Los primeros minutos y horas después de un ciberataque pueden determinar si una empresa logra contener el incidente o sufre una brecha de consecuencias graves. Desde ESET, compañía líder en ciberseguridad, subrayamos que la clave está en la prevención y en la capacidad de reacción inmediata, aunque cada ataque exige decisiones adaptadas al contexto.
Un reciente estudio de Verizon señala que el número de brechas investigadas aumentó 20 puntos respecto al año anterior, lo que refuerza la necesidad de anticiparse. “Debemos invertir en un buen equipo de respuesta, uno que sepa qué hacer y tenga una amplia gama de posibilidades para lograr una resolución rápida, eficaz y de bajo costo. No por invertir más significa que estemos más protegidos” explica Josep Albors, director de Investigación y Concienciación de ESET España.
La rapidez marca la diferencia
Los ciberdelincuentes son cada vez más veloces, Investigaciones recientes indican que el tiempo entre el acceso inicial y el movimiento lateral (breakout time), se ha acelerado un 22% respecto al año pasado. El tiempo promedio fue de 48 minutos, aunque el ataque más rápido registrado fue de tan solo 27 minutos. Mientras tanto, las organizaciones a nivel mundial tardan 241 días en detectar y contener una brecha, según IBM.
“En el informe ESET Threat Report H1 2025 constatamos que España era el segundo país más afectado por las ciberamenazas durante el primer semestre del año. Entre el aumento de incidentes a nivel mundial estaban el ransomware, los infostealer y el fraude NFC. Los datos nos confirman que los atacantes son cada vez más perfeccionistas con los métodos y objetivos. Por ello, la protección deja de ser opcional y pasa a ser una necesidad urgente y estratégica”, explica Josep Albors, director de Investigación y Concienciación de ESET España,.
Si te pillan, actúa: las 5 acciones clave
Incluso las organizaciones mejor preparadas pueden sufrir un ciberataque en cualquier momento. Por ello, desde ESET damos cinco pasos que pueden ser clave para las primeras 24-48 horas:
1. Recopilar información y entender el alcance: el primer paso es entender qué sucedió y poner en marcha una respuesta. Se debe activar el plan ante incidentes previamente elaborado y notificar la situación a las partes interesadas de la organización, ya sean RRHH, comunicación, legal o liderazgo. Además, documentar cada paso y recopilar evidencias ayudará tanto a evaluar el impacto como a la posterior investigación forense y legal.
2. Notificar a terceros relevantes: una vez determinado el ataque, es necesario informar a las autoridades pertinentes. Dependiendo de la gravedad del incidente, habrá que comunicarlo a los organismos correspondientes como las aseguradoras, los clientes, los socios y los empleados, las fuerzas del orden y agentes externos, como especialistas legales y de IT.
3. Aislar y contener: se debe actuar rápido para evitar la propagación del ataque, mientras se notifica a terceros. Los sistemas afectados deben aislarse sin apagarlos, con el fin de conservar las evidencias y limitar el alcance del atacante. Todo acceso remoto debe ser deshabilitado, las credenciales de VPN restablecidas y deben emplearse herramientas de seguridad para bloquear el tráfico malicioso y conexiones de comando y control.
4. Eliminar y recuperar: cuando el incidente está contenido, se pasa a la erradicación y recuperación. Es esencial hacer un análisis forense para identificar las TTP de los atacantes, desde el acceso inicial hasta el movimiento lateral y posible cifrado o exfiltración. Durante la recuperación, se debe verificar la integridad de sistemas y datos, restaurar copias de seguridad limpias y mantener un monitoreo estricto para detectar nuevos intentos de compromiso. Esta fase también debe servir para reforzar la seguridad: mejorar los controles de privilegios, segmentar la red, reforzar la autenticación y contar con apoyo externo e implementar herramientas de remediación.
5. Revisar y mejorar: realizar una revisión del incidente ayuda a convertirlo en un catalizador de resiliencia ante futuros ataques. Debemos plantear preguntas como qué ocurrió, qué impactos hubo, qué falló, qué funcionó y dónde hubo escasez de recursos o tiempo a la hora de actuar. Solo analizando lo ocurrido se puede aprender a actuar mejor frente a incidentes similares.
“No siempre se puede evitar una brecha de seguridad, pero sí podemos minimizar los daños y aprender de ella. La seguridad no depende solo de las herramientas, sino también de la atención humana. La concienciación colectiva es esencial para evitar que la confianza se convierta en una puerta abierta al ataque”, concluye el director de Investigación y Concienciación de ESET España.