Ante un ciberataque, los primeros minutos pueden resultar clave para determinar si una empresa podrá contener esa incidencia o si, por el contrario, sufre una importante brecha. Según comentan desde ESET, la clave la encontramos en la prevención y en la capacidad de reacción inmediata por parte de la empresa.
Un reciente estudio de Verizon señala que el número de brechas investigadas aumentó 20 puntos respecto al año anterior, lo que refuerza la necesidad de anticiparse. “Debemos invertir en un buen equipo de respuesta, uno que sepa qué hacer y tenga una amplia gama de posibilidades para lograr una resolución rápida, eficaz y de bajo costo. No por invertir más significa que estemos más protegidos” explica Josep Albors, director de Investigación y Concienciación de ESET España.
La rapidez marca la diferencia
En los últimos años, se ha detectado como los ciberdelincuentes son cada vez más veloces a la hora de actuar. Según investigaciones recientes, entre el tiempo de acceso inicial y el movimiento lateral, el proceso se ha acelerado un 22% en el último año. La media la encontramos en 48 minutos, aunque el ataque más rápido registrado fue de tan solo 27 minutos. Por el contrario, las organizaciones suelen tardar, de media, 241 días en detectar y contener la brecha, según informan desde IBM.
“En el informe ESET Threat Report H1 2025 constatamos que España era el segundo país más afectado por las ciberamenazas durante el primer semestre del año. Entre el aumento de incidentes a nive mundial estaban el ransomware, los infostealer y el fraude NFC. Los datos nos confirman que los atacantes son cada vez más perfeccionistas con los métodos y objetivos. Por ello, la protección deja de ser opcional y pasa a ser una necesidad urgente y estratégica”, explica Josep Albors, director de Investigación y Concienciación de ESET España,.
Si te pillan, actúa: las 5 acciones clave según ESET
Incluso las organizaciones mejor preparadas pueden sufrir un ciberataque en cualquier momento. Por ello, ESET da cinco pasos que pueden ser clave para las primeras 24-48 horas:
- Recopilar información y entender el alcance: El primer paso es entender qué sucedió y poner en marcha una respuesta. Se debe activar el plan ante incidentes previamente elaborado y notificar la situación a las partes interesadas de la organización, ya sean RRHH, comunicación, legal o liderazgo. Además, documentar cada paso y recopilar evidencias ayudará tanto a evaluar el impacto como a la posterior investigación forense y legal.
- Notificar a terceros relevantes: Una vez determinado el ataque, es necesario informar a las autoridades pertinentes. Dependiendo de la gravedad del incidente, habrá que comunicarlo a los organismos correspondientes como las aseguradoras, los clientes, los socios y los empleados, las fuerzas del orden y agentes externos, como especialistas legales y de TI.
- Aislar y contener: Se debe actuar rápido para evitar la propagación del ataque, mientras se notifica a terceros. Los sistemas afectados deben aislarse sin apagarlos, con el fin de conservar las evidencias y limitar el alcance del atacante. Todo acceso remoto debe ser deshabilitado, las credenciales de VPN restablecidas y deben emplearse herramientas de seguridad para bloquear el tráfico malicioso y conexiones de comando y control.
- Eliminar y recuperar: Cuando el incidente está contenido, se pasa a la erradicación y recuperación. Es esencial hacer un análisis forense para identificar las TTP de los atacantes, desde el acceso inicial hasta el movimiento lateral y posible cifrado o exfiltración. Durante la recuperación, se debe verificar la integridad de sistemas y datos, restaurar copias de seguridad limpias y mantener un monitoreo estricto para detectar nuevos intentos de compromiso. Esta fase también debe servir para reforzar la seguridad: mejorar los controles de privilegios, segmentar la red, reforzar la autenticación y contar con apoyo externo e implementar herramientas de remediación.
- Revisar y mejorar. Realizar una revisión del incidente ayuda a convertirlo en un catalizador de resiliencia ante futuros ataques. Debemos plantear preguntas como qué ocurrió, qué impactos hubo, qué falló, qué funcionó y dónde hubo escasez de recursos o tiempo a la hora de actuar. Solo analizando lo ocurrido se puede aprender a actuar mejor frente a incidentes similares.
“No siempre se puede evitar una brechade seguridad, pero sí podemos minimizar los daños y aprender de ella. La seguridad no depende solo de las herramientas, sino también de la atención humana. La concienciación colectiva es esencial para evitar que la confianza se convierta en una puerta abierta al ataque”, concluye el director de Investigación y Concienciación de ESET España.
