Login Probar gratis
Plan de continuidad de negocio ante ciberataques

Plan de continuidad de negocio ante ciberataques

por MataSpam Seguridad Empresarial

Un plan de continuidad de negocio es el documento que separa a las empresas que sobreviven a un ciberataque de las que cierran en seis meses. Así de directo. La continuidad negocio no es un concepto abstracto de consultora: es tener claro qué haces cuando tu servidor amanece cifrado por ransomware un martes a las 7 de la mañana. El business continuity planning y la recuperación desastres son disciplinas que llevan décadas en el mundo industrial, pero aplicadas a ciberseguridad —lo que llamamos DRP ciberseguridad— siguen siendo la asignatura pendiente de la mayoría de pymes. Y mira, lo entiendo: nadie quiere dedicar una tarde a planificar el apocalipsis digital. Pero cuando llega, y llega, la diferencia entre tener un plan y no tenerlo es la diferencia entre un mal día y un cierre definitivo.

Qué es exactamente un plan de continuidad de negocio (y qué no es)

Vamos a desmontar un mito rápido: un plan de continuidad no es un documento de 200 páginas que duerme en un cajón. Es un procedimiento vivo que responde a una pregunta simple: si mañana no puedo operar con normalidad, ¿qué hago?

El marco de referencia más usado es la ISO 22301, el estándar internacional para sistemas de gestión de continuidad de negocio. Define el ciclo completo: análisis de impacto (BIA), estrategias de recuperación, planes de respuesta y pruebas periódicas. No necesitas certificarte, pero sí conocer la estructura.

Un plan de business continuity cubre todo el negocio. Dentro de él, el DRP (Disaster Recovery Plan) se centra específicamente en la parte tecnológica: servidores, datos, comunicaciones. Piensa en el BCP como el paraguas y el DRP como el chubasquero. Necesitas ambos.

  • BCP (Business Continuity Plan): procesos de negocio, personas, proveedores, comunicación con clientes, operaciones mínimas viables.
  • DRP (Disaster Recovery Plan): backups, replicación de sistemas, tiempos de recuperación (RTO/RPO), infraestructura alternativa.
  • Plan de respuesta a incidentes (IRP): las primeras horas tras el ataque. Contención, análisis forense, notificaciones legales.

Si tu empresa gestiona datos personales —y spoiler: los gestiona—, el RGPD te obliga a notificar brechas a la AEPD en un máximo de 72 horas. Sin un plan, esas 72 horas se evaporan entre llamadas de pánico. Con un centro de operaciones de seguridad (SOC) o al menos un procedimiento documentado, la respuesta es otra historia.

Los cuatro pilares de un DRP de ciberseguridad que funciona

He visto planes de recuperación desastres que parecen novelas de ciencia ficción y planes de una página que funcionan. La diferencia no está en la extensión. Está en cubrir estos cuatro ejes:

1. Análisis de impacto en el negocio (BIA)

Antes de proteger nada, identifica qué te mata. ¿Qué sistemas son críticos? ¿Cuánto dinero pierdes por hora de inactividad? ¿Qué datos, si los pierdes, te impiden facturar? El BIA te obliga a ser honesto sobre tus dependencias tecnológicas.

Define dos métricas clave para cada sistema:

MétricaSignificadoEjemplo
RTO (Recovery Time Objective)Tiempo máximo aceptable para restaurar el servicioERP: 4 horas / Web corporativa: 24 horas
RPO (Recovery Point Objective)Cantidad máxima de datos que puedes permitirte perderBase de datos: 1 hora / Archivos compartidos: 24 horas

Un RTO de 4 horas para tu sistema de facturación significa que necesitas infraestructura de respaldo capaz de levantarse en ese tiempo. No vale escribir "4 horas" y luego tener backups semanales en un disco USB encima de la mesa. Que esto parece obvio, pero pasa.

2. Estrategia de backups verificada

La regla 3-2-1-1-0 es la evolución de la clásica 3-2-1 y la referencia actual:

  1. 3 copias de los datos.
  2. 2 tipos de almacenamiento diferentes (disco local + nube, por ejemplo).
  3. 1 copia fuera del sitio (offsite o en otra región cloud).
  4. 1 copia inmutable (que ni el ransomware ni un admin comprometido puedan borrar).
  5. 0 errores de restauración verificados. Es decir: pruebas periódicas de que el backup realmente se restaura.

El punto 5 es donde la mayoría falla. Según datos del informe Veeam Data Protection Trends 2024, aproximadamente una de cada tres restauraciones de backup presenta algún problema. Tener backups que no has probado restaurar es como tener un extintor sin presión: da tranquilidad falsa.

3. Infraestructura de recuperación

Aquí es donde el plan continuidad se pone serio. Necesitas decidir tu modelo:

  • Cold site: tienes el espacio y la conectividad, pero necesitas instalar y configurar todo. Barato, pero el RTO se dispara a días.
  • Warm site: infraestructura preconfigurada que necesita los datos más recientes. RTO de horas.
  • Hot site: réplica en tiempo real. RTO de minutos. Caro, pero si tu negocio factura por horas de servicio, puede compensar.

Para pymes, la opción más pragmática suele ser un warm site basado en nube. Proveedores como AWS, Azure o incluso Hetzner permiten tener máquinas preconfiguradas paradas (o casi paradas) que levantas cuando hay desastre. Pagas almacenamiento y poca computación hasta que realmente lo necesitas.

4. Comunicación y cadena de mando

Un ataque de ransomware no es solo un problema técnico. Es un problema de comunicación. ¿Quién decide si se paga el rescate? (Spoiler: no se paga, pero alguien tiene que tomar esa decisión formalmente.) ¿Quién habla con los clientes? ¿Quién notifica a la AEPD? ¿Quién contacta al seguro de ciberriesgo?

Tu plan necesita un árbol de llamadas actualizado. Nombre, teléfono personal, rol en la crisis. Y no, no vale tenerlo solo en el servidor que acaba de ser cifrado. Imprímelo. Ponlo en la nevera de la oficina si hace falta.

Casos reales: cuando el plan (o su ausencia) marca la diferencia

El ataque a Maersk con NotPetya en 2017 es el caso de estudio clásico. La naviera perdió aproximadamente 300 millones de dólares y tuvo que reinstalar 45.000 PCs y 4.000 servidores en diez días. Lo que salvó a Maersk fue una copia de su controlador de dominio Active Directory que sobrevivió en una oficina de Ghana que estaba sin luz durante el ataque. Un golpe de suerte. Su plan de continuidad negocio existía, pero no contemplaba un ataque de esa escala.

Más cerca, el ataque al SEPE (Servicio Público de Empleo Estatal) en marzo de 2021 con el ransomware Ryuk dejó paralizadas las oficinas durante semanas. Los funcionarios volvieron al papel y bolígrafo. La recuperación completa tardó meses. El coste en prestaciones retrasadas, horas extra y reputación es difícil de calcular, pero las estimaciones hablan de decenas de millones de euros.

¿Y las pymes? No salen en las noticias, pero el impacto es proporcionalmente mayor. Una empresa de 20 empleados con un ransomware que cifra su servidor de archivos y su ERP puede estar parada una semana sin plan. Con un DRP ciberseguridad básico —backups verificados, un procedimiento de restauración documentado, un servidor cloud de respaldo—, esa semana se convierte en un día. Posiblemente menos.

El spear phishing sigue siendo la puerta de entrada más habitual en estos ataques dirigidos. Un solo correo bien diseñado contra el director financiero puede desencadenar la crisis. Tu plan de continuidad debería asumir que algún día alguien va a hacer clic.

Cómo montar tu plan de continuidad en cinco pasos concretos

Dejo la teoría. Esto es lo que necesitas hacer, ordenado por prioridad. No hace falta contratar una consultora para empezar (aunque para certificaciones ISO 22301 o ENS probablemente sí).

Paso 1: Inventario brutal. Lista todos tus sistemas, aplicaciones y datos. Clasifícalos en tres niveles: crítico (sin esto no facturas), importante (puedes aguantar 48h sin ello) y prescindible (molesto pero no grave). Esto es tu BIA simplificado.

Paso 2: Implementa la regla 3-2-1-1-0. Backups automáticos diarios, una copia en nube cifrada, una copia inmutable (Veeam, Restic con backends inmutables en S3, o Borg con append-only). Programa un test de restauración mensual. Ponlo en el calendario como si fuera una reunión de ventas.

Paso 3: Documenta el procedimiento de respuesta. Un documento de 2-3 páginas con: qué hacer en la primera hora (desconectar, no apagar), a quién llamar (IT, legal, seguro, AEPD si aplica), cómo comunicar a clientes y empleados. Usa la estructura del NIST Cybersecurity Framework (Identify, Protect, Detect, Respond, Recover) como guía.

Paso 4: Prepara la infraestructura de recuperación. Si eres una empresa con procesos que dependen de tecnología, necesitas al menos un entorno mínimo viable listo para activar. Un servidor cloud preconfigurado con tu ERP, acceso VPN y los datos del último backup puede ser suficiente para operar en modo degradado mientras restauras el entorno principal.

Paso 5: Simula. Al menos una vez al año, ejecuta un tabletop exercise: reúne al equipo directivo, plantea un escenario (ransomware cifra todo un viernes a las 18h) y recorred el plan paso a paso. Descubrirás agujeros que sobre el papel no se ven. El ENS (Esquema Nacional de Seguridad) y la directiva NIS2 de la UE ya exigen simulacros periódicos para empresas en sectores regulados.

Herramientas y frameworks de referencia

No hace falta reinventar la rueda. Estas son herramientas y marcos que puedes usar directamente para construir tu plan continuidad:

  • NIST SP 800-34 — Guía de planificación de contingencia para sistemas de información. Gratuita, muy completa, aplicable a cualquier tamaño de empresa.
  • ISO 22301:2019 — El estándar internacional de referencia. No es gratuito, pero la estructura es pública y hay plantillas compatibles por todo internet.
  • INCIBE — El Instituto Nacional de Ciberseguridad ofrece guías específicas para pymes españolas, incluyendo plantillas de planes de contingencia descargables.
  • Veeam / Acronis / Restic + Borg — Para la estrategia de backups. Los dos primeros son comerciales con tiers gratuitos; los dos últimos son open source y brutalmente fiables.
  • PingCastle — Auditoría de Active Directory. Si tu plan depende de AD (y probablemente sí), saber en qué estado está es prioritario.

Para la parte de gestión de credenciales, un gestor de contraseñas corporativo (Bitwarden, 1Password Business) debería estar en cualquier plan de business continuity. Si el admin de sistemas cae enfermo y nadie más tiene acceso a las contraseñas de infraestructura, tu plan se desmorona el primer día.

Preguntas frecuentes

¿Cuánto cuesta implementar un plan de continuidad de negocio para una pyme?

Depende del alcance. Un plan básico con backups en nube, documentación de procedimientos y un servidor de contingencia puede costar entre 2.000 y 5.000 euros anuales para una empresa de 10-50 empleados, según estimaciones de mercado de 2024. La alternativa —semanas de inactividad por un ransomware— suele costar diez o veinte veces más.

¿Con qué frecuencia hay que actualizar el DRP de ciberseguridad?

Revísalo al menos dos veces al año y siempre que cambies infraestructura significativa: nuevo ERP, migración a nube, cambio de proveedor de hosting. La NIS2 exige revisiones tras incidentes significativos. Un plan desactualizado da una falsa sensación de seguridad.

¿Es obligatorio tener un plan de continuidad de negocio en España?

Depende del sector. Las empresas sujetas al ENS (administraciones públicas y proveedores), las afectadas por la directiva NIS2 (sectores esenciales e importantes: energía, transporte, salud, digital) y las que manejan datos sensibles bajo RGPD tienen obligaciones explícitas. Para el resto, no es legalmente obligatorio, pero el RGPD sí exige medidas técnicas y organizativas para garantizar la disponibilidad de los datos, lo que en la práctica implica tener un plan.

¿Qué diferencia hay entre RTO y RPO?

El RTO mide cuánto tiempo puedes estar sin un sistema (tiempo de recuperación). El RPO mide cuántos datos puedes perder (punto de recuperación). Si tu RPO es de 1 hora, necesitas backups al menos cada hora. Si tu RTO es de 4 horas, tu infraestructura de respaldo debe poder levantarse en ese tiempo. Ambas métricas determinan cuánto inviertes en tu DRP.

¿Pagar el rescate de un ransomware es una opción válida dentro del plan?

No. La posición del CCN-CERT, INCIBE, Europol (proyecto No More Ransom) y la mayoría de expertos es clara: pagar no garantiza recuperar los datos, financia el crimen organizado y te marca como objetivo para futuros ataques. Tu plan de recuperación desastres debe asumir que no pagas y que necesitas restaurar desde backups limpios. Punto.

El siguiente paso

Abre un documento en blanco y lista tus cinco sistemas más críticos. Para cada uno, escribe el RTO y RPO que tu negocio puede asumir. Solo eso. No necesitas más para empezar. Ese ejercicio de 30 minutos te dará más claridad sobre tu plan de continuidad de negocio que cualquier whitepaper de 80 páginas. Cuando lo tengas, empieza por los backups —que es donde la mayoría de planes se salvan o se hunden— y ve construyendo desde ahí.

continuidad negocio plan continuidad business continuity recuperación desastres drp ciberseguridad
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

SOC: qué es un Centro de Operaciones de Seguridad y cómo funciona
Seguridad Empresarial

SOC: qué es un Centro de Operaciones de Seguridad y cómo funciona

Implementar MFA en la empresa: guía práctica de autenticación multifactor
Seguridad Empresarial

Implementar MFA en la empresa: guía práctica de autenticación multifactor

Estafas con donaciones falsas: cómo verificar ONGs reales
Estafas Actuales

Estafas con donaciones falsas: cómo verificar ONGs reales

← Volver al blog