Actuar con celeridad y precisión es la clave para evitar que un ciberataque se convierta en un desastre para su empresa, según expertos en ciberseguridad. El tiempo de respuesta es vital.
El panorama de la ciberseguridad se vuelve cada vez más desafiante. Solo durante 2024, el número de filtraciones de datos investigadas por Verizon aumentó 20 puntos porcentuales con respecto al año anterior, evidenciando un incremento constante en los incidentes. Lo que resulta más alarmante es la velocidad con la que los ciberatacantes se mueven: en 2024, fueron un 22% más rápidos para pasar del acceso inicial al movimiento lateral, un proceso conocido como «tiempo de fuga». El tiempo medio de penetración fue de 48 minutos, con el ataque más rápido registrado en apenas 27 minutos.
Ante esta realidad, la preparación se convierte en el mejor aliado de cualquier compañía, por lo que una respuesta a incidentes (IR) eficaz es fundamental. Como advierte Eset Latinoamérica, una actuación rápida y precisa puede ser la diferencia entre una crisis controlada y un desastre. Ninguna organización es 100% inmune a las brechas de seguridad. Por ello, si su empresa sospecha de un acceso no autorizado, debe trabajar metódicamente y con rapidez.
“Una filtración de datos no tiene por qué ser tan catastrófico como parece para los defensores de la red siempre y cuando los equipos sean capaces de responder con rapidez y decisión a las intrusiones», subraya Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de Eset Latinoamérica. El experto añade que si todos los miembros del equipo de respuesta saben exactamente qué hacer, las posibilidades de una resolución rápida y satisfactoria aumentan.
Con el objetivo de ayudar a las empresas a navegar estas aguas turbulentas, Eset ha delineado una guía de cómo actuar durante las primeras 24 a 48 horas. Estas son las 5 acciones clave para detener y revertir un ciberataque:
1. Recopilar información y comprender el alcance
El primer paso es entender la naturaleza exacta del incidente, activar el plan de respuesta a incidentes preestablecido y notificar al equipo. Este equipo debe ser multifuncional, incluyendo áreas críticas como recursos humanos, relaciones públicas, comunicación, el departamento jurídico y la dirección ejecutiva, ya que todos tienen un papel crucial que desempeñar.
Una vez notificado el equipo, es vital calcular el radio de acción del ataque: ¿Cómo entró el adversario en la red? ¿Qué sistemas se han visto comprometidos? ¿Qué acciones maliciosas han realizado ya los atacantes?. Es de suma importancia documentar cada paso y recopilar pruebas para evaluar el impacto, la investigación forense y posibles futuros procesos legales. Mantener la cadena de custodia de estas pruebas es clave para garantizar su credibilidad ante fuerzas de seguridad o tribunales.
2. Notificar a terceros
Una vez que se ha establecido qué ocurrió, es necesario informar a las autoridades pertinentes. Esto incluye a:
- Reguladores: Si se ha robado información de identificación personal (PII), se debe contactar a las autoridades bajo las leyes de protección de datos o normativas específicas del sector.
- Aseguradoras: La mayoría de las pólizas de seguros exigen informar al proveedor tan pronto como se haya producido la violación.
- Clientes, Socios y Empleados: La transparencia es fundamental para generar confianza y evitar la desinformación. Es mejor que la noticia provenga de la empresa antes de que se difunda por redes sociales o medios.
- Fuerzas de Seguridad: Informar, especialmente sobre ransomware, puede ayudar a identificar campañas más grandes y, en ocasiones, facilitar herramientas de descifrado o apoyo de inteligencia.
- Expertos Externos: Contactar con especialistas legales e informáticos externos puede ser necesario para manejar aspectos técnicos y legales complejos.
3. Aislar y contener
Mientras se mantiene el contacto con terceros, se debe trabajar con rapidez para evitar que el ataque se propague. Una recomendación clave es aislar los sistemas afectados de internet, pero sin apagar los dispositivos, ya que esto podría comprometer pruebas valiosas. Además, todas las copias de seguridad deben ser puestas offline y desconectadas para prevenir que sean secuestradas o corrompidas por el ransomware. Es vital desactivar todos los accesos remotos, restablecer las credenciales VPN y utilizar herramientas de seguridad para bloquear el tráfico malicioso y las conexiones de comando y control.
4. Eliminar y recuperar
En esta fase, el análisis forense debe realizarse para comprender las tácticas, técnicas y procedimientos (TTP) del atacante, desde el acceso inicial hasta la extracción de datos. Se debe eliminar cualquier malware persistente, backdoors, cuentas fraudulentas y otros signos de peligro. Para la recuperación, es clave verificar la integridad de los sistemas y datos críticos, restaurar copias de seguridad limpias (tras confirmar que no están comprometidas) y vigilar de cerca nuevos indicios de ataque. Esta reconstrucción es una oportunidad para reforzar los controles de privilegios, implementar una autenticación más estricta y mejorar la segmentación de la red.
5. Revisar y mejorar
Una vez superado el peligro inmediato, el enfoque cambia a la revisión de las obligaciones con reguladores y clientes. Es necesario actualizar las comunicaciones una vez que se comprenda el alcance total de la infracción, lo que puede incluir una presentación ante los organismos reguladores. Este proceso debe ser impulsado por asesores legales y de relaciones públicas. Finalmente, la revisión posterior al incidente es un momento para la resiliencia: averiguar qué pasó y qué lecciones se pueden aprender para evitar futuros incidentes similares. Una cultura sólida tras un incidente trata cada brecha como un ejercicio de entrenamiento, mejorando las defensas y la toma de decisiones bajo estrés.
El Jefe del Laboratorio de Investigación de Eset Latinoamérica concluye: “No siempre es posible evitar una brecha, pero sí minimizar los daños. Si su organización no dispone de recursos para vigilar las amenazas 24 horas al día, 7 días a la semana, considere la posibilidad de contratar un servicio de detección y respuesta gestionadas (MDR) de un tercero de confianza».
*En la creación de este texto se usaron herramientas de inteligencia artificial.
