Un equipo de respuesta a incidentes de seguridad informática (CSIRT) constituye el mecanismo institucional encargado de prevenir, detectar, analizar y coordinar la respuesta ante eventos que afectan los activos digitales. Su implementación permite centralizar procedimientos, reducir los tiempos de reacción, estandarizar la comunicación entre áreas técnicas, fortalecer la resiliencia tecnológica y alinear la institución con marcos de referencia ampliamente reconocidos para dar cumplimiento normativo. Sin embargo, la conformación de un CSIRT no es únicamente un desafío técnico, sino también organizacional, pues implica estructurar roles, servicios, flujos de información, herramientas y métricas de desempeño que garanticen una operación eficaz y sostenible.

El crecimiento constante de ciberataques a nivel global ha consolidado la seguridad de la información como aspecto fundamental para la continuidad operativa de las organizaciones. Las instituciones de educación superior, en particular se enfrentan a condiciones de exposición critica debido al volumen y la sensibilidad de datos que administran, la diversidad de actores que interactúan con ella y la magnitud de su arquitectura tecnológica. Incidentes como ransomware, accesos no autorizados, alteración de sitios web y fugas de información representan riesgos significativos para la integridad académica, reputación institucional y los procesos administrativos. En este contexto, contar con capacidades organizadas y especializadas para gestionar incidentes se ha vuelto indispensable, y es eso lo que hemos identificado efectivamente en el Área de Tecnología de una Institución de Educación Superior (IES).

Este proyecto presenta una propuesta integral para el diseño e implementación de un CSIRT alineado a las necesidades de una institución de educación superior, basado en un enfoque metodológico de investigación-acción y en el desarrollo de un Mínimo Producto Viable (MVP) que integra herramientas de software libre. A partir de su despliegue en un entorno controlado de contenedores y la ejecución de simulaciones de incidentes críticos Web defacement y Ransomware, se evalúa la capacidad del modelo para mejorar los tiempos de detección y respuesta, optimizar la coordinación interna y fortalecer la postura de seguridad institucional. Finalmente, se presentan los resultados preliminares, el análisis de desempeño, las implicaciones de su implementación y las oportunidades de mejora que orientan el camino hacia un CSIRT maduro, operativo y sostenible.

• Se elaboró un diagnóstico con el registro de las capacidades actuales del área de tecnología y las capacidades futuras que se propone implementar para complementar avanzar en la construcción de un CSIRT funcional.

• Se redactaron documentos con la estructura planificada del CSIRT, sus respectivos roles y responsabilidades, las interacciones del CSIRT con otras áreas de la institución educativa y actores clave junto a la información compartida en cada una, y la descripción detallada de los servicios que va a ofrecer el CSIRT.

• Se elaboraron formatos de respuesta a incidentes para dos incidentes que aún estaban pendientes: Web Defacement y Ransomware, ambos sujetos a una estructura definida por el área de tecnología.

• Se construyó un entorno de laboratorio donde se instalaron, configuraron y consolidaron en funcionamiento las herramientas en estudio (Wazuh y MISP), y se estableció un diseño para las pruebas con este entorno y unos artefactos para verificar su ejecución.

• Luego de la ejecución de pruebas, se estimó para el MVP un MTTD de 8-12 segundos, un MTTR de 3-5 segundos y una Tasa de Eficiencia del 92%. Con un tiempo notablemente reducido, estos valores sugieren la agilización de las partes más críticas de la respuesta a incidentes (detección, análisis, contención, erradicación y recuperación).