Un equipo que deja de arrancar después de una infección, un servidor con el disco al límite o una red desde la que empieza a salir tráfico desconocido obligan a actuar con rapidez, pero también con cuidado. En una incidencia de seguridad no basta con recuperar el servicio: hay que evitar destruir pruebas, propagar malware o conectar herramientas sin verificar a un sistema comprometido. Un kit de emergencia IT bien preparado puede reducir horas de improvisación y convertirse en la primera pieza de una respuesta ordenada.
Las claves de un kit de emergencia de seguridad en 20 segundos
- Debe incluir herramientas de arranque, análisis de red, almacenamiento, memoria, malware y recuperación.
- Las utilidades tienen que descargarse desde sus páginas oficiales y verificarse antes de copiarlas.
- Ventoy permite reunir varias imágenes ISO en un único USB, pero la persistencia de Debian Live necesita configuración adicional.
- SystemRescue ofrece GParted, ddrescue, TestDisk, Memtest, rsync y soporte para numerosos sistemas de archivos.
- No conviene guardar contraseñas, tokens cloud o claves privadas sin cifrar.
- Durante una investigación es preferible trabajar sobre una copia del disco, no sobre el original.
- Un USB conectado a un equipo comprometido puede contaminarse y transportar el incidente a otros sistemas.
- El kit debe probarse periódicamente en equipos con BIOS, UEFI y Secure Boot.
La utilidad real de este tipo de kit no se mide por el número de programas que contiene. Una memoria USB con decenas de ejecutables desactualizados, licencias dudosas y archivos descargados desde repositorios no oficiales puede crear más problemas de los que resuelve.
El objetivo debe ser cubrir una serie limitada de situaciones previsibles: arrancar un sistema que no responde, recoger información sin alterar innecesariamente el equipo, comprobar el estado del almacenamiento, copiar datos, analizar conexiones y disponer de un entorno limpio desde el que continuar la intervención.
Herramientas para diagnóstico, contención y recuperación
La siguiente selección combina aplicaciones portables para Windows con entornos de arranque independientes. No todas serán necesarias en cada intervención y algunas requieren autorización expresa antes de utilizarse en redes o equipos de terceros.
| Herramienta | Función principal | Utilidad durante un incidente | Precaución |
|---|---|---|---|
| Process Explorer | Analizar procesos, DLL y archivos abiertos | Detectar procesos anómalos, bloqueos y relaciones entre ejecutables | Un proceso desconocido no es necesariamente malicioso |
| Autoruns | Revisar puntos de inicio automático | Localizar persistencia en servicios, tareas, controladores y claves de registro | No desactivar entradas sin documentarlas |
| Process Monitor | Registrar actividad del sistema | Seguir accesos a archivos, registro, procesos y red | Genera grandes volúmenes de eventos |
| Wireshark / TShark | Captura y análisis de tráfico | Investigar DNS, conexiones externas, movimientos laterales y exfiltración | Puede capturar credenciales o información sensible |
| tcpdump | Captura de red desde consola | Trabajar en servidores sin interfaz gráfica | Hay que definir filtros para evitar ficheros inmanejables |
| Nmap | Descubrimiento y análisis de servicios | Identificar puertos, hosts y servicios expuestos | Solo debe utilizarse con autorización |
| Advanced IP Scanner | Descubrimiento rápido de dispositivos | Obtener una primera vista de una red local | No sustituye a un inventario fiable |
| WizTree / ncdu | Analizar consumo de disco | Localizar registros, copias, temporales o archivos anómalos | Borrar sin revisar puede destruir pruebas |
| BlueScreenView | Revisar volcados de Windows | Obtener una primera pista sobre pantallazos azules | El diagnóstico completo puede requerir WinDbg |
| Hiren’s BootCD PE | Entorno de rescate basado en Windows | Recuperar archivos, revisar discos y reparar el arranque | Comprobar siempre la procedencia de la imagen |
| Debian Live persistente | Sistema Linux portátil | Ejecutar scripts, montar volúmenes y trabajar desde un entorno conocido | La persistencia no se activa solo copiando la ISO |
| SystemRescue | Entorno Linux de recuperación | Trabajar con particiones, sistemas de archivos, discos y redes | Algunas operaciones pueden modificar el soporte |
| GParted / GNU Parted | Gestionar particiones | Revisar tablas, tamaños y estructuras de disco | Redimensionar durante una incidencia puede aumentar el daño |
| GNU ddrescue | Clonar soportes con errores | Copiar primero las zonas legibles de un disco dañado | El origen y el destino deben identificarse con precisión |
| TestDisk | Recuperar particiones y archivos | Reconstruir tablas dañadas y localizar datos perdidos | Trabajar preferiblemente sobre una imagen |
| smartmontools / nvme-cli | Consultar la salud del almacenamiento | Detectar errores SMART, desgaste y fallos NVMe | Los datos SMART no garantizan que un disco esté sano |
| Memtest | Comprobar memoria RAM | Separar fallos físicos de errores de software | Una prueba breve puede no detectar errores intermitentes |
| ClamAV u otro escáner autorizado | Analizar malware | Realizar una primera revisión desde un entorno limpio | Una detección negativa no descarta una infección |
| rsync / SCP / SFTP | Copiar datos a otro sistema | Extraer registros, evidencias y copias de seguridad | Verificar cifrado, permisos y destino |
| KeePassXC portátil | Guardar credenciales cifradas | Acceder a cuentas de emergencia de forma controlada | Proteger la base con una contraseña fuerte y segundo factor |
| Rufus / Ventoy | Crear medios de arranque | Preparar varias imágenes de recuperación | Una actualización puede cambiar la compatibilidad de arranque |
Process Explorer, Autoruns y Process Monitor forman parte de Sysinternals y permiten estudiar sistemas Windows sin instalar suites completas. Son especialmente valiosos para revisar persistencia, procesos que mantienen archivos abiertos y actividad inesperada en el registro.
Wireshark aporta visibilidad sobre la red, pero necesita un mínimo de preparación. Llevar filtros ya probados para DNS, conexiones TCP fallidas, tráfico TLS, SMB o direcciones concretas puede ahorrar tiempo durante una caída. También es aconsejable definir dónde se almacenarán las capturas y cuánto espacio máximo podrán ocupar.
SystemRescue cubre buena parte de las necesidades cuando el sistema operativo instalado no arranca. El entorno incluye herramientas para ext4, XFS, Btrfs, NTFS y otros sistemas de archivos, además de utilidades para LVM, redes, copias y recuperación.
Su combinación de GParted, FSArchiver, ddrescue, TestDisk, Memtest y rsync permite intervenir tanto en estaciones Windows como en servidores Linux. Puede utilizarse para copiar datos de un equipo que no arranca, montar almacenamiento remoto mediante Samba o NFS y ejecutar scripts propios durante el inicio.
La primera regla: no destruir la evidencia intentando arreglar el equipo
En soporte técnico es habitual actuar directamente sobre el sistema hasta devolverlo al servicio. En seguridad esa respuesta puede ser insuficiente o incluso contraproducente.
Borrar un archivo sospechoso, desinstalar una aplicación, limpiar el registro o ejecutar una reparación automática puede eliminar información necesaria para conocer cómo entró el atacante, qué ejecutó y si logró moverse hacia otros equipos.
Cuando sea posible, la prioridad debería ser documentar el estado y crear una copia antes de modificarlo. Esto incluye anotar la fecha, el usuario conectado, las conexiones activas, los procesos, las tareas programadas, los dispositivos montados y cualquier mensaje observado.
Si el disco presenta errores físicos, conviene utilizar ddrescue para obtener una imagen y trabajar después sobre la copia. Las herramientas convencionales de clonación pueden quedarse bloqueadas al encontrar sectores defectuosos o repetir lecturas hasta empeorar el estado del soporte.
También es importante distinguir entre recuperación operativa y análisis forense. Un USB de emergencia ayuda a contener y diagnosticar, pero no sustituye a una adquisición forense con control de integridad, bloqueo de escritura y cadena de custodia cuando existe una investigación legal, una fuga de datos grave o una posible denuncia.
La cadena de custodia no es una formalidad reservada a grandes incidentes. Consiste en poder explicar quién recogió la información, cuándo lo hizo, desde qué equipo, con qué herramienta y cómo se verificó que no había cambiado.
Un procedimiento básico puede incluir el cálculo de hashes SHA-256 de las imágenes y archivos recogidos, el almacenamiento en un soporte cifrado y un registro de cada acceso posterior.
Ventoy y Debian Live: por qué la persistencia suele “desaparecer”
Ventoy resulta práctico porque permite copiar varias imágenes ISO a una misma memoria USB y seleccionarlas desde un menú. Sin embargo, copiar Debian Live no crea automáticamente un entorno persistente.
Sin persistencia, Debian arrancará y funcionará correctamente, pero las herramientas instaladas, los scripts, las claves SSH y los cambios de configuración desaparecerán después de reiniciar.
Como señala David Carrero, hay que crear un archivo persistence.conf con una única línea:
/ union
Después se genera la imagen de persistencia con CreatePersistentImg.sh:
printf '/ union\n' > persistence.conf
sudo bash CreatePersistentImg.sh \
-s 8192 \
-l persistence \
-c persistence.conf
El ejemplo crea un archivo de 8 GB. Después puede copiarse a una ruta como:
/persistence/debian-live.dat
La ISO puede almacenarse en:
/ISO/debian-live.iso
Por último, Ventoy necesita conocer la relación entre ambos archivos mediante /ventoy/ventoy.json:
{
"persistence": [
{
"image": "/ISO/debian-live.iso",
"backend": "/persistence/debian-live.dat"
}
]
}
Sin esa asociación, Ventoy arrancará la imagen, pero no utilizará el espacio persistente. Es el motivo más habitual por el que una Debian Live parece guardar los cambios durante la sesión y los pierde al reiniciar.
La verificación debe hacerse antes de incorporar la unidad al kit. Basta con crear un archivo, instalar un paquete pequeño, reiniciar y comprobar que continúa disponible.
Desde el punto de vista de la seguridad, la persistencia tiene una ventaja y un riesgo. Permite conservar herramientas, scripts, certificados y configuraciones. Al mismo tiempo, puede guardar accidentalmente muestras de malware, tokens temporales, historiales de comandos o datos extraídos durante una intervención.
Por eso conviene separar el entorno de herramientas del soporte utilizado para evidencias. Una configuración prudente incluye un USB de arranque y una segunda unidad cifrada para volcados, registros y copias.
Cómo evitar que el kit se convierta en un vector de infección
Un USB conectado a un sistema comprometido deja de ser automáticamente confiable. Puede recibir archivos maliciosos, accesos directos manipulados o cambios en su contenido. Si después se conecta a otro equipo, puede transportar el incidente.
La protección física contra escritura es una buena opción cuando el dispositivo la admite. Otra alternativa es montar las particiones en modo de solo lectura siempre que la tarea lo permita.
Las imágenes ISO y los ejecutables deben descargarse desde sus fuentes oficiales. Antes de copiarlos se deben verificar hashes o firmas digitales y conservar un listado de versiones. No es recomendable utilizar recopilaciones anónimas o imágenes modificadas cuyo contenido no pueda auditarse.
El kit debería incluir un pequeño inventario, por ejemplo:
| Campo | Ejemplo |
|---|---|
| Herramienta | SystemRescue |
| Versión | Versión instalada |
| Fecha de descarga | 15/07/2026 |
| Fuente | Sitio oficial |
| SHA-256 | Hash verificado |
| Última prueba | 20/07/2026 |
| Resultado | Arranque UEFI correcto |
Esta documentación permite detectar rápidamente herramientas obsoletas y comprobar si un archivo ha sido sustituido.
Las credenciales requieren todavía más cuidado. No deberían almacenarse en documentos de texto, scripts o ficheros de configuración sin cifrar. Un gestor como KeePassXC puede resultar útil, pero la base de datos debe tener una contraseña independiente y, cuando sea posible, una clave adicional separada físicamente.
Para accesos críticos conviene utilizar cuentas de emergencia con permisos limitados, registradas y sometidas a rotación después de cada uso. Una contraseña maestra guardada durante años en el USB contradice el propósito de seguridad del kit.
También hay que considerar Secure Boot. Algunos entornos de rescate pueden no arrancar cuando está activado o pueden requerir pasos adicionales. Deshabilitarlo durante una incidencia sin documentar el cambio puede dejar el equipo en un estado menos seguro.
La solución es probar el conjunto antes, conocer las limitaciones de cada imagen y registrar cualquier modificación realizada en la BIOS o UEFI.
Un kit de seguridad también necesita procedimientos
La herramienta más importante puede ser un documento sencillo con los primeros pasos. Durante una incidencia grave es fácil saltarse comprobaciones o actuar bajo presión.
El kit puede incluir una guía sin conexión con la siguiente secuencia:
- Identificar el equipo y confirmar la autorización para intervenir.
- Registrar la hora, el estado y las personas presentes.
- Valorar si debe aislarse de la red.
- Decidir si se conservará la memoria RAM antes de apagar.
- Recoger procesos, conexiones y sesiones cuando sea posible.
- Crear una copia del almacenamiento antes de reparar.
- Calcular hashes de las evidencias.
- Guardar los archivos en un soporte cifrado.
- Documentar cada cambio realizado.
- Rotar las credenciales utilizadas al finalizar.
También conviene llevar esquemas de red, teléfonos de escalado, contactos del proveedor, procedimientos de recuperación, comandos de montaje y documentación sobre RAID, LVM o cifrado de discos.
Durante una caída es posible que no funcionen internet, la VPN, el gestor de contraseñas corporativo o el repositorio interno de documentación. Tener esa información disponible sin conexión puede ahorrar más tiempo que cualquier programa.
La preparación forma parte de la respuesta ante incidentes. Un USB probado, actualizado y documentado no sustituye a un equipo de seguridad, pero evita que los primeros minutos se consuman descargando herramientas desde un ordenador que quizá ya no sea fiable.
Preguntas frecuentes
¿Qué capacidad debería tener el USB de emergencia?
Una unidad de 64 GB puede alojar varias imágenes. Para persistencia, controladores, herramientas y documentación, 128 GB ofrece más margen.
¿Es seguro conectar el mismo USB a varios equipos comprometidos?
No siempre. Puede contaminarse y transportar archivos maliciosos. Es preferible utilizar protección contra escritura, montar en solo lectura y revisar la unidad después de cada intervención.
¿Ventoy conserva automáticamente los cambios de Debian Live?
No. Es necesario crear un archivo de persistencia y asociarlo a la ISO mediante ventoy.json.
¿Puede utilizarse este kit como herramienta forense?
Puede servir para una primera recogida y contención, pero una investigación formal necesita procedimientos de adquisición, integridad, bloqueo de escritura y cadena de custodia.

