El número de filtraciones de datos, durante 2024 e investigadas por Verizon, aumentó 20 puntos porcentuales en total de incidentes, con respecto al año anterior. Esto no tiene por qué ser tan catastrófico como parece para los defensores de la red. Siempre y cuando los equipos sean capaces de responder con rapidez y decisión a las intrusiones. 

La preparación es la clave de una respuesta a incidentes (IR) eficaz. Aunque cada organización (y cada incidente) es diferente, si todos los miembros del equipo de respuesta a incidentes saben exactamente lo que tienen que hacer, y nada queda librado al azar o a inventar sobre la marcha hay más posibilidades de que la resolución sea rápida, satisfactoria y de bajo costo.

Una vez que las amenazas se introducen en la red, el tiempo juega en contra y detenerlas antes de que lleguen a provocar daño es cada vez más difícil: según las últimas investigaciones, en 2024 los adversarios fueron un 22% más rápidos que en el año anterior para progresar desde el acceso inicial hasta el movimiento lateral (también conocido como «tiempo de fuga»). El tiempo medio de penetración fue de 48 minutos, aunque el ataque más rápido registrado fue casi la mitad: solo 27 minutos.

Por otro lado, hay un fuerte incentivo económico para responder de forma rápida y efectiva a los incidentes de seguridad. Según IBM, las brechas que se detectan y contienen en menos de 200 días tuvieron este año un costo promedio de 3,9 millones de dólares, lo que representa una baja del 5% respecto al año anterior. En cambio, aquellas que superan los 200 días cuestan más de 5 millones. Esto demuestra que acertar con la respuesta a incidentes (IR) puede generar un ahorro significativo.

Ransomware detections from June 2024 to May 2025

Detecciones de ransomware entre junio de 2024 y mayo de 2025 (fuente: ESET Threat Report H1 2025)

5 pasos a seguir tras una brecha

Ninguna organización es 100% a prueba de brechas. Si sufre un incidente y sospecha de un acceso no autorizado, se debe trabajar metódicamente y con rapidez.

Por ello, acercamos esta guía que cómo actuar durante las primeras 24 a 48 horas con rapidez y minuciosidad, sin comprometer la precisión ni las pruebas.

1. Recopilar información y comprender el alcance

El primer paso es comprender exactamente qué sucedió, activar el plan de respuesta a incidentes preestablecido y notificarlo al equipo. Este grupo debe incluir a las partes interesadas de toda la empresa, incluidos las áreas de recursos humanos, de relaciones públicas y comunicación, el departamento jurídico y la dirección ejecutiva. Todos ellos tienen un importante papel que desempeñar tras el incidente.

A continuación, calcula el radio de acción del ataque:

  • ¿Cómo ha entrado el adversario en la red de la empresa?
  • ¿Qué sistemas se han visto comprometidos?
  • ¿Qué acciones maliciosas han realizado ya los atacantes?

Documentar cada paso y recopilar pruebas es fundamental, tanto para evaluar el impacto del ataque, como para la etapa de investigación forense e, incluso para futuros procesos legales. Mantener la cadena de custodia garantiza la credibilidad en caso de que deban intervenir las fuerzas de seguridad o los tribunales.

2. Notificar a terceros

Una vez que se haya establecido qué sucedió, es necesario informar a las autoridades pertinentes.

  • Reguladores: Si se ha robado información de identificación personal (PII), hay que ponerse en contacto con las autoridades que correspondan en virtud de las leyes de protección de datos o específicas del sector. En los Estados Unidos, por ejemplo, debe actuarse de acuerdo a las normas de divulgación de ciberseguridad de la SEC o las leyes de violación a nivel estatal.
  • Aseguradoras: La mayoría de las pólizas de seguros estipularán que se informe a su proveedor de seguros tan pronto como se haya producido una violación.
  • Clientes, socios y empleados: La transparencia genera confianza y ayuda a evitar la desinformación. Es mejor que se enteren antes de que la información se difunda por redes sociales o medios de comunicación.
  • Fuerzas y cuerpos de seguridad: Informar de incidentes, especialmente de ransomware, puede ayudar a identificar campañas más grandes y, a veces, proporcionar herramientas de descifrado o apoyo de inteligencia.
  • Expertos externos: También puede ser necesario ponerse en contacto con especialistas legales e informáticos externos.

3. Aislar y contener

Mientras se mantiene el contacto con los terceros pertinentes, se debe trabajar con rapidez para evitar la propagación del ataque. Es recomendable aislar de internet los sistemas afectados sin apagar los dispositivos, para limitar el alcance del atacante sin comprometer posibles pruebas valiosas.

Todas las copias de seguridad deben estar fuera de línea y desconectadas para evitar que sean secuestradas o el ransomware pueda corromperlas. Hay que desactivar todos los accesos remotos, restablecer las credenciales VPN y utilizar herramientas de seguridad para bloquear cualquier tráfico malicioso entrante y las conexiones de comando y control.

4. Eliminar y recuperar

Una vez establecida la contención, hay que pasar a la etapa de erradicación y recuperación. Primeramente, se debe realizar el análisis forense para comprender las tácticas, técnicas y procedimientos (TTP) del atacante, desde la entrada inicial hasta el movimiento lateral y (si procede) el cifrado o la extracción de datos. Y eliminar cualquier malware persistente, backdoors, cuentas fraudulentas y otros signos de peligro.

Ahora es el momento de recuperar y restaurar. Las acciones clave incluyen

  • eliminar el malware y las cuentas no autorizadas.
  • verificar la integridad de los sistemas y datos críticos
  • restaurar copias de seguridad limpias (tras confirmar que no están comprometidas).
  • vigilar de cerca la aparición de indicios de un nuevo compromiso o de mecanismos de persistencia.

En esta fase puede aprovecharse la reconstrucción de los sistemas para reforzar los controles de privilegios, implementar una autenticación más estricta y reforzar la segmentación de la red. Para acelerar proceso de restauración puede recurrirse a ayuda de socios que ofrezcan herramientas como Ransomware Remediation de ESET.

5. Revisar y mejorar

Una vez pasado el peligro inmediato, es momento de revisar las obligaciones con los organismos reguladores, los clientes y otras partes interesadas (por ejemplo, socios y proveedores). Será necesario actualizar las comunicaciones una vez que se comprenda el alcance de la infracción, lo que podría incluir una presentación ante los organismos reguladores. Esta iniciativa debería impulsarse desde los asesores jurídicos y de relaciones públicas.

La revisión posterior al incidente puede ser un catalizador para la resiliencia. Una vez que se ha calmado el ambiente, también es buena idea averiguar qué ocurrió y qué lecciones se pueden aprender para evitar que se produzca un incidente similar en el futuro.

En esta etapa es fundamental examinar qué falló y actualizar el plan de gestión de incidentes, las guías de actuación y procedimientos de escalada. Otro punto útil sería introducir ajustes en el plan de gestión de incidentes o recomendar nuevos controles de seguridad y consejos para la formación de los empleados.

Una cultura sólida tras un incidente trata cada brecha como un ejercicio de entrenamiento para la siguiente, mejorando las defensas y la toma de decisiones en situaciones de estrés.

Más allá de las TI

No siempre es posible evitar una brecha, pero sí minimizar los daños. Si su organización no dispone de recursos para vigilar las amenazas 24 horas al día, 7 días a la semana, considere la posibilidad de contratar un servicio de detección y respuesta gestionadas (MDR) de un tercero de confianza. Pase lo que pase, ponga a prueba su plan de IR, y luego vuelva a ponerlo a prueba. Porque el éxito de la respuesta a incidentes no es solo una cuestión de TI. Requiere que una serie de partes interesadas de toda la organización y externas trabajen juntas en armonía. El tipo de memoria muscular que todos necesitan suele requerir mucha práctica para desarrollarse.