eficiencia Moderada (0.5). El análisis de riesgos lo anticipó; el incidente lo confirmó.

2.2.2 Cómo se detectó el incidente

La detección fue tardía y parcial, por dos vías casi simultáneas:

  1. Vía externa (la primera): un cliente reportó a soporte que sus datos aparecían en un foro de la dark web. Soporte escaló a Seguridad 36 horas después del inicio del incidente.
  2. Vía interna: el SIEM había registrado una alerta de anomalía por una descarga inusualmente grande desde la DB de clientes a una IP de la VPN, pero fue catalogada como falsa positivo por un analista del SOC sobrecargado.

Por qué tardó en detectarse (fallas)

  • El SIEM no tenía una regla afinada para "volumen anormal de export de PII" — sólo alertaba por login fuera de horario.
  • El SOC estaba bajo dotación mínima (fin de semana).
  • No había DLP (Data Loss Prevention) que bloqueara o alertara la exfiltración de datos sensibles.
  • El MFA fatigue generó múltiples eventos de login exitosos que se mezclaron con el ruido normal.

Conclusión de la detección: el incidente no fue detectado durante la exfiltración, sino después, por una denuncia externa. Esto evidencia una brecha en la capacidad de detección que la Etapa 3 debe cerrar.

2.2.3 Estado actual o situación del incidente

Al momento del análisis:

  • Ransomware: contenido. El cifrado alcanzó 2 servidores de análisis no productivos antes de que el CSIRT aislara los hosts y bloqueara la comunicación con el C2 (command & control). No afectó el procesador de pagos (ACT-002) ni la DB principal (gracias a los backups y a la segmentación parcial).
  • Exfiltración: consumada. ~480.000 registros de clientes fueron extraídos y publicados en la dark web. Los datos de tarjeta estaban tokenizados, pero los datos personales (DNI, email, teléfono) estaban en claro.

Impacto al negocio

Operativo

2 servidores fuera de servicio, procesador de pagos intacto. Baja.

Legal

Obligación de notificar a la AAPI (Ley 25.326) y, por los clientes EU, a la autoridad de protección de datos europea (GDPR Art. 33 — 72 h) y a los bancos emisores (PCI DSS).

Reputacional

Pérdida de confianza; riesgo de fuga de comercios a competidores.

Financiero

Estimación de multas + costo de respuesta + posible churn de clientes.

2.2bCronología del incidente

Flujo completo del ataque, desde el phishing inicial hasta la contención. Deslizá horizontalmente para ver todas las fases.

T+0h
Spear phishing
Email suplantando a RRHH llega al empleado de Finanzas.
T+0h
Credential harvesting
El empleado ingresa sus credenciales en el portal falso.
T+1h
MFA fatigue
>40 push en 5 min. El empleado aprueba una para que paren.
T+2h
Acceso VPN
El atacante entra a la red corporativa con credenciales válidas.
T+6h
Movimiento lateral
Alcanza segmentos de DB desde una cuenta de Finanzas.
T+12h
Exfiltración
~480.000 registros extraídos. SIEM alerta → marcado falso positivo.
T+30h
Ransomware
Comienza el cifrado de 2 servidores de análisis.
T+36h
Detección
Cliente denuncia en dark web. Soporte escala a Seguridad.
T+36h
Contención
CSIRT aísla hosts, bloquea C2, revoca sesión. Incidente crítico.

Línea de tiempo detallada

T+0 h
Spear phishing dirigido
Email suplantando al área de RRHH con asunto "Actualización de datos bancarios — acción requerida". Enlace a portal de credentials harvesting idéntico al login de VPN de NexoPay.
T+0 h
Credenciales comprometidas
El empleado de Finanzas ingresa usuario + contraseña en el portal falso (falla humana — RSK-003).
T+1 h
MFA fatigue (push bombing)
El atacante dispara >40 notificaciones push en 5 minutos. Sin number matching ni contexto, el empleado aprueba una para que pararan (falla del control C-02).
T+2 h
Acceso VPN
El atacante ingresa a la red corporativa con credenciales válidas y MFA aprobado.
T+6 h
Movimiento lateral
Alcanza segmentos de red sensibles (DB de clientes) desde una cuenta de Finanzas — falla de microsegmentación.
T+12 h
Exfiltración de datos
~480.000 registros de clientes extraídos (PII en claro + datos de tarjeta tokenizados). El SIEM generó una alerta de anomalía pero fue clasificada como falso positivo por un analista sobrecargado.
T+30 h
Despliegue de ransomware
Comienza el cifrado de 2 servidores de análisis no productivos.
T+36 h
Detección tardía
Un cliente reporta a soporte que sus datos aparecen en un foro de la dark web. Soporte escala a Seguridad. MTTD real ≈ 36 h (objetivo < 1 h).
T+36 h
Contención
El CSIRT aísla los hosts, bloquea el C2, revoca la sesión VPN y las credenciales. Se declara incidente Crítico.

2.3Respuesta al incidente

2.3.1 Contención

Acciones inmediatas para frenar la propagación:

  1. Aislamiento del host comprometido: desconectar la laptop del empleado de Finanzas de la red.
  2. Revocación de la sesión VPN y de todas las credenciales del usuario comprometido. Reset de contraseña + revocación de tokens MFA.
  3. Bloqueo de la IP del C2 en el firewall y en el proxy de salida.
  4. Aislamiento de los 2 servidores de análisis en cuarentena para preservar evidencia y detener el cifrado.
  5. Activación del CSIRT y declaración de incidente Crítico según la política de incidentes (sección 1.5).
  6. Comunicación al Comité de Seguridad y al CISO, que informa al CEO.

2.3.2 Erradicación

Acciones para eliminar la causa raíz y evitar recurrencia inmediata:

  1. Reimage de la laptop comprometida y de los 2 servidores cifrados desde imágenes limpias.
  2. Reset masivo de credenciales de todos los usuarios con acceso a la DB de clientes (medida cautelar).
  3. Parchado del mecanismo de MFA: desactivación temporal del MFA push y paso a TOTP (código de 6 dígitos) como medida intermedia.
  4. Cierre del vector de phishing: bloqueo del dominio falso, retroalimentación al filtro de correo, capacitación urgente al equipo de Finanzas.
  5. Revisión de logs para confirmar que no hay otras persistencias (cuentas creadas, tareas programadas, backdoors).

2.3.3 Recuperación

(Tratada en forma general, por ser materia de continuidad del negocio.)

  • Restauración de los 2 servidores desde backups verificados (control C-10/C-11).
  • Validación de integridad de la DB de clientes mediante hashes y comparación con backups.
  • Retorno gradual a operación normal con monitoreo reforzado 24/7 durante 2 semanas.

2.4Compliance y evidencia

2.4.1 Regulaciones afectadas

NormaImpacto del incidenteObligación
Ley 25.326 (Argentina)Exfiltración de datos personales de ~480k clientesNotificación a la AAPI sin demora indebida; aviso a los afectados
GDPR (UE)Clientes EU entre los afectadosNotificación a la autoridad de control en 72 h (Art. 33); aviso a interesados (Art. 34) si hay riesgo alto
PCI DSSDatos de tarjeta tokenizados (no PAN en claro), pero el incidente toca Req. 8 (auth), Req. 10 (logging), Req. 12 (respuesta a incidentes)Notificación a los bancos adquirentes y a la marca; investigación forense
ISO 27001Controles A.5.16 (identity), A.5.24-26 (incident management), A.8.15-16 (logging/monitoring) afectadosRevisar el SoA; registrar no conformidad; acción correctiva
BCRA (si aplica)Comunicación a la autoridad financiera por incidente en servicio de pagosNotificación operativa

Evidencia a preservar: logs del SIEM, imágenes de disco de los hosts comprometidos, capturas del portal de phishing, registros de MFA, timeline de acciones del CSIRT. La integridad de los logs (ACT-006) es clave para la investigación y para defender a la organización ante reguladores.

Etapa 3 · Mejora y Re-diseño

Mejora continua post-incidente

El incidente confirmó las fallas que el análisis de riesgos ya había señalado. La Etapa 3 traduce el aprendizaje en decisiones concretas.

3.1Nuevos controles

Cada control nuevo se vincula a una falla concreta del incidente.

Control nuevo / reforzadoFalla que cubreTipo
MFA phishing-resistant (FIDO2 / number matching + contexto)MFA fatigue (RSK-002)Preventivo
DLP — Data Loss Prevention sobre DB de clientesExfiltración no detectadaPreventivo + Detective
Regla SIEM "export anormal de PII" + alerta críticaAlerta mal clasificadaDetective
EDR con detección comportamental en todos los endpointsMovimiento lateral no detectadoDetective
Microsegmentación de red por rolAcceso desde Finanzas a segmentos sensiblesPreventivo
Threat hunting proactivo semanalDetección reactiva insuficienteDetective
Capacitación anti-phishing con simulacros mensualesEmpleado cedió credencialesPreventivo
Dotación mínima del SOC garantizada los fines de semanaDemora en triajeOrganizativo

Control clave: MFA phishing-resistant

Reemplazo del MFA push por FIDO2/WebAuthn (llaves de seguridad físicas o passkeys con biometría en dispositivo). Características:

  • Resistente a phishing: la autenticación se vincula al dominio real, por lo que un portal falso no puede capturar el reto.
  • Sin fatiga: no hay notificaciones que bombardear.
  • Number matching como mínimo si se conserva push: el usuario debe ingresar en el teléfono un número mostrado en pantalla.

Esto eleva la mitigación de RSK-002 de 0.5 a 0.85 (Excelente), bajando la probabilidad residual de 2 a 1 y la severidad residual de 10 a 5 (MEDIO).

Impacto del rediseño de MFA (RSK-002)
La mitigación pasa de 0.5 (Moderado) a 0.85 (Excelente). Severidad residual: 10 → 5 (ALTO → MEDIO).

3.2Cambios en políticas

PolíticaCambioPor qué
Política de control de accesosMFA obligatorio y phishing-resistant para VPN, admin y correo (no "recomendado")El MFA "recomendado" dejó un 30% sin proteger
Política de gestión de incidentesInclusión de simulacros (tabletop exercises) semestralesLa respuesta real evidenció falta de práctica
Política de acceso remotoAcceso VPN por rol con segmentación forzadaUn usuario de Finanzas no debe ver segmentos de DB
Política de clasificación de la informaciónExportación de PII solo con aprobación y registradaLa exfiltración fue silenciosa
Política de respuesta a phishingProcedimiento de reporte interno en 1 clic para empleadosAcelerar la detección humana

3.3Ajustes en roles

Problema detectadoAjuste propuesto
El empleado de Finanzas tenía acceso de red demasiado amplioAplicar least privilege en segmentación de red por rol
Las cuentas admin se gestionaban dentro del propio IT sin auditoría externaEl PAM pasa a ser administrado por IT pero auditado por Seguridad mensualmente
El SOC estaba bajo dotación en fin de semanaContratar rotación de guardias o MSSP de respaldo para cobertura 24/7
El triaje de alertas dependía de un solo analistaDoble revisión de alertas clasificadas como falso positivo si tocan PII
Sin segregación clara entre quien detecta y quien contieneFormalizar que el SOC detecta y escala, el CSIRT contiene (ya estaba, pero se documenta y entrena)

3.4Incorporación de métricas

Se mantienen las 3 de la Etapa 1 (reajustando objetivos) y se suman 2 nuevas:

MétricaTipoObjetivo nuevoOrigen
MTTD — Tiempo medio de detecciónKPI< 1 h (era "objetivo", ahora exigible)Etapa 1
% empleados con MFA (FIDO2) habilitadoKPI100% en 90 díasEtapa 1, reforzado
Tasa de éxito de phishingKRI< 5% con simulacros mensualesEtapa 1
MTTR — Tiempo medio de contenciónKPI< 15 min para incidentes críticosNueva
Volumen de exportaciones de PII bloqueadasKRITendencia a 0 alertas críticasNueva (DLP)
MTTR — Tiempo medio de contenciónKPI · Nueva (Etapa 3)
  • Σ tiempo — suma de los tiempos desde la detección hasta la contención de cada incidente.
  • nº de incidentes — cantidad de incidentes del período. Objetivo < 15 min para incidentes críticos.

Cómo se usan: el CISO las presenta al Comité mensualmente. Si un KRI cruza el umbral, dispara una revisión de riesgo. Si un KPI no cumple, dispara un plan de acción. Las métricas hacen que la seguridad sea gestionable con datos, no con intuición.

Tablero de métricas — Etapa 3 (post-mejora)
5 métricas con objetivos recalibrados. Se añaden MTTR y volumen de exportaciones bloqueadas por el DLP.

3.5Mejora continua (PDCA)

NexoPay adopta el ciclo PDCA (Plan-Do-Check-Act) de ISO 27001 como motor de mejora continua. Hacé clic en cada fase del diagrama para ver su detalle.

PDCA ISO 27001 PLAN Planificar DO Hacer CHECK Verificar ACT Actuar
Seleccioná una fase del diagrama

Plan (Planificar)

Definir objetivos y controles.

Ej.: plan anual de seguridad, apetito de riesgo, nuevas políticas post-incidente.

Ciclo aplicado al incidente: el incidente fue un Check brutal que alimentó un Act concreto (todos los cambios de la Etapa 3). La mejora continua no es un lema: es el mecanismo que asegura que el próximo incidente sea detectado en minutos, no en días, y que el mismo vector no funcione dos veces.

Conclusión

NexoPay tenía un programa de seguridad razonable: riesgos identificados, controles implementados, políticas definidas, métricas elegidas. Pero el incidente reveló la diferencia entre tener un control y que ese control sea efectivo. El MFA existía, pero su variante push era vulnerable a la fatiga; el SIEM existía, pero sus reglas no alertaban sobre la exfiltración; la segmentación existía, pero era insuficiente.

El valor del trabajo no está en listar controles, sino en mostrar que la seguridad es un ciclo: el análisis de riesgos anticipó los puntos débiles (RSK-002 y RSK-003 residuales ALTOS), el incidente los confirmó, y la Etapa 3 los cierra con controles phishing-resistant, detección comportamental y segregación real. La mejora continua (PDCA) es lo que convierte un incidente en una mejora permanente del programa.

Aprendizaje central para el directorio

La seguridad no se mide por cuántos controles se tienen, sino por cuán rápido se detecta y se contiene cuando algo falla — porque algo siempre falla. Ahí es donde las métricas (MTTD, MTTR) y la práctica (simulacros) marcan la diferencia entre un incidente manejable y una crisis.