Respuesta a incidentes
Se lee en aproximadamente 4 minutos
Última actualización: 2026-03-20
Qué es la respuesta a incidentes
La respuesta a incidentes es un proceso organizacional de respuesta para minimizar el daño y recuperarse rápidamente cuando ocurre un incidente de seguridad (acceso no autorizado, infección de malware, filtración de información, ataque de denegación de servicio, etc.).
NIST SP 800-61 (Computer Security Incident Handling Guide) clasifica la respuesta a incidentes en 4 fases: (1) Preparación (Preparation), (2) Detección y análisis (Detection and Analysis), (3) Contención, erradicación y recuperación (Containment, Eradication, and Recovery), (4) Actividad posterior al incidente (Post-Incident Activity).
Los incidentes no son una cuestión de "si ocurrirán" sino de "cuándo ocurrirán". Al elaborar un plan de respuesta con anticipación, organizar un CSIRT y realizar simulacros periódicos, se puede responder de manera calmada y sistemática cuando ocurre un incidente real.
Las 4 fases de la respuesta a incidentes
Fase 1: Preparación - Se elabora el plan de respuesta a incidentes, se forma el CSIRT, se establece el sistema de comunicación, se preparan las herramientas y se realizan simulacros. El nivel de preparación determina el éxito o fracaso de la respuesta real al incidente.
Fase 2: Detección y análisis - Se detectan incidentes a través de alertas de SIEM y herramientas de monitoreo de seguridad, informes de usuarios, notificaciones de organismos externos, etc. Después de la detección, se identifica el alcance del impacto, se determina la gravedad y se organiza la línea temporal. En esta etapa es importante preservar la evidencia desde la perspectiva de análisis forense digital.
Fase 3: Contención, erradicación y recuperación - Se implementan gradualmente la contención para prevenir la expansión del daño (aislamiento de red de terminales infectados, desactivación de cuentas comprometidas), la erradicación de la amenaza (eliminación de malware, corrección de vulnerabilidades) y la recuperación del sistema.
Fase 4: Actividad posterior - Se analiza la causa raíz del incidente y se elaboran medidas de prevención de recurrencia. Se realiza una revisión de la respuesta (Lessons Learned) y se refleja en la mejora del plan y los procesos de respuesta.
Importancia de la respuesta inicial y claves prácticas
Lo más importante en la respuesta a incidentes son las primeras 72 horas. La respuesta durante este período influye enormemente en la magnitud del daño y el tiempo de recuperación.
Priorizar la preservación de evidencia: Si se reinicia el sistema o se eliminan registros apresuradamente para investigar la causa, se pierde la evidencia necesaria para el análisis forense digital. Realiza primero la obtención de volcado de memoria, la creación de imagen de disco y la evacuación de registros.
Activar el plan de comunicación: Define previamente a quién, cuándo y qué reportar. El contenido y el momento del informe difieren según las partes interesadas: dirección, departamento legal, relaciones públicas, clientes, autoridades supervisoras. En caso de brecha de datos, también hay que prestar atención a los plazos de obligación de notificación basados en la Ley de Protección de Información Personal y el GDPR.
Definir previamente los criterios de contención: Decisiones como "¿desconectar el servidor de la red?" o "¿detener el servicio?" consumen tiempo si se debaten desde cero durante el incidente. Define previamente las acciones de contención según la gravedad del incidente como un playbook.
Elaboración del plan de respuesta a incidentes y simulacros
El plan de respuesta a incidentes (Incident Response Plan) se elabora como un documento que incluye los siguientes elementos.
- Definición y criterios de clasificación de incidentes (niveles de gravedad)
- Composición de miembros del CSIRT y distribución de roles
- Flujo de escalamiento y lista de contactos
- Playbooks de respuesta por tipo de incidente (infección de ransomware, acceso no autorizado, filtración de información, etc.)
- Contactos de colaboración externa (fuerzas del orden, proveedores de seguridad, abogados)
- Procedimientos de preservación de evidencia
- Plantillas de comunicación con prensa y clientes
Elaborar el plan no es suficiente. Realiza ejercicios de mesa (simulacros de escritorio) al menos una vez al año para verificar la efectividad del plan. En los ejercicios, sigue los procedimientos de respuesta basándote en un escenario de incidente ficticio e identifica deficiencias y puntos de mejora del plan.
Los problemas descubiertos en los ejercicios se reflejan rápidamente en el plan, mejorando continuamente la capacidad de respuesta mediante el ciclo PDCA.
Conceptos erróneos comunes
- Si implementas productos de seguridad, no necesitas un plan de respuesta a incidentes
- Los productos de seguridad apoyan la detección y defensa contra ataques, pero la defensa al 100% es imposible. Sin un plan de respuesta que defina quién hace qué ante incidentes que evaden los productos, la respuesta será improvisada y el daño se expandirá.
- Cuando ocurre un incidente, lo primero es reiniciar el sistema
- Al reiniciar se pierde la evidencia en memoria (procesos en ejecución, información de conexiones de red, rastros de malware). Preserva la evidencia necesaria para la investigación forense antes de proceder con los procedimientos de contención y recuperación.