CECOCIB

Envelope Youtube Instagram Linkedin Icon-play-button
observatorio

Protocolo ante un ataque

Protocolo ante un ataque

¿Qué hacer si ocurre un incidente?

Cuando aparece una señal clara de incidente (fraude, cuenta comprometida, malware, cifrado de archivos, accesos no autorizados), es esencial actuar con un enfoque ordenado. En términos generales, se recomienda trazar un plan de contención, preservar evidencias, evaluar el alcance, recuperar la operativa con seguridad y aplicar medidas de refuerzo para reducir la probabilidad de recurrencia. Este apartado ofrece una pauta por fases, diseñada para que una pyme pueda organizar su respuesta con criterios claros, incluso sin disponer de un equipo técnico propio. En la siguiente tabla se presentan los principios de actuación que sería oportuno seguir ante una situación de ataque:

Limitar el daño y evitar la propagación del incidente antes de intervenir en profundidad.

Asegurar cuentas clave, sistemas esenciales y copias de seguridad.

Conservar comunicaciones, capturas y trazas básicas, y documentar acciones realizadas

Designar un responsable de referencia y activar soporte técnico o proveedor cuando proceda.

Corregir la causa raíz y aplicar medidas mínimas para reducir la probabilidad de repetición.

Protocolo de actuación en la primera hora de un ataque: contención y control inmediato

El objetivo principal en este punto consiste en frenar el impacto, evitar la propagación y estabilizar la situación

 
1. Aislar el equipo o el servicio afectado

Si se sospecha malware o cifrado, desconectar el equipo de la red (WiFi/cable). Si la incidencia afecta a una cuenta, restringir accesos y cerrar sesiones desde un dispositivo confiable.

2. Asegurar credenciales y accesos críticos

Cambiar contraseñas de cuentas prioritarias (correo corporativo, banca, nube y herramientas clave). Activar o reforzar doble factor (MFA) en servicios críticos si no estuviera habilitado.

3. Suspender temporalmente operaciones sensibles

Pausar pagos, cambios bancarios, modificaciones de proveedores o envío de información sensible hasta verificar legitimidad. Comunicar internamente la necesidad de aplicar verificación reforzada durante la incidencia

4. Preservar evidencias mínimas

Conservar correos/mensajes originales, URL, adjuntos, facturas, conversaciones y números de contacto asociados. Realizar capturas de pantalla cuando sea útil. Registrar: fecha y hora de detección, persona que detecta, cuentas/sistemas afectados y acciones iniciales.

Como cierre, es necesario activar el canal interno de coordinación: informar al responsable designado y al equipo implicado sobre lo ocurrido, indicando qué acciones deben evitarse (por ejemplo, no abrir determinados mensajes o no ejecutar pagos sin validación).

 

Protocolo en la primera semana de ataque: cierre, refuerzo y prevención de recurrencia

El objetivo es asegurar el cierre del incidente y fortalecer controles para reducir la probabilidad de repetición

 
Acción 1Limpieza
1. Eliminar persistencias y accesos no autorizados

Revisar usuarios, permisos, dispositivos autorizados y accesos remotos.

Eliminar reglas de correo no legítimas y revocar aplicaciones conectadas sospechosas.

Acción 2Refuerzo
2. Reforzar medidas mínimas de protección

MFA en todas las cuentas críticas.

Contraseñas únicas y gestión mediante gestor.

Copias con prueba de restauración.

Actualizaciones y reducción de exposición de servicios.

Acción 3Revisión
3. Revisar procesos sensibles

Ajustar el protocolo de pagos y cambios bancarios si el incidente estuvo vinculado a fraude.

Ajustar el control de altas/bajas, permisos y cuentas compartidas si el incidente implicó accesos indebidos.

Acción 4Registro
4. Documentar lecciones aprendidas

Elaborar un documento breve: qué ocurrió, por dónde entró, qué falló y qué se modifica.

Traducir el aprendizaje en medidas concretas (procedimiento, control o hábito).

Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.