Resumen:
Hoy en día, las pequeñas y medianas empresas (PYMEs) son especialmente vulnerables a los ciberataques debido a sus limitaciones de presupuesto y personal especializado. Este trabajo final de graduación propone un modelo de recuperación autónomo ante incidentes de seguridad que prioriza la restauración de los sistemas después de un ciberataque y la continuidad operativa utilizando herramientas de código abierto.
Esta arquitectura integra Wazuh para la detección de amenazas y respuesta activa (active response), scripting en Python para la orquestación de la respuesta y VirtualBox (VBoxManage) para la recuperación en entornos virtualizados. Se establecen criterios de activación, trazabilidad y un instrumento de medición aplicado en un laboratorio controlado, mediante el cual se evalúan métricas de desempeño como el tiempo medio de recuperación (MTTR) y la distribución de tiempos por fase del flujo automatizado.
El aporte principal de este trabajo es un “mini-SOAR” de bajo costo, replicable y alineado con el contexto de las PYMEs que buscan reducir sus tiempos de recuperación y mejorar la ciberresiliencia sin depender de licencias propietarias. Como limitación, la validación del modelo se realiza en un entorno de laboratorio con un conjunto acotado de escenarios de ataque y una topología específica, por lo que se recomienda, en trabajos futuros, ampliar el número de casos de prueba y entornos evaluados para reforzar la evidencia empírica sobre su eficacia y viabilidad de adopción.
