Plan de respuesta a incidentes: prepara tu empresa para un ciberataque

Plan de respuesta a incidentes: prepara tu empresa para un ciberataque

Un plan de respuesta a incidentes es el documento que decide si un ciberataque te cuesta una tarde o el negocio entero. La respuesta a incidentes (o incident response) es el conjunto de procedimientos que tu empresa activa cuando algo va mal: un ransomware que cifra el servidor, un correo que ha filtrado credenciales, un empleado que ha picado en un phishing. Sin un plan de incidentes escrito, la reacción típica es el caos: gente corriendo, nadie sabe a quién llamar y alguien apagando máquinas que justo contenían las pruebas. Aquí te explicamos cómo montar un CSIRT en tu empresa y preparar la respuesta ante un ciberataque antes de que suene la alarma. Spoiler: no hace falta ser Google. Hace falta un folio, dos números de teléfono y no improvisar.

Qué es un plan de respuesta a incidentes (y por qué no basta con un antivirus)

Un plan de respuesta a incidentes es un procedimiento documentado que define quién hace qué, cuándo y cómo durante una brecha de seguridad. No es un manual técnico de 200 páginas que nadie lee. Es una guía operativa que cualquiera de tu equipo pueda seguir a las tres de la madrugada con el móvil temblando.

El estándar de referencia lo marca el NIST (Instituto Nacional de Estándares y Tecnología de EE. UU.) en su publicación SP 800-61, junto con la norma internacional ISO/IEC 27035. En España, el Centro Criptológico Nacional (CCN-CERT) y el INCIBE ofrecen guías gratuitas y una línea de ayuda para empresas. Apúntate el 017 del INCIBE: es la línea de ayuda en ciberseguridad, gratuita y confidencial.

El antivirus previene. El plan actúa cuando la prevención falla. Y falla. Según el informe anual de ENISA (Agencia de la Unión Europea para la Ciberseguridad), el ransomware sigue entre las amenazas dominantes para las pymes europeas año tras año. La pregunta no es si te van a atacar, sino cuándo y si estarás listo.

Las seis fases del incident response

El manejo de incidentes suele organizarse en seis fases claras, el modelo que popularizó el SANS Institute. El NIST las condensa en menos etapas dentro de su SP 800-61, pero el fondo es idéntico. Memorízalas, porque son la columna vertebral de cualquier preparación ante un ciberataque.

  1. Preparación: antes de que pase nada. Formar al equipo, tener copias de seguridad, definir contactos y roles.
  2. Detección y análisis: identificar que hay un incidente real y clasificar su gravedad. No todo pitido es un apocalipsis.
  3. Contención: frenar la hemorragia. Aislar el equipo infectado de la red antes de que se propague.
  4. Erradicación: eliminar la amenaza. Borrar el malware, cerrar la puerta que usaron.
  5. Recuperación: restaurar sistemas y volver a producción de forma controlada.
  6. Lecciones aprendidas: la reunión post-mortem. Qué falló, qué mejorar, y actualizar el plan.

La fase que casi todo el mundo se salta es la última. Es un error caro. El incidente que no se analiza se repite. Documenta cada crisis como si fuera a hacerte examen, porque el próximo atacante hará el mismo examen que tú.

Cómo montar un CSIRT en tu empresa sin arruinarte

Un CSIRT (Computer Security Incident Response Team) es el equipo que gestiona los incidentes. En una multinacional son 40 personas. En una pyme pueden ser tres, y uno de ellos eres tú. Lo importante no es el tamaño, sino que los roles estén asignados por escrito y con nombre y apellido.

Los roles mínimos que debes cubrir:

RolResponsabilidad
Coordinador de incidentesToma decisiones, activa el plan, es el jefe durante la crisis
Responsable técnicoContiene, analiza y erradica. Puede ser tu proveedor de IT externo
Responsable legal/RGPDDecide si hay que notificar a la AEPD (72 horas) y a los afectados
ComunicaciónQué se dice a clientes, prensa y empleados. El silencio también comunica

Aquí va el detalle legal que mucha empresa olvida: el RGPD (Reglamento UE 2016/679) obliga a notificar las brechas de datos personales a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde que tienes conocimiento. Si el riesgo para los afectados es alto, también hay que avisarles a ellos. Ignorar esto puede salir más caro que el propio ataque. Si además gestionas dominios y proyectos web, tener claro cómo proteger cada dispositivo conectado ayuda: nuestra guía sobre seguridad para dispositivos IoT aplica el mismo principio de aislamiento que un CSIRT usa para contener una red.

El playbook: la parte que de verdad usarás

La teoría está bien, pero durante un incidente nadie relee el NIST. Lo que salva el día es el playbook: una checklist concreta por tipo de incidente. Prepara al menos estos tres:

  • Ransomware: desconectar el equipo de la red (cable fuera, WiFi off), no pagar sin asesoría, no apagar la máquina (pierdes memoria forense), avisar al coordinador y al INCIBE.
  • Phishing con credenciales comprometidas: cambiar contraseñas afectadas, activar MFA, revisar accesos recientes y comprobar si el correo aparece filtrado en Have I Been Pwned.
  • Malware genérico: aislar, escanear el archivo sospechoso en VirusTotal, identificar el vector de entrada y revisar el resto de equipos.

Un truco práctico de respuesta a incidentes: ten preparada una bolsa de emergencia digital. Un documento offline (impreso o en un USB) con contactos clave, credenciales de administrador guardadas de forma segura, contrato del proveedor de backups y datos de tu ciberseguro. ¿Por qué offline? Porque si el ransomware cifra tu red, tu bonito plan guardado en el servidor compartido también estará cifrado. Poético, pero inútil.

Las copias de seguridad merecen mención aparte. Aplica la regla 3-2-1: tres copias, en dos soportes distintos, una de ellas fuera de línea o inmutable. El ransomware moderno busca y cifra los backups conectados primero. Si tu única copia está en el mismo servidor, no tienes copia: tienes una segunda víctima. Y ya que hablamos de higiene digital, revisa también qué apps tienes instaladas: muchas brechas empiezan por un móvil, como explicamos en nuestro repaso sobre malware en Android y apps peligrosas.

Herramientas y detección temprana

Detectar rápido reduce el daño de forma drástica. No necesitas un SOC de película, pero sí visibilidad. Algunas herramientas reales y accesibles:

  • Have I Been Pwned: comprueba gratis si tus correos corporativos han aparecido en filtraciones conocidas. Configura las alertas de dominio.
  • VirusTotal: analiza archivos y URLs sospechosas contra decenas de motores antivirus a la vez.
  • Snort: sistema de detección de intrusos open source que vigila el tráfico de red. Lo cubrimos a fondo en nuestra guía de Snort IDS para detectar intrusos.
  • Wazuh o un SIEM ligero: centraliza logs para que las señales no se pierdan en el ruido.
  • MFA en todo: la autenticación multifactor sigue siendo la medida más rentable contra el robo de credenciales.

Y una recomendación de higiene básica que sostiene todo lo anterior: antes de pensar en detección avanzada, asegúrate de tener bien montada la defensa de base. Nuestra guía para instalar y configurar un antivirus correctamente es el punto de partida que demasiadas pymes se saltan. La preparación ante ciberataques empieza por lo aburrido: parches, contraseñas y copias. Lo llamativo viene después.

Preguntas frecuentes

¿Qué es un plan de respuesta a incidentes?

Es un documento que define quién actúa, qué pasos se siguen y en qué orden cuando tu empresa sufre un ciberataque o una brecha de seguridad. Cubre desde la detección hasta la recuperación y sirve para reaccionar sin improvisar.

¿Cuánto se tarda en crear un CSIRT en una pyme?

Una versión básica y funcional puede montarse en unas semanas: asignar roles, definir contactos, preparar backups y redactar dos o tres playbooks. No necesitas un equipo dedicado a tiempo completo; puedes apoyarte en tu proveedor de IT externo.

¿Estoy obligado por ley a notificar un ciberataque?

Si el incidente afecta a datos personales, el RGPD obliga a notificar a la Agencia Española de Protección de Datos en un máximo de 72 horas. Si hay alto riesgo para los afectados, también debes avisarles a ellos.

¿Debo pagar el rescate si sufro un ransomware?

La recomendación general del INCIBE y de las autoridades europeas es no pagar. Pagar no garantiza recuperar los datos, financia a los atacantes y te marca como objetivo pagador. Contacta antes con el INCIBE (017) y con asesoría especializada.

¿Cada cuánto hay que revisar el plan de incidentes?

Al menos una vez al año y después de cada incidente real o simulacro. Los sistemas, el personal y las amenazas cambian; un plan de hace tres años probablemente apunta a servidores que ya no existen.

El siguiente paso

Abre ahora mismo un documento en blanco y escribe tres números de teléfono: tu responsable técnico, tu asesor legal/RGPD y el 017 del INCIBE. Guárdalo impreso junto al puesto de trabajo. Ese folio, por sencillo que parezca, ya es más plan de respuesta a incidentes del que tiene la mayoría de pymes españolas. A partir de ahí, ve sumando playbooks. Si además estás replanteando la infraestructura digital de tu negocio —web, apps o automatización con IA—, en Piqture ayudamos a montar proyectos con la seguridad pensada desde el diseño, no como parche posterior. Y si quieres seguir afilando defensas, date una vuelta por el resto de guías del blog: hay munición para rato.

respuesta incidentes incident response plan incidentes csirt empresa preparación ciberataque

Artículos relacionados

← Volver al blog