El USB de emergencia que puede salvar una respuesta ante un ciberincidente

Un equipo que deja de arrancar después de una infección, un servidor con el disco al límite o una red desde la que empieza a salir tráfico desconocido obligan a actuar con rapidez, pero también con cuidado. En una incidencia de seguridad no basta con recuperar el servicio: hay que evitar destruir pruebas, propagar malware o conectar herramientas sin verificar a un sistema comprometido. Un kit de emergencia IT bien preparado puede reducir horas de improvisación y convertirse en la primera pieza de una respuesta ordenada.

Las claves de un kit de emergencia de seguridad en 20 segundos

  • Debe incluir herramientas de arranque, análisis de red, almacenamiento, memoria, malware y recuperación.
  • Las utilidades tienen que descargarse desde sus páginas oficiales y verificarse antes de copiarlas.
  • Ventoy permite reunir varias imágenes ISO en un único USB, pero la persistencia de Debian Live necesita configuración adicional.
  • SystemRescue ofrece GParted, ddrescue, TestDisk, Memtest, rsync y soporte para numerosos sistemas de archivos.
  • No conviene guardar contraseñas, tokens cloud o claves privadas sin cifrar.
  • Durante una investigación es preferible trabajar sobre una copia del disco, no sobre el original.
  • Un USB conectado a un equipo comprometido puede contaminarse y transportar el incidente a otros sistemas.
  • El kit debe probarse periódicamente en equipos con BIOS, UEFI y Secure Boot.

La utilidad real de este tipo de kit no se mide por el número de programas que contiene. Una memoria USB con decenas de ejecutables desactualizados, licencias dudosas y archivos descargados desde repositorios no oficiales puede crear más problemas de los que resuelve.

El objetivo debe ser cubrir una serie limitada de situaciones previsibles: arrancar un sistema que no responde, recoger información sin alterar innecesariamente el equipo, comprobar el estado del almacenamiento, copiar datos, analizar conexiones y disponer de un entorno limpio desde el que continuar la intervención.

Herramientas para diagnóstico, contención y recuperación

La siguiente selección combina aplicaciones portables para Windows con entornos de arranque independientes. No todas serán necesarias en cada intervención y algunas requieren autorización expresa antes de utilizarse en redes o equipos de terceros.

HerramientaFunción principalUtilidad durante un incidentePrecaución
Process ExplorerAnalizar procesos, DLL y archivos abiertosDetectar procesos anómalos, bloqueos y relaciones entre ejecutablesUn proceso desconocido no es necesariamente malicioso
AutorunsRevisar puntos de inicio automáticoLocalizar persistencia en servicios, tareas, controladores y claves de registroNo desactivar entradas sin documentarlas
Process MonitorRegistrar actividad del sistemaSeguir accesos a archivos, registro, procesos y redGenera grandes volúmenes de eventos
Wireshark / TSharkCaptura y análisis de tráficoInvestigar DNS, conexiones externas, movimientos laterales y exfiltraciónPuede capturar credenciales o información sensible
tcpdumpCaptura de red desde consolaTrabajar en servidores sin interfaz gráficaHay que definir filtros para evitar ficheros inmanejables
NmapDescubrimiento y análisis de serviciosIdentificar puertos, hosts y servicios expuestosSolo debe utilizarse con autorización
Advanced IP ScannerDescubrimiento rápido de dispositivosObtener una primera vista de una red localNo sustituye a un inventario fiable
WizTree / ncduAnalizar consumo de discoLocalizar registros, copias, temporales o archivos anómalosBorrar sin revisar puede destruir pruebas
BlueScreenViewRevisar volcados de WindowsObtener una primera pista sobre pantallazos azulesEl diagnóstico completo puede requerir WinDbg
Hiren’s BootCD PEEntorno de rescate basado en WindowsRecuperar archivos, revisar discos y reparar el arranqueComprobar siempre la procedencia de la imagen
Debian Live persistenteSistema Linux portátilEjecutar scripts, montar volúmenes y trabajar desde un entorno conocidoLa persistencia no se activa solo copiando la ISO
SystemRescueEntorno Linux de recuperaciónTrabajar con particiones, sistemas de archivos, discos y redesAlgunas operaciones pueden modificar el soporte
GParted / GNU PartedGestionar particionesRevisar tablas, tamaños y estructuras de discoRedimensionar durante una incidencia puede aumentar el daño
GNU ddrescueClonar soportes con erroresCopiar primero las zonas legibles de un disco dañadoEl origen y el destino deben identificarse con precisión
TestDiskRecuperar particiones y archivosReconstruir tablas dañadas y localizar datos perdidosTrabajar preferiblemente sobre una imagen
smartmontools / nvme-cliConsultar la salud del almacenamientoDetectar errores SMART, desgaste y fallos NVMeLos datos SMART no garantizan que un disco esté sano
MemtestComprobar memoria RAMSeparar fallos físicos de errores de softwareUna prueba breve puede no detectar errores intermitentes
ClamAV u otro escáner autorizadoAnalizar malwareRealizar una primera revisión desde un entorno limpioUna detección negativa no descarta una infección
rsync / SCP / SFTPCopiar datos a otro sistemaExtraer registros, evidencias y copias de seguridadVerificar cifrado, permisos y destino
KeePassXC portátilGuardar credenciales cifradasAcceder a cuentas de emergencia de forma controladaProteger la base con una contraseña fuerte y segundo factor
Rufus / VentoyCrear medios de arranquePreparar varias imágenes de recuperaciónUna actualización puede cambiar la compatibilidad de arranque

Process Explorer, Autoruns y Process Monitor forman parte de Sysinternals y permiten estudiar sistemas Windows sin instalar suites completas. Son especialmente valiosos para revisar persistencia, procesos que mantienen archivos abiertos y actividad inesperada en el registro.

Wireshark aporta visibilidad sobre la red, pero necesita un mínimo de preparación. Llevar filtros ya probados para DNS, conexiones TCP fallidas, tráfico TLS, SMB o direcciones concretas puede ahorrar tiempo durante una caída. También es aconsejable definir dónde se almacenarán las capturas y cuánto espacio máximo podrán ocupar.

SystemRescue cubre buena parte de las necesidades cuando el sistema operativo instalado no arranca. El entorno incluye herramientas para ext4, XFS, Btrfs, NTFS y otros sistemas de archivos, además de utilidades para LVM, redes, copias y recuperación.

Su combinación de GParted, FSArchiver, ddrescue, TestDisk, Memtest y rsync permite intervenir tanto en estaciones Windows como en servidores Linux. Puede utilizarse para copiar datos de un equipo que no arranca, montar almacenamiento remoto mediante Samba o NFS y ejecutar scripts propios durante el inicio.

La primera regla: no destruir la evidencia intentando arreglar el equipo

En soporte técnico es habitual actuar directamente sobre el sistema hasta devolverlo al servicio. En seguridad esa respuesta puede ser insuficiente o incluso contraproducente.

Borrar un archivo sospechoso, desinstalar una aplicación, limpiar el registro o ejecutar una reparación automática puede eliminar información necesaria para conocer cómo entró el atacante, qué ejecutó y si logró moverse hacia otros equipos.

Cuando sea posible, la prioridad debería ser documentar el estado y crear una copia antes de modificarlo. Esto incluye anotar la fecha, el usuario conectado, las conexiones activas, los procesos, las tareas programadas, los dispositivos montados y cualquier mensaje observado.

Si el disco presenta errores físicos, conviene utilizar ddrescue para obtener una imagen y trabajar después sobre la copia. Las herramientas convencionales de clonación pueden quedarse bloqueadas al encontrar sectores defectuosos o repetir lecturas hasta empeorar el estado del soporte.

También es importante distinguir entre recuperación operativa y análisis forense. Un USB de emergencia ayuda a contener y diagnosticar, pero no sustituye a una adquisición forense con control de integridad, bloqueo de escritura y cadena de custodia cuando existe una investigación legal, una fuga de datos grave o una posible denuncia.

La cadena de custodia no es una formalidad reservada a grandes incidentes. Consiste en poder explicar quién recogió la información, cuándo lo hizo, desde qué equipo, con qué herramienta y cómo se verificó que no había cambiado.

Un procedimiento básico puede incluir el cálculo de hashes SHA-256 de las imágenes y archivos recogidos, el almacenamiento en un soporte cifrado y un registro de cada acceso posterior.

Ventoy y Debian Live: por qué la persistencia suele “desaparecer”

Ventoy resulta práctico porque permite copiar varias imágenes ISO a una misma memoria USB y seleccionarlas desde un menú. Sin embargo, copiar Debian Live no crea automáticamente un entorno persistente.

Sin persistencia, Debian arrancará y funcionará correctamente, pero las herramientas instaladas, los scripts, las claves SSH y los cambios de configuración desaparecerán después de reiniciar.

Como señala David Carrero, hay que crear un archivo persistence.conf con una única línea:

/ union

Después se genera la imagen de persistencia con CreatePersistentImg.sh:

printf '/ union\n' > persistence.conf

sudo bash CreatePersistentImg.sh \
  -s 8192 \
  -l persistence \
  -c persistence.conf

El ejemplo crea un archivo de 8 GB. Después puede copiarse a una ruta como:

/persistence/debian-live.dat

La ISO puede almacenarse en:

/ISO/debian-live.iso

Por último, Ventoy necesita conocer la relación entre ambos archivos mediante /ventoy/ventoy.json:

{
  "persistence": [
    {
      "image": "/ISO/debian-live.iso",
      "backend": "/persistence/debian-live.dat"
    }
  ]
}

Sin esa asociación, Ventoy arrancará la imagen, pero no utilizará el espacio persistente. Es el motivo más habitual por el que una Debian Live parece guardar los cambios durante la sesión y los pierde al reiniciar.

La verificación debe hacerse antes de incorporar la unidad al kit. Basta con crear un archivo, instalar un paquete pequeño, reiniciar y comprobar que continúa disponible.

Desde el punto de vista de la seguridad, la persistencia tiene una ventaja y un riesgo. Permite conservar herramientas, scripts, certificados y configuraciones. Al mismo tiempo, puede guardar accidentalmente muestras de malware, tokens temporales, historiales de comandos o datos extraídos durante una intervención.

Por eso conviene separar el entorno de herramientas del soporte utilizado para evidencias. Una configuración prudente incluye un USB de arranque y una segunda unidad cifrada para volcados, registros y copias.

Cómo evitar que el kit se convierta en un vector de infección

Un USB conectado a un sistema comprometido deja de ser automáticamente confiable. Puede recibir archivos maliciosos, accesos directos manipulados o cambios en su contenido. Si después se conecta a otro equipo, puede transportar el incidente.

La protección física contra escritura es una buena opción cuando el dispositivo la admite. Otra alternativa es montar las particiones en modo de solo lectura siempre que la tarea lo permita.

Las imágenes ISO y los ejecutables deben descargarse desde sus fuentes oficiales. Antes de copiarlos se deben verificar hashes o firmas digitales y conservar un listado de versiones. No es recomendable utilizar recopilaciones anónimas o imágenes modificadas cuyo contenido no pueda auditarse.

El kit debería incluir un pequeño inventario, por ejemplo:

CampoEjemplo
HerramientaSystemRescue
VersiónVersión instalada
Fecha de descarga15/07/2026
FuenteSitio oficial
SHA-256Hash verificado
Última prueba20/07/2026
ResultadoArranque UEFI correcto

Esta documentación permite detectar rápidamente herramientas obsoletas y comprobar si un archivo ha sido sustituido.

Las credenciales requieren todavía más cuidado. No deberían almacenarse en documentos de texto, scripts o ficheros de configuración sin cifrar. Un gestor como KeePassXC puede resultar útil, pero la base de datos debe tener una contraseña independiente y, cuando sea posible, una clave adicional separada físicamente.

Para accesos críticos conviene utilizar cuentas de emergencia con permisos limitados, registradas y sometidas a rotación después de cada uso. Una contraseña maestra guardada durante años en el USB contradice el propósito de seguridad del kit.

También hay que considerar Secure Boot. Algunos entornos de rescate pueden no arrancar cuando está activado o pueden requerir pasos adicionales. Deshabilitarlo durante una incidencia sin documentar el cambio puede dejar el equipo en un estado menos seguro.

La solución es probar el conjunto antes, conocer las limitaciones de cada imagen y registrar cualquier modificación realizada en la BIOS o UEFI.

Un kit de seguridad también necesita procedimientos

La herramienta más importante puede ser un documento sencillo con los primeros pasos. Durante una incidencia grave es fácil saltarse comprobaciones o actuar bajo presión.

El kit puede incluir una guía sin conexión con la siguiente secuencia:

  1. Identificar el equipo y confirmar la autorización para intervenir.
  2. Registrar la hora, el estado y las personas presentes.
  3. Valorar si debe aislarse de la red.
  4. Decidir si se conservará la memoria RAM antes de apagar.
  5. Recoger procesos, conexiones y sesiones cuando sea posible.
  6. Crear una copia del almacenamiento antes de reparar.
  7. Calcular hashes de las evidencias.
  8. Guardar los archivos en un soporte cifrado.
  9. Documentar cada cambio realizado.
  10. Rotar las credenciales utilizadas al finalizar.

También conviene llevar esquemas de red, teléfonos de escalado, contactos del proveedor, procedimientos de recuperación, comandos de montaje y documentación sobre RAID, LVM o cifrado de discos.

Durante una caída es posible que no funcionen internet, la VPN, el gestor de contraseñas corporativo o el repositorio interno de documentación. Tener esa información disponible sin conexión puede ahorrar más tiempo que cualquier programa.

La preparación forma parte de la respuesta ante incidentes. Un USB probado, actualizado y documentado no sustituye a un equipo de seguridad, pero evita que los primeros minutos se consuman descargando herramientas desde un ordenador que quizá ya no sea fiable.

Preguntas frecuentes

¿Qué capacidad debería tener el USB de emergencia?
Una unidad de 64 GB puede alojar varias imágenes. Para persistencia, controladores, herramientas y documentación, 128 GB ofrece más margen.

¿Es seguro conectar el mismo USB a varios equipos comprometidos?
No siempre. Puede contaminarse y transportar archivos maliciosos. Es preferible utilizar protección contra escritura, montar en solo lectura y revisar la unidad después de cada intervención.

¿Ventoy conserva automáticamente los cambios de Debian Live?
No. Es necesario crear un archivo de persistencia y asociarlo a la ISO mediante ventoy.json.

¿Puede utilizarse este kit como herramienta forense?
Puede servir para una primera recogida y contención, pero una investigación formal necesita procedimientos de adquisición, integridad, bloqueo de escritura y cadena de custodia.

Scroll al inicio