Qué hacer al detectar una webshell: respuesta rápida y ordenada

La primera reacción no debe ser técnica sin control.
Cuando sospechas una webshell, lo más importante es que tu equipo mantenga la calma y siga una secuencia.

Primeros 60 minutos: orden de prioridades

1. Aísla sin apagar

• Si confirmas que el servidor está activo, separa su conexión hacia servicios críticos.
• Mantén el sistema en estado estable para conservar evidencia.
• Evita reinicios innecesarios mientras no se haya documentado.

2. Activa contención de red

• Bloquea acceso administrativo al servidor comprometido.
• Restringe tráfico saliente inusual por reglas de firewall o WAF.
• Revisa si hay otros activos con patrones de comando similares.

3. Conserva evidencia forense

• Captura captura de configuración, reglas de acceso y logs recientes.
• Copia de forma segura:
  • registros de autenticación,
  • cambios de archivo,
  • alertas de WAF y servidor web.
• Registra quién tomó cada acción y a qué hora.

Qué hacer en las siguientes 4 horas

4. Determina alcance

• Identifica desde qué URL o endpoint llegó la carga útil.
• Busca indicios de otros archivos subidos o modificados.
• Verifica credenciales de administración utilizadas.

5. Cambia llaves y credenciales críticas

• Rota secretos de servicio y credenciales administrativas.
• Revoca sesiones activas.
• Cierra integraciones de terceros comprometidas hasta validación.

6. Limpieza controlada

• Elimina archivos no autorizados y reglas creadas fuera de cambio.
• Reinstala componentes críticos si la integridad está en duda.
• Valida configuración de permisos y usuarios antes de reabrir acceso.

Fase de recuperación y lecciones

No basta con “quitar el archivo”. La recuperación útil incluye:

• Revisión de controles de carga de archivos.
• Fortalecimiento de autenticación multifactor.
• Actualización de reglas de monitoreo para detectar repetición.
• Simulación interna del escenario para entrenar al equipo.

Plan de comunicación

Documenta un mensaje simple:

• Qué sucedió (sin atribuir detalles técnicos excesivos).
• Qué sistemas se vieron afectados.
• Qué medidas de contención se aplicaron.
• Qué impacto operativo hay y cuándo se estima normalización.

Esto evita rumor y acelera la decisión ejecutiva.

Controles preventivos recomendados

• WAF con reglas estrictas para rutas de subida de archivos.
• Revisión de permisos de directorios de escritura.
• Integración de alertas por cambios de código y actividad fuera de horario.
• Inventario de scripts y módulos instalados.

Controles defensivos complementarios

• Prevención de webshells
• Entender reverse shells
• Fases del manejo de incidentes
• Respuesta general de incidentes