# ESCENARIO: Ayuntamiento de Villa Norte

## Contexto organizativo

El Ayuntamiento de Villa Norte (25.000 habitantes) dispone de:

### Infraestructura

* 1 servidor web (sede electrónica)
* 1 servidor de base de datos (padrón municipal)
* 1 servidor de ficheros interno
* 1 firewall perimetral
* 12 equipos administrativos
* 1 NAS de copias de seguridad

### Herramientas de seguridad

* Elastic Stack (con Filebeat en servidores Linux)
* Suricata como IDS en el firewall
* Antivirus corporativo en endpoints

### Activos críticos

* Base de datos del padrón (datos personales)
* Sede electrónica (trámites ciudadanos)
* Sistema contable municipal

### Política

* SLA incidentes críticos: 4h
* SLA incidentes medios: 24h
* Clasificación basada en tipología tipo ENISA

---

## Rol del alumnado

El alumnado actúa como **Técnico/a de Sistemas y Seguridad del Ayuntamiento**, responsable de:

* Revisar alertas en Elastic
* Registrar incidentes
* Escalar a proveedor externo si procede

No realiza análisis forense ni investigación avanzada.

---

# LÍNEA TEMPORAL (INCOMPLETA)

* 08:12 – Alerta IDS
* 08:14 – Evento autenticación SSH
* 08:17 – Tráfico saliente inusual
* 09:05 – Usuario reporta lentitud en sede electrónica

---

# EXTRACTOS DE LOGS

### Suricata (fast.log)

```
05/02/2026-08:12:44.102345  [**] [1:2010935:3] ET SCAN Potential SSH Scan OUTBOUND [**]
[Classification: Attempted Information Leak] 
[Priority: 2] 
{TCP} 192.168.10.15:22 -> 185.234.217.55:49822
```

```
05/02/2026-08:17:02.889211  [**] [1:2024218:4] ET POLICY Possible Data Exfiltration via SSH [**]
[Classification: Potential Corporate Privacy Violation]
[Priority: 1]
{TCP} 192.168.10.15:22 -> 185.234.217.55:49880
```

---

### Filebeat ? Elasticsearch (auth.log)

```json
{
  "@timestamp": "2026-02-05T08:14:03.221Z",
  "host": "srv-web-ayto",
  "log.file.path": "/var/log/auth.log",
  "event.action": "ssh_login",
  "user.name": "backupadmin",
  "source.ip": "185.234.217.55",
  "event.outcome": "success"
}
```

---

# ALERTA EN ELASTIC (RESUMEN TABLA)

| Hora  | Host         | Tipo alerta                    | Severidad |
| ----- | ------------ | ------------------------------ | --------- |
| 08:12 | srv-web-ayto | SSH Scan detected              | Media     |
| 08:17 | srv-web-ayto | Possible SSH data exfiltration | Alta      |

---

# TAREA PARA EL ALUMNADO

1. Clasificar el incidente según taxonomía (referencia tipo ENISA).
2. Valorar impacto y probabilidad (matriz riesgo).
3. Registrar el incidente en formato ticket alineado con fases de NIST (identificación, análisis inicial, contención inicial, estado).
4. Definir:

   * Nivel de prioridad
   * Estado del incidente
   * Acciones de seguimiento
   * ¿Requiere escalado externo?

No se debe realizar investigación forense ni determinar causa raíz. Solo gestión estructurada del incidente.