SHIELD

Organización y equipo

Respuesta a incidentes en campo: los primeros 90 minutos

Lo que se hace en los primeros 90 minutos de un incidente de seguridad, sobre el terreno, sin los recursos de un gran grupo.

Publicado el 16 min de lectura Critical

Última revisión:

Sala de reuniones de empresa moderna

Son las 23:17. Una directora administrativa me llama, con la voz pálida: un correo firmado por el CEO pide una transferencia «urgente y confidencial», acaba de comprender que no era él. Primera pregunta que hago: «¿La transferencia ha salido?» Silencio. «Sí, hace cuarenta minutos.» Segunda pregunta: «¿Tiene todavía el ordenador encendido, el correo abierto?» «No, lo he cerrado todo y reiniciado para estar tranquila.» Ahí es donde empiezan las verdaderas pérdidas: no con el ataque, con los cuarenta minutos de silencio y el reinicio que lo borra todo.

Angle de lecture

La trampa habitual

La respuesta a incidentes se resume, en la cabeza de la mayoría de la gente, en «llamar a alguien que sepa». Esa frase supone dos cosas falsas: que ese alguien existe y descuelga, y que los primeros minutos no cuentan mientras se acabe contactando con la persona adecuada. Las dos son falsas. La persona casi nunca está localizable en la hora siguiente, y los primeros minutos son precisamente los que determinan la magnitud de los daños.

La segunda trampa es el reflejo de limpieza. Ante un dispositivo que se comporta mal, una cuenta que envía correos sola, un correo de rescate, el instinto dice: ciérralo todo, reinicia, lanza el antivirus, borra el archivo sospechoso. Cada uno de estos gestos destruye pruebas y, a menudo, no detiene nada en absoluto. El atacante no está en la habitación; opera desde un servidor al otro lado del mundo, y apagar la máquina no lo desconecta: solo borra lo que habría permitido entender lo que ha hecho.

La tercera trampa, la más costosa, es la idea de que la respuesta a incidentes se concibe durante el incidente. El NISTInstituto americano que publica los estándares de referencia en ciberseguridad (CSF, SP 800-*)., en su guía de referencia, el SP 800-61Proceso estructurado de gestión de un incidente de seguridad: detección, contención, erradicación, recuperación., sitúa la preparación como primera fase del ciclo, incluso antes de la detección. No es teoría burocrática. Cuando el incidente llega, ya no tiene el ancho de banda mental para reflexionar: ejecuta lo que ya está decidido, o improvisa mal. Los primeros 90 minutos no se inventan a las 23:17. Se preparan un martes por la tarde tranquilo, semanas antes.

Lo que pasa de verdad en los primeros 90 minutos

Un incidente, sobre el terreno, nunca llega bajo la forma limpia de los manuales. Llega como una duda. «Qué raro, este correo.» «Mi portátil va lento desde esta mañana.» «¿Por qué estoy desconectado de todas mis cuentas?» La primera batalla no es técnica, es cognitiva: reconocer que quizá se tiene un incidente, y aceptar reaccionar como tal antes de estar seguro. El coste de una falsa alarma tratada en serio es bajo. El coste de un incidente real tratado como una falsa alarma es catastrófico.

El modelo de amenaza real sobre el terreno cabe en tres familias. La primera: el compromiso de cuenta. Credenciales robadas por phishingAtaque de ingeniería social que empuja a la víctima a dar sus credenciales o ejecutar código., reutilizadas desde una filtración, o capturadas vía un MFAAutenticación de múltiples factores: combinar dos pruebas de identidad independientes para iniciar sesión. eludido. La señal típica: conexiones desde un país donde usted no está, reglas de reenvío automático creadas en la mensajería sin su acción, correos enviados en su nombre. La segunda: el dispositivo comprometido. Software malicioso, acceso físico durante una ausencia, implante instalado. Señales: lentitud repentina, batería que se derrite, aplicaciones desconocidas, conexiones de red inesperadas. La tercera: el fraude por ingeniería social, del que el fraude del CEOEstafa en la que un atacante se hace pasar por un directivo para ordenar una transferencia urgente. es el caso estrella —sin software malicioso, solo un humano manipulado que ejecuta él mismo la acción del atacante.

Estas tres familias tienen un punto en común: el tiempo juega en su contra, y de forma no lineal. En los primeros minutos, los daños son contenibles —una sesión todavía abierta que se puede revocar, una transferencia todavía en cola que se puede bloquear, un atacante todavía en fase de reconocimiento—. Pasado cierto umbral, el atacante ha consolidado su posición: ha creado accesos persistentes, exfiltrado lo que le interesaba, borrado sus rastros. La ventana útil se cuenta en decenas de minutos, no en días. Por eso la metáfora de los 90 minutos se sostiene: no es una cifra mágica, es el orden de magnitud de la ventana durante la cual sus acciones todavía cambian el desenlace.

Comprenda cómo un atacante explota una cuenta de correo comprometida, porque es el escenario más común y el peor gestionado. Lo primero que hace no es robarle: es instalarse. Crea una regla de reenvío silenciosa que copia sus correos entrantes hacia una dirección externa. Consulta sus contactos, su historial de transferencias, el tono de sus intercambios con contabilidad. Espera. A veces varias semanas. El día en que llega una factura real de un proveedor, interviene: modifica el IBAN, responde en su lugar, y la transferencia sale hacia su cuenta. Usted no ve nada, porque sus respuestas se borran de su bandeja de «enviados» sobre la marcha. Cuando descubre el problema, el dinero se ha ido y el atacante ya conoce su próximo vencimiento. En un dispositivo comprometido, la mecánica difiere pero la lógica es idéntica: el implante no hace ruido, observa, espera el momento en que usted teclea la contraseña que abre la caja fuerte real.

El disparador del incidente rara vez es, sobre el terreno, una alerta técnica limpia. Es un proveedor que se extraña de no haber sido pagado mientras usted tiene la orden de transferencia ante sus ojos. Es un compañero que pregunta por qué le ha enviado un archivo zip a las 3 de la mañana. Es el banco que llama para confirmar una transferencia que usted no ha iniciado. En todos estos casos, el incidente empezó mucho antes de que usted tuviera conocimiento de él —y el contador de los 90 minutos no arranca con la intrusión, arranca con su toma de conciencia—. Por eso exactamente la detección cuenta tanto: cuanto antes descubra, más se mantiene abierta la ventana útil. Una empresa que descubre el compromiso por su propia supervisión todavía tiene cartas en la mano. Una empresa que lo descubre por el mensaje de rescate mostrado en sus pantallas ya no tiene ninguna.

La rutina de los 90 minutos: aislar, preservar, alertar

El enfoque correcto cabe en tres verbos, ejecutados en este orden, y aprendidos de memoria antes del incidente: aislar, preservar, alertar. Este orden no es negociable, porque cada etapa protege la siguiente. Se aísla para detener la hemorragia, se preserva para poder comprender, se alerta para movilizar a quienes decidirán lo que sigue. La mayoría de la gente hace lo contrario —entra en pánico, limpia, luego llama— y pierde los tres beneficios de golpe.

Aislar quiere decir cortar el acceso del atacante, no cortar la corriente. Para una cuenta comprometida: cambiar inmediatamente la contraseña de la cuenta de correo principal (es la cuenta de recuperación de todo lo demás), luego revocar todas las sesiones activas desde otro dispositivo sano. Google, Apple, Microsoft ofrecen todos un «cerrar sesión en todos los dispositivos». Para un dispositivo comprometido: cortar la red sin apagar. Para un fraude en curso: llamar al banco para intentar la retrocesión de la transferencia —cada minuto cuenta, una transferencia SEPA estándar sigue siendo retrocesable durante un breve lapso.

Preservar es documentar antes de tocar. Fotografíe la pantalla con su teléfono —el correo fraudulento, el mensaje de rescate, el comportamiento anómalo—. Anote la hora exacta a la que notó el problema. No borre nada, no «ordene» nada, no vacíe la papelera. Estos elementos servirán a tres públicos: el experto forenseDisciplina que analiza las huellas digitales tras un incidente para reconstruir lo sucedido. que reconstruirá el ataque, el asegurador que exigirá la prueba de su diligencia, y el regulador si hay datos personales afectados. Un incidente bien documentado en la primera hora vale diez veces más que un incidente reconstruido de memoria tres días más tarde.

Alertar es movilizar a las personas adecuadas en el orden adecuado, con la información adecuada. No un correo ahogado en una bandeja —una llamada—. La persona de seguridad, el proveedor forenseDisciplina que analiza las huellas digitales tras un incidente para reconstruir lo sucedido. identificado por adelantado, y según el caso el banco, el asegurador, la dirección. La información que transmitir cabe en cuatro puntos: qué (naturaleza del incidente), cuándo (hora de detección), qué hay afectado (cuentas, dispositivos, datos), y lo que usted ya ha hecho. Una alerta precisa dispara una respuesta rápida; una alerta vaga dispara media hora de preguntas.

Un detalle separa a las personas preparadas de las demás: ¿por qué canal alertar cuando el canal habitual quizá esté comprometido? Si su mensajería de empresa es el objeto del incidente, no escriba su alerta en esa mensajería —el atacante la leería, y sabría que usted sabe—. Use un canal fuera de banda: una llamada telefónica, un SMS, una mensajería cifrada como SignalMensajería de código abierto con E2EE por defecto, operada por la Signal Foundation. en un dispositivo sano. Este principio de comunicación fuera de banda vale para toda la célula de crisis: mientras no tenga la certeza de que sus sistemas están limpios, parte del principio de que el atacante escucha. Parece paranoico hasta el día en que comprende que el atacante ha leído efectivamente, en tiempo real, el correo interno donde la dirección de TI anunciaba el procedimiento de remediación —y que ha acelerado su exfiltración en consecuencia.

Queda la cuestión del orden en los casos mixtos, y es ahí donde los planes aguantan o ceden. Un dispositivo comprometido que ha servido para conectarse a cuentas críticas implica las dos primeras familias a la vez: aísla el dispositivo de la red (sin apagarlo), luego trata las cuentas desde otro dispositivo sano —cambio de contraseñas, revocación de sesiones— exactamente como para un compromiso de cuenta. Un fraude de transferencia disparado por un correo fraudulento puede señalar o bien una simple suplantación de dirección (la cuenta no está comprometida, solo el nombre mostrado está falsificado), o bien un compromiso real de la cuenta emisora. En la duda, trate lo peor de los dos: bloquea la transferencia, luego verifica la integridad de la cuenta afectada. Esta disciplina —tratar siempre la hipótesis más grave compatible con lo que observa— es lo que evita «reparar» a medias un incidente que vuelve a arrancar con más fuerza tres días después.

Lo que esto implica en concreto

Para usted, como persona

Usted no tiene un CISO al que llamar a las 23 h. Su plan cabe por tanto en tres reflejos memorizados, que poner en marcha esta semana, por cero euros.

1. Sepa revocar sus sesiones y cambiar sus contraseñas desde otro dispositivo. Abra una vez, en frío, los ajustes de seguridad de su cuenta Google, Apple o Microsoft. Localice el botón «cerrar sesión en todos los dispositivos». Memorice el camino. La noche de un incidente no es el momento de aprenderlo.

2. En caso de duda sobre un dispositivo: corte la red, no apague, no limpie. Modo avión, luego respira. No lanza el antivirus, no borra los archivos sospechosos, no reinicia. Hace una foto de lo que es anómalo con su teléfono.

3. En caso de fraude de transferencia: llame a su banco inmediatamente, no mañana. Una transferencia reciente a veces se puede retroceder si aún no se ha ejecutado. Llame también al allegado o al contacto afectado por un canal distinto (teléfono, no el correo sospechoso) para verificar. Los primeros 90 minutos determinan los 90 días siguientes: pasado ese plazo, gestiona consecuencias, ya no el incidente.

Para usted, CISO / Dirección de TI / directivo

El cambio de la respuesta a incidentes en campo modifica su enfoque en cinco puntos.

1. El plan se redacta antes del incidente, y cabe en dos páginas. No un archivador de 80 páginas que nadie leerá bajo estrés. Dos páginas: a quién llamar y en qué orden, con qué números (memorizados, no solo guardados), qué sistemas aislar prioritariamente, qué comunicación externa disparar, a qué umbral notificar a la AEPD. El NISTInstituto americano que publica los estándares de referencia en ciberseguridad (CSF, SP 800-*). llama a eso la fase de preparación; es la que hace posibles las cuatro siguientes. Consecuencia directa: si ese documento no existe, es su acción de esta semana, no un proyecto de trimestre.

2. El proveedor forense se elige en frío, no en el pánico. Identifique y contractualice antes del incidente un gabinete forenseDisciplina que analiza las huellas digitales tras un incidente para reconstruir lo sucedido. o un MSSPProveedor que opera la seguridad de un cliente en modalidad externalizada (SOC, EDR gestionado, etc.). localizable en guardia. El día en que lo necesite, no tiene ni tiempo de comparar presupuestos, ni la distancia para negociar. Consecuencia directa: un retainer de guardia cuesta unos pocos miles de euros al año; su ausencia cuesta los tres días de silencio durante los cuales las pruebas desaparecen.

3. La capacidad de detección condiciona todo lo demás. Solo puede responder a los incidentes que ve. Sin SIEMPlataforma que agrega los registros de seguridad, correlaciona, alerta y permite la investigación., sin EDRAgente instalado en equipos/servidores que detecta comportamientos sospechosos y permite investigar. en los puestos, sin alertas sobre las conexiones anómalas, el incidente se lo revela el atacante —mensaje de rescate, transferencia salida—, es decir, demasiado tarde. Consecuencia directa: el presupuesto de detección no es una comodidad, es lo que transforma un descubrimiento en D+30 en una ventana útil de unas horas.

4. La preservación de las pruebas es una disciplina, no un reflejo. Forme a los primeros respondedores —a menudo el soporte de TI, a veces un directivo— a aislar sin apagar, a no restaurar antes de la captura, a documentar la hora y la naturaleza. Una imagen forenseDisciplina que analiza las huellas digitales tras un incidente para reconstruir lo sucedido. se toma antes de toda remediación, nunca después. Consecuencia directa: sin esa disciplina, remedia a ciegas y nunca sabrá si el atacante sigue presente ni lo que ha exfiltrado.

5. La comunicación de crisis forma parte de la respuesta técnica. Quién habla, a quién, cuándo. Los empleados, los clientes, el regulador, el asegurador, a veces la prensa. Una notificación RGPDReglamento europeo 2016/679 sobre la protección de datos personales, aplicable desde mayo de 2018. se dispara en las 72 horas cuando hay datos personales afectados —ese plazo corre a partir del conocimiento del incidente, no de su resolución. Consecuencia directa: un apartado de comunicación ausente del plan transforma un incidente gestionable en una crisis de reputación y en una exposición regulatoria.

Para usted, dirección general

Le llaman un domingo por la noche. Algo se ha quemado —una cuenta comprometida, una transferencia salida, un mensaje de rescate en las pantallas—. En los primeros 90 minutos, su papel no es técnico. No toca un teclado. Su papel es la decisión y la comunicación, y se juega casi enteramente en elecciones que debería haber zanjado antes.

Tres preguntas deben tener una respuesta escrita antes de que ocurra. Si las descubre a las 23 h, improvisa, y la improvisación bajo el choque es la peor consejera.

¿Quién dirige la crisis? No usted. Un directivo que toma el timón técnico de un incidente desorganiza a todo el mundo y se vuelve indisponible para lo que solo él puede hacer. Designe en frío un piloto de crisis —interno o proveedor— que tenga la autoridad de actuar sin pedirle cada movimiento. Su trabajo es cubrirlo, no reemplazarlo.

¿Quién habla al exterior? Una sola voz. Empleados, clientes, socios, prensa: todo pasa por una persona y un mensaje validado. El peor escenario no es el incidente, son tres versiones contradictorias que salen en paralelo porque nadie había dicho quién hablaba. Decídalo ahora, por escrito.

¿A partir de cuándo se avisa a clientes y autoridades? No es una elección de comodidad, es una respuesta regulatoria. Cuando hay datos personales afectados, el contador de notificación corre a partir del momento en que usted sabe, no de la resolución. El umbral de disparo y los destinatarios se definen en frío, con su departamento jurídico, no en el pánico de un domingo por la noche.

La peor decisión es la que se improvisa bajo el choque, a las 23 h un domingo, sin haber tenido la conversación antes. Esa conversación lleva una hora, un martes tranquilo. Téngala mientras no pasa nada. Es el único momento en que pensará con claridad.

Errores que se ven todo el tiempo

  • Esperar a estar seguro antes de actuar. La duda es la señal. Tratar una falsa alarma en serio cuesta media hora; tratar un incidente real como una falsa alarma cuesta la empresa.
  • Apagar o reiniciar el dispositivo sospechoso. Se destruye la memoria RAM, por tanto las pruebas, y no se detiene al atacante que opera a distancia.
  • Limpiar uno mismo. Lanzar el antivirus local (quizá ya neutralizado), borrar los archivos sospechosos, restaurar los servidores: otros tantos gestos que borran los rastros y a veces propagan el compromiso.
  • Notificar por correo en lugar de llamar. Un correo en la bandeja del CISO un viernes por la noche es cero respuesta antes del lunes. Y si la cuenta de correo está comprometida, el atacante lee su alerta.
  • Guardar silencio por miedo a las consecuencias. El incidente no declarado es siempre peor que el incidente declarado: sin remediación, sin cobertura de seguro, y una falta caracterizada frente al regulador.
  • Improvisar el forense y la comunicación. Sin proveedor identificado y sin apartado de comunicación escrito, se pierden las primeras horas buscando a quién llamar y qué decir —exactamente las horas que cuentan.

Checklist accionable

  • N1 Saber revocar sus sesiones y cambiar sus contraseñas desde otro dispositivo sano
  • N1 En caso de duda sobre un dispositivo: cortar la red, no apagar, no limpiar
  • N1 Fotografiar la pantalla y anotar la hora de detección antes de tocar nada
  • N1 En caso de fraude de transferencia: llamar al banco inmediatamente y verificar por un canal distinto
  • N2 Plan de incidente escrito en 2 páginas: a quién llamar, en qué orden, qué aislar, qué comunicación
  • N2 Números clave memorizados (seguridad, banco, abogado), no solo guardados en el teléfono
  • N2 Proveedor forense o MSSP identificado y contractualizado en guardia antes del incidente
  • N2 Primeros respondedores formados a aislar sin apagar y a preservar las pruebas
  • N2 Apartado de comunicación de crisis y umbrales de notificación RGPD/AEPD definidos por adelantado
  • N3 Detección en marcha (EDR en los puestos, SIEM, alertas sobre conexiones anómalas) y MTTD/MTTR seguidos
  • N3 Ejercicio de incidente en simulacro anual, cronometrado, con los actores reales

Para profundizar

El marco de referencia sigue siendo la guía de gestión de incidentes del NISTInstituto americano que publica los estándares de referencia en ciberseguridad (CSF, SP 800-*). (SP 800-61), que estructura la respuesta en cuatro fases —preparación, detección y análisis, contención-erradicación-recuperación, lecciones aprendidas—. La ENISAAgencia europea de ciberseguridad, publica el Threat Landscape anual. publica una guía de buenas prácticas equivalente para el contexto europeo, útil sobre todo para articular la respuesta técnica con las obligaciones de notificación.

En Shield, tres lecturas completan esta. Directivo expuesto: modelo de amenaza específico detalla por qué los fraudes por ingeniería social apuntan prioritariamente a la cúspide del organigrama. Política de viajes empresarial enmarca los procedimientos que definir antes de que un empleado parta con datos sensibles. Y Retorno de misión: descontaminación trata el caso particular de un dispositivo potencialmente comprometido durante un desplazamiento —la continuación lógica de un incidente detectado sobre el terreno.

Artículos relacionados