Ciberincidente: Qué hacer en las primeras 24 horas

Los primeros 30 minutos: respuesta inmediata

Los momentos inmediatamente posteriores a la detección de un incidente son caóticos. Esto es lo que hay que priorizar en la primera media hora:

• No te precipites. Las acciones apresuradas pueden destruir evidencias forenses y propagar el incidente.
• Activa tu equipo de respuesta a incidentes. Alerta inmediatamente a tu CISO, responsable de seguridad IT y asesor legal. Si tienes un retainer de IR, llama a tu proveedor ahora.
• Identifica el alcance. ¿Qué sistemas están afectados? ¿El ataque está en curso? ¿Se está exfiltrando datos en este momento?
• Aísla, no apagues. Desconecta los sistemas afectados de la red, pero no los apagues. La memoria en ejecución contiene evidencias forenses que se pierden al apagar.
• Inicia un registro de crisis. Documenta cada acción realizada con marcas de tiempo. Este registro es esencial para la investigación forense, los procedimientos legales y los informes regulatorios.

El plan de respuesta a incidentes en 8 pasos

Paso 1: Preparación (antes de que ocurra)

El mejor momento para prepararse para un incidente es antes de que ocurra. Esto implica disponer de un plan de respuesta a incidentes probado, roles definidos y vías de escalada, listas de contacto para el proveedor de IR, asesores legales y reguladores, y acceso preacordado a herramientas forenses y experiencia especializada.

Paso 2: Detección e identificación

Confirma que realmente se ha producido un incidente. Distingue entre un incidente de seguridad real, un falso positivo y una interrupción de IT. Documenta los indicadores de compromiso (IoC), los sistemas afectados y el vector de ataque sospechoso (phishing, explotación de vulnerabilidad, insider, cadena de suministro, etc.).

Paso 3: Contención

Evita que el incidente se propague. Aísla los sistemas afectados a nivel de red (VLANs, reglas de firewall, desconexión física). Deshabilita las cuentas comprometidas. Bloquea las direcciones IP y dominios maliciosos conocidos. Distingue entre contención a corto plazo (detener la hemorragia) y a largo plazo (entorno estable aislado para la investigación).

Paso 4: Preservación de evidencias

Antes de limpiar, captura evidencias forenses. Crea imágenes de disco de los sistemas afectados. Recopila volcados de memoria de los sistemas en ejecución antes de apagarlos. Exporta los logs relevantes (SIEM, firewall, endpoint, cloud) y preserva su integridad con hashes criptográficos. Mantén documentación de cadena de custodia si es probable que haya acciones legales.

Paso 5: Erradicación

Elimina la amenaza de tu entorno. Esto incluye eliminar el malware, cerrar las vulnerabilidades explotadas, revocar las cuentas o mecanismos de acceso persistente creados por el atacante, y parchear los sistemas comprometidos. Verifica que el atacante no tiene puntos de apoyo restantes antes de continuar.

Paso 6: Recuperación

Restaura los sistemas desde copias de seguridad limpias y verificadas. Restablece todas las credenciales que puedan haber quedado expuestas. Aumenta la monitorización de los sistemas recuperados y vigila los signos de reinfección. Restaura las operaciones de negocio de forma controlada y escalonada, comenzando por los sistemas más críticos.

Paso 7: Comunicación y notificación

Gestiona cuidadosamente las comunicaciones internas y externas. Mantén informada a la dirección con actualizaciones periódicas de la situación. Notifica a los clientes y socios afectados si sus datos han sido comprometidos. Involucra a asesores de comunicación si es probable la atención mediática. Presenta las notificaciones regulatorias en los plazos requeridos (ver sección RGPD/AEPD).

Paso 8: Revisión post-incidente

En el plazo de 1-2 semanas tras la resolución del incidente, realiza una revisión exhaustiva. ¿Qué ocurrió? ¿Cómo entró el atacante? ¿Qué funcionó bien en la respuesta? ¿Qué falló? Actualiza tu plan de respuesta a incidentes, parchea vulnerabilidades adicionales e implementa controles de detección mejorados para prevenir su repetición.

Lo que NO debes hacer durante un ciberincidente

• No borres inmediatamente los sistemas afectados. Destruirás evidencias forenses necesarias para entender el ataque y cumplir con los requisitos regulatorios.
• No pagues el rescate sin asesoramiento experto. El pago no garantiza la recuperación de los datos, puede financiar organizaciones criminales y puede vulnerar la normativa de sanciones en algunas jurisdicciones.
• No te comuniques a través de canales comprometidos. Si el correo o Slack están comprometidos, usa canales fuera de banda (teléfono, Signal, dispositivos separados).
• No hagas declaraciones públicas sin revisión legal. Las declaraciones públicas inexactas sobre un incidente pueden crear una responsabilidad legal significativa.
• No intentes gestionarlo solo. La respuesta a incidentes es una habilidad especializada. Implicar experiencia externa desde el principio reduce el coste total y mejora los resultados.

RGPD y AEPD: la obligación de notificación en 72 horas

Si el incidente implica una brecha de datos personales, el artículo 33 del RGPD exige notificación a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas desde que se tiene conocimiento de la brecha. Si la brecha supone un alto riesgo para los derechos y libertades de las personas, también debes notificar directamente a los afectados (artículo 34).

Puntos clave para la notificación de brechas bajo el RGPD:

• El plazo de 72 horas comienza cuando tienes conocimiento de la brecha, no cuando ocurrió
• Si no puedes proporcionar todos los detalles en 72 horas, puedes enviar una notificación inicial y completarla posteriormente
• Documenta tu proceso de toma de decisiones, incluso si decides no notificar
• Bajo NIS2, los incidentes significativos también deben notificarse a la autoridad competente nacional en un plazo de 24 horas (aviso temprano)

El incumplimiento de los plazos de notificación puede resultar en multas de hasta 10 millones de euros o el 2% del volumen de negocio anual global bajo el RGPD.

El coste de un ciberincidente

El IBM Cost of a Data Breach Report 2024 revela que el coste medio global de una brecha de datos alcanzó los 4,88 millones de dólares, la cifra más alta registrada. Esto incluye costes directos (forense, legal, notificación, multas regulatorias) e indirectos (interrupción del negocio, pérdida de clientes, daño reputacional, aumento de primas de seguros).

Las organizaciones con un retainer de respuesta a incidentes resolvieron las brechas 54 días antes que aquellas sin él, reduciendo significativamente el coste total. Disponer de un plan de IR probado y un proveedor de IR de confianza bajo retainer es una de las inversiones con mayor ROI en ciberseguridad.

Preguntas frecuentes sobre respuesta a incidentes

¿Qué es un retainer de respuesta a incidentes?

Un retainer de IR es un acuerdo pactado de antemano con un proveedor de respuesta a incidentes que te garantiza acceso prioritario a su equipo cuando se produce un incidente. Los clientes bajo retainer reciben respuesta prioritaria, tarifas preacordadas y revisiones anuales de preparación para asegurar que la relación está lista cuando se necesita.

¿Debemos pagar un rescate?

Esta decisión nunca debe tomarse sin asesoramiento legal, forense y de ciberseguros. No hay garantía de que el pago restaure los datos. Muchas organizaciones que pagan vuelven a ser atacadas en cuestión de meses. Los organismos de aplicación de la ley y los reguladores generalmente aconsejan no pagar. Involucra a expertos antes de tomar cualquier decisión.

¿Cómo sabemos si hemos sido víctimas de una brecha?

Indicadores comunes incluyen: tráfico de red saliente inusual, bloqueos de cuentas inesperados, notificaciones de ransomware, archivos cifrados o renombrados, alertas de seguridad de herramientas de endpoint, o notificación externa (de un proveedor de inteligencia de amenazas, de las fuerzas de seguridad o de un tercero). Muchas brechas son descubiertas por terceros meses después del compromiso inicial.

¿Qué es un ejercicio de mesa (tabletop exercise)?

Un ejercicio de mesa es una simulación basada en discusión de un ciberincidente. Las partes interesadas clave (IT, legal, comunicaciones, dirección) analizan un escenario realista para identificar carencias en el plan de respuesta a incidentes antes de que ocurra un incidente real. DEFION ofrece ejercicios de mesa como parte de su servicio de Preparación para la Respuesta a Incidentes.

¿Cuánto tiempo dura la respuesta a un incidente?

La contención de un incidente activo suele llevar entre 24 y 72 horas en casos sencillos. La investigación completa, la erradicación y la recuperación pueden tardar entre 1 y 4 semanas dependiendo de la escala y la complejidad del ataque. Las actividades de revisión y refuerzo post-incidente extienden aún más el plazo.

¿Cuál es la diferencia entre respuesta a incidentes y forense digital?

La respuesta a incidentes se centra en contener y resolver el incidente lo más rápido posible. La forense digital es la investigación y documentación sistemática de qué ocurrió, cómo y por qué. La forense se lleva a cabo durante y después de la respuesta a incidentes, y sus hallazgos son esenciales para procedimientos legales, informes regulatorios y la prevención de futuros incidentes.