Responder a un incidente de seguridad en red significa ejecutar un proceso ordenado de contención, análisis y recuperación para minimizar el daño causado por un ataque.
Cuando la red deja de ser tuya
Son las 9:15 de la mañana en una distribuidora mediana de Monterrey. De repente, los vendedores no pueden acceder al sistema de facturación. El administrador de red ve tráfico inusual saliendo del servidor principal. Nadie sabe qué pasó ni por dónde empezar. Ese momento de parálisis es exactamente lo que un atacante espera.
La buena noticia: si tienes un proceso definido antes de que ocurra el incidente, ese momento de parálisis desaparece. Sabes exactamente qué hacer en los primeros cinco minutos.
El Marco PICERC: tu proceso de respuesta
El proceso que usarás se llama Marco PICERC, que son las iniciales de sus seis fases: Preparación, Identificación, Contención, Erradicación, Recuperación y Cierre. Este marco está alineado con el estándar NIST SP 800-61, que es una guía de referencia internacional para manejo de incidentes.
No es burocracia. Es el orden correcto para no cometer errores costosos bajo presión.
Fase 1 — Preparación
La preparación ocurre antes del incidente. Sin ella, las demás fases son caóticas.
Estos son los tres elementos mínimos que necesitas:
- Lista de contactos de emergencia: el número del proveedor de internet, el equipo de TI, el área legal y la dirección general.
- Inventario actualizado: sabes qué dispositivos existen en tu red, cuáles son críticos y dónde están sus backups.
- Bitácora de logs activa: tienes registros de tráfico de al menos los últimos 30 días almacenados en un servidor separado.
Una empresa como una franquicia regional de FEMSA, con 80 empleados y tres sucursales, puede prepararse con herramientas gratuitas como Graylog para centralizar logs y un documento compartido en Google Drive con los procedimientos de respuesta.
Fase 2 — Identificación
Identificar significa confirmar que realmente hay un incidente y entender su alcance inicial.
No todo es un ataque. A veces es un switch mal configurado o un empleado que descargó un archivo equivocado. Antes de actuar, hazte estas tres preguntas:
- ¿Qué sistema o segmento de red está afectado?
- ¿Cuándo comenzaron los síntomas?
- ¿Hay acceso no autorizado confirmado o solo comportamiento anómalo?
Supón que trabajas en una empresa distribuidora de alimentos similar a Bimbo, con sede en Guadalajara. Tu sistema de monitoreo Zabbix lanza una alerta: el servidor de archivos está enviando 2 GB de datos hacia una IP externa desconocida a las 3:00 AM. Ese patrón — transferencia masiva en horario inusual hacia IP externa — es una señal clara de exfiltración de datos. Ya tienes confirmación de incidente.
Anota la hora exacta, los sistemas afectados y guarda una captura de pantalla de los logs. Esa documentación será crítica en la fase de Cierre.
Fase 3 — Contención
Contener significa detener que el daño se expanda, sin destruir evidencia.
Esta fase tiene dos momentos:
Contención inmediata (primeros 15 minutos): Aisla los segmentos afectados. Si tienes VLANs configuradas desde la lección anterior, esto es tan simple como deshabilitar el puerto del switch que conecta el servidor comprometido. No apagues el equipo todavía — los datos en memoria RAM pueden contener evidencia valiosa.
Contención a corto plazo: Bloquea la IP externa en tu firewall. Cambia las credenciales de las cuentas que podrían estar comprometidas. Notifica al equipo directivo con un resumen breve: qué pasó, qué se contuvo, qué sigue.
Un error común en esta fase es apagar todo el sistema de inmediato. Parece lógico, pero destruyes evidencia y puedes tardar horas en volver a operar. Contener es diferente a apagar.
Fase 4 — Erradicación
Erradicar significa eliminar la causa raíz del incidente.
Esto puede incluir:
- Eliminar el malware identificado con herramientas como Malwarebytes for Teams o ClamAV.
- Parchear la vulnerabilidad que fue explotada (por ejemplo, una versión desactualizada de Windows Server o un plugin de WordPress sin actualizar).
- Eliminar las cuentas de usuario o puertas traseras que el atacante instaló.
Vuelve al ejemplo de la distribuidora en Guadalajara. El análisis forense muestra que el atacante entró por un acceso VPN con credenciales robadas de un empleado que usaba la misma contraseña en su correo personal y en la VPN corporativa. La erradicación incluye: revocar todas las sesiones VPN activas, activar autenticación de dos factores en la VPN y forzar cambio de contraseña en toda la organización.
No avances a la recuperación sin confirmar que eliminaste la causa raíz. Si no lo haces, el atacante puede volver a entrar en horas.
Fase 5 — Recuperación
Recuperar significa restaurar los sistemas afectados a operación normal de forma controlada.
El orden importa:
- Restaura desde el backup más reciente que esté libre de compromiso.
- Reconecta los sistemas al segmento de red en horario de bajo tráfico.
- Monitorea intensivamente durante las primeras 48 horas con alertas activas.
Si tu empresa tiene un acuerdo de soporte con un proveedor de servicios administrados (MSP), este es el momento de activarlo. Empresas como Axtel o Telmex Empresarial ofrecen servicios de respuesta a incidentes que pueden reducir el tiempo de recuperación de días a horas.
Define un criterio claro de éxito: el sistema está recuperado cuando opera sin anomalías durante 24 horas continuas bajo monitoreo activo.
Fase 6 — Cierre y lecciones aprendidas
El cierre es la fase que más empresas omiten y es la más valiosa para el futuro.
Elabora un reporte de incidente que incluya:
- Cronología exacta: hora de inicio, hora de detección, hora de contención, hora de recuperación.
- Causa raíz confirmada: qué vulnerabilidad fue explotada y cómo.
- Impacto económico estimado: horas de inactividad multiplicadas por el costo operativo por hora.
- Acciones correctivas: qué cambios se implementarán para que esto no vuelva a ocurrir.
En México, si el incidente involucra datos personales de clientes, tienes obligación legal de notificar al INAI conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. No hacerlo puede resultar en multas de hasta $20,000,000.
Una reunión de 60 minutos con todo el equipo de TI después del incidente puede generar más mejoras de seguridad que meses de auditorías preventivas.
Errores que convierten un incidente pequeño en una crisis
Estos son los cuatro errores más costosos que cometen los equipos de TI durante un incidente:
1. Comunicar demasiado pronto y sin datos. Decirle a la dirección "nos hackearon" sin contexto genera pánico. Comunica hechos: qué sistemas, qué datos, qué acciones ya se tomaron.
2. Saltarse la contención para ir directo a la recuperación. Si restauras el sistema sin erradicar la causa raíz, el atacante sigue adentro. Acabas de limpiar la casa con la puerta abierta.
3. No preservar evidencia. Los logs de un firewall Fortinet o de un router Cisco pueden ser la diferencia entre identificar al atacante o no. Exporta y firma digitalmente los logs antes de hacer cualquier cambio.
4. No actualizar el plan después del incidente. El Marco PICERC solo mejora si lo actualizas con lo que aprendiste. Un incidente que no genera aprendizaje documentado fue un incidente desperdiciado.
El costo de no tener un proceso
Un estudio de IBM sobre el costo promedio de una brecha de datos en América Latina estima el impacto en el equivalente a varios millones de pesos por incidente. Para una empresa mediana mexicana con ingresos de $5,000,000 al mes, incluso cuatro horas de inactividad por un ataque de ransomware pueden representar pérdidas de $80,000 o más en ventas no realizadas, sin contar el costo de recuperación ni el daño reputacional.
Tener el Marco PICERC documentado y practicado no elimina los incidentes. Pero reduce el tiempo de respuesta de horas a minutos y el impacto económico de forma dramática.
Un equipo que practica su respuesta antes del incidente convierte una crisis en un procedimiento.