Respuesta a incidentes: qué hacer las primeras horas cuando sufres un ciberataque

Cuando detectas un incidente de seguridad, el tiempo es crítico. Las primeras horas determinan si el ataque se contiene o se convierte en una catástrofe. Tener un plan antes de que ocurra marca la diferencia.

Las primeras acciones (los primeros 30 minutos)

1. No apagues los equipos afectados (salvo riesgo inmediato). La memoria RAM contiene evidencias forenses que se pierden.
2. Desconecta de la red el equipo afectado. Físicamente si es posible — extrae el cable de red.
3. Documenta todo: fecha y hora de detección, síntomas observados, quién lo detectó.
4. Notifica internamente según tu plan de respuesta: responsable IT, dirección, CISO.
5. No te precipites a restaurar: necesitas entender primero qué pasó y cómo entró.

Fases de la respuesta

• Contención: evitar que el incidente se extienda.
• Erradicación: eliminar la causa raíz (malware, credenciales comprometidas, acceso no autorizado).
• Recuperación: restaurar sistemas desde backups limpios y verificar su integridad.
• Post-mortem: análisis de qué falló y cómo evitar que vuelva a ocurrir.

Obligaciones legales

• RGPD: si hay datos personales afectados, notificación a la AEPD en 72 horas.
• NIS2: las entidades afectadas tienen obligación de notificar incidentes significativos.
• INCIBE-CERT: puedes reportar el incidente y pedir asistencia técnica gratuita en incibe.es.

La diferencia entre un incidente gestionado y un desastre es tener el plan escrito antes de necesitarlo.

Las primeras horas de un incidente son decisivas. Blindara activa el protocolo de respuesta desde el momento de la detección, coordinando contención, análisis y notificación para minimizar el impacto operativo.