De acuerdo con el informe más reciente de Verizon, las filtraciones de datos aumentaron un 20% en 2024 respecto al año anterior, y los atacantes fueron un 22% más rápidos en moverse dentro de las redes comprometidas. Ante este escenario, ESET Latinoamérica enfatiza que la clave no está solo en prevenir, sino en cómo se responde una vez que la intrusión ocurre.
“El tiempo juega en contra. Una filtración de datos no tiene por qué ser catastrófica si los equipos saben actuar con rapidez y decisión. Cuando todos los miembros del equipo de respuesta a incidentes conocen su papel, las posibilidades de resolver la crisis de forma rápida, eficaz y a bajo costo aumentan considerablemente”, explica Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
La compañía asegura que ninguna organización es completamente inmune a sufrir una brecha. Lo que diferencia a una empresa resiliente de una en crisis es la metodología y precisión con la que reacciona en las primeras 48 horas.
1. Comprender el alcance: el punto de partida
El primer paso tras detectar un ataque es comprender exactamente qué ha ocurrido. Esto implica activar el plan de respuesta a incidentes y convocar al equipo designado, que debe incluir representantes de áreas clave como TI, jurídico, comunicación, recursos humanos y dirección ejecutiva.
“Actuar sin información es tan peligroso como no actuar”, señala Gutiérrez Amaya. El equipo debe determinar cómo ingresó el atacante, qué sistemas están comprometidos y qué acciones maliciosas ya se realizaron. Esta evaluación inicial permite tomar decisiones informadas y definir prioridades.
ESET subraya la importancia de documentar cada paso del proceso y preservar las pruebas, tanto para el análisis forense posterior como para eventuales procesos legales. Mantener una cadena de custodia sólida no solo garantiza credibilidad ante autoridades, sino que también puede resultar clave para fortalecer la ciberdefensa en el futuro.
2. Notificar a las partes involucradas
Una vez comprendido el incidente, llega el momento de comunicarlo. La transparencia, aunque incómoda, es esencial para mantener la confianza y evitar la desinformación.
Las autoridades reguladoras deben ser notificadas si el ataque involucra datos personales, en cumplimiento de las leyes de protección de datos. Las aseguradoras también deben ser informadas de inmediato, ya que muchas pólizas exigen reportar la brecha en plazos específicos.
En paralelo, la comunicación con clientes, socios y empleados debe ser clara y oportuna. “Es preferible que se enteren por los canales oficiales de la empresa antes de que la noticia circule en redes sociales o medios de comunicación”, recomienda ESET.
Además, informar a las fuerzas de seguridad puede aportar recursos valiosos: en casos de ransomware, las autoridades pueden ofrecer apoyo de inteligencia o herramientas de descifrado. En algunos escenarios, también será necesario recurrir a expertos externos para asesoría técnica o legal.
3. Aislar y contener el ataque
Mientras se gestionan las notificaciones, el equipo de TI debe enfocarse en aislar los sistemas comprometidos para evitar que el ataque se propague. Esto implica desconectar de internet los dispositivos afectados —sin apagarlos— y proteger las copias de seguridad desconectándolas de la red.
Las acciones inmediatas incluyen desactivar accesos remotos, restablecer credenciales VPN y bloquear tráfico malicioso mediante herramientas de seguridad. En esta fase, la rapidez es crucial: una contención oportuna puede marcar la diferencia entre un incidente limitado y un colapso total de la red.
ESET aconseja que todas las copias de respaldo permanezcan fuera de línea hasta confirmar que no han sido comprometidas. “El ransomware no solo cifra archivos, también puede corromper las copias de seguridad si permanecen conectadas”, advierte el laboratorio de investigación.
4. Eliminar, recuperar y reforzar
Con el incidente contenido, comienza la fase de eliminación y recuperación. Aquí, los expertos analizan las tácticas, técnicas y procedimientos del atacante para rastrear su recorrido dentro de la red.
Eliminar malware persistente, backdoors y cuentas fraudulentas es esencial para restaurar la normalidad. Solo después de verificar que los sistemas estén limpios y los datos íntegros, se deben restaurar las copias de seguridad.
Esta etapa también ofrece la oportunidad de reforzar las defensas: restringir privilegios, implementar autenticación multifactor y segmentar mejor la red. ESET recomienda aprovechar la reconstrucción del entorno para introducir mejoras estructurales que reduzcan el riesgo de futuros incidentes.
Para las organizaciones que carecen de recursos especializados, soluciones como ESET Ransomware Remediation pueden acelerar la recuperación y fortalecer la postura de seguridad a largo plazo.
5. Revisar, aprender y mejorar
Cuando la crisis inmediata ha sido superada, el último paso es reflexionar sobre lo sucedido. Esta fase de revisión no es solo un cierre, sino una oportunidad para aumentar la resiliencia.
ESET sugiere realizar un análisis detallado de los hechos: qué funcionó, qué falló y qué procesos deben ajustarse. “Una cultura sólida tras un incidente trata cada brecha como un ejercicio de entrenamiento para la siguiente”, destaca Gutiérrez Amaya. “El aprendizaje continuo y la práctica constante son la base de una defensa madura”.
Las empresas deben actualizar sus políticas, revisar sus planes de gestión de incidentes y reforzar la capacitación de su personal. El componente humano sigue siendo el eslabón más débil, y la educación en ciberseguridad puede prevenir muchos ataques futuros.
Además, se debe mantener una comunicación transparente con las partes afectadas y cumplir con las obligaciones regulatorias. Esto incluye actualizaciones a organismos de control, notificaciones a clientes y reportes internos que documenten el proceso y las lecciones aprendidas.
“No siempre es posible evitar una brecha, pero sí minimizar los daños. Si su organización no dispone de recursos para vigilar las amenazas las 24 horas, considere la posibilidad de contratar un servicio de detección y respuesta gestionadas (MDR) de un tercero de confianza”, concluye el especialista de ESET Latinoamérica.
Lee más:
- Genesys es nombrada líder en crecimiento por Frost & Sullivan en América Latina 2025
- México lidera en biotecnología con una inteligencia artificial que imita el sistema inmune de los tiburones
- WhatsApp Business activa IA en México: así pueden usarla los negocios
