Hora 0-4: no apagues nada, documenta todo
El instinto natural ante un ciberincidente es apagar equipos, desconectar todo y «parar el daño». Pero esa reacción, aunque comprensible, destruye la evidencia más valiosa: la memoria volátil. Cuando un equipo está encendido, la RAM contiene procesos activos, conexiones de red en curso, claves de cifrado del ransomware y trazas del malware que desaparecen al cortar la alimentación.
Lo que sí debes hacer en los primeros minutos es aislar los equipos afectados de la red. Desconecta el cable Ethernet o desactiva el Wi-Fi, pero no apagues. Si el ransomware sigue activo, el aislamiento de red impide que se propague a otros equipos sin destruir lo que hay en memoria.
Documenta todo desde el primer momento: quién detectó el incidente, a qué hora, qué síntomas se observaron (pantallas de rescate, archivos cifrados, alertas del antivirus, correos sospechosos). Haz fotos con el móvil de las pantallas afectadas. Esta cronología será la base del informe pericial y de la notificación a la AEPD.
Si tu empresa tiene un plan de respuesta a incidentes, actívalo. Si no lo tiene, la prioridad es clara: no tocar los equipos afectados, avisar al responsable de IT y contactar con un perito informático forense lo antes posible.
Hora 4-24: aislamiento, volcado de memoria volátil y logs
Una vez controlada la situación inmediata, el siguiente paso es la adquisición de evidencia volátil. El perito informático (o el equipo de respuesta, si ya está involucrado) debe realizar un volcado de la memoria RAM de los equipos afectados antes de apagarlos. Herramientas como DumpIt, WinPmem o LiME permiten capturar la RAM sin apagar el equipo.
Paralelamente, hay que asegurar los logs. En la mayoría de infraestructuras, los logs se rotan o eliminan automáticamente tras un periodo (7 días, 30 días, según configuración). Si el incidente ha pasado desapercibido durante días o semanas, los logs más antiguos pueden estar a punto de desaparecer. Amplía la retención inmediatamente: cambia la política de rotación del syslog, exporta los registros del firewall, descarga los logs de auditoría del proveedor cloud.
Los logs críticos a preservar en las primeras 24 horas incluyen: registros de autenticación (quién se conectó, desde dónde, a qué hora), logs del firewall y proxy (tráfico de salida hacia IPs desconocidas), registros del servidor de correo (emails con adjuntos sospechosos recibidos en días previos), logs de Active Directory (cambios en permisos, creación de cuentas) y los registros de la solución antivirus o EDR.
Si usas servicios cloud (AWS, Azure, GCP), los logs de auditoría son igualmente críticos: CloudTrail, Activity Log, Cloud Audit Logs. Asegúrate de que no se eliminan automáticamente y exporta una copia.
Día 1-3: preservación de backups, timeline y notificación AEPD
Con la evidencia volátil asegurada, es momento de hacer las imágenes forenses de los discos duros de los equipos afectados. El perito realizará copias bit a bit con bloqueador de escritura y calculará los hashes para garantizar la cadena de custodia.
Verifica el estado de los backups: ¿las copias de seguridad están intactas o el ransomware también las cifró? ¿Cuándo fue el último backup limpio? Los backups no solo sirven para restaurar el servicio, sino que son evidencia del estado previo al incidente y permiten cuantificar la pérdida de datos.
Si hay datos personales afectados, el reloj de las 72 horas del RGPD ya está corriendo desde el momento en que la organización tuvo conocimiento del incidente. La notificación a la AEPD debe incluir la naturaleza de la brecha, las categorías de datos afectados, el número aproximado de interesados, las consecuencias probables y las medidas adoptadas o propuestas. Un informe pericial temprano puede alimentar directamente esta notificación.
En paralelo, el perito comienza a construir la timeline del incidente: cuándo entró el atacante, qué vector usó (phishing, vulnerabilidad, credenciales comprometidas), cómo se movió lateralmente por la red, qué datos exfiltró y cuándo desplegó el ransomware o ejecutó la acción final.
Ransomware: pagar o no pagar (implicaciones legales y técnicas)
La pregunta que todo directivo se hace cuando ve la nota de rescate en pantalla. La respuesta corta es: no pagues sin antes evaluar las alternativas. Desde el punto de vista técnico, pagar no garantiza la recuperación de los datos (algunos atacantes no proporcionan la clave o la clave no funciona correctamente). Desde el punto de vista legal, el pago puede vulnerar normativa de sanciones internacionales si el grupo atacante está en listas de entidades sancionadas.
Lo que sí debe hacerse antes de tomar cualquier decisión es evaluar el alcance real: ¿qué datos están cifrados?, ¿hay backup reciente que permita restaurar sin pagar?, ¿el atacante ha exfiltrado datos además de cifrar? Si hay exfiltración, pagar el rescate no impide que los datos se publiquen o vendan.
El perito informático documenta todo este análisis de forma objetiva. Si finalmente la empresa decide pagar (decisión que corresponde a la dirección, no al perito), el informe reflejará las circunstancias, el proceso de negociación y los resultados, lo cual es relevante tanto para la reclamación al seguro como para posibles procedimientos judiciales posteriores.
Filtración de datos: qué debe contener la notificación a la AEPD
Si el incidente implica acceso o exfiltración de datos personales, la notificación a la AEPD es obligatoria cuando la brecha supone un riesgo para los derechos y libertades de los interesados. El formulario de notificación requiere información concreta que el perito puede ayudar a documentar:
- 1Naturaleza de la brecha: confidencialidad (acceso no autorizado), integridad (datos alterados) o disponibilidad (datos inaccesibles por cifrado).
- 2Categorías de datos afectados: datos identificativos, financieros, de salud, laborales, etc.
- 3Número aproximado de afectados y de registros comprometidos.
- 4Consecuencias probables para los interesados (usurpación de identidad, perjuicio económico, daño reputacional).
- 5Medidas adoptadas para contener la brecha y mitigar sus efectos.
Qué pedir al proveedor cloud en las primeras horas
Si tu infraestructura está en cloud (total o parcialmente), el proveedor tiene información que tú no puedes obtener directamente. En las primeras horas, solicita por escrito:
Logs de acceso y auditoría
Exportación completa de los registros de acceso a la cuenta, cambios de permisos y operaciones realizadas en el periodo relevante. En AWS esto es CloudTrail; en Azure, Activity Log; en GCP, Cloud Audit Logs.
Snapshots de máquinas virtuales
Si las VMs afectadas siguen ejecutándose, solicita snapshots antes de cualquier remediación. Estos snapshots son el equivalente de la imagen forense en entornos cloud y permiten un análisis posterior sin alterar los sistemas en producción.
Registros de red (VPC Flow Logs)
Los registros de flujo de red permiten trazar las conexiones entrantes y salientes de las instancias afectadas. Son esenciales para determinar si hubo exfiltración de datos y hacia dónde se dirigió el tráfico.
Confirmación de no-eliminación
Solicita por escrito que no se eliminen ni reciclen logs, snapshots ni backups durante la investigación. Muchos proveedores tienen políticas de retención automática que pueden destruir evidencia si no se amplían a tiempo.
Cuándo llamar a un perito informático
La respuesta corta es: cuanto antes. La evidencia digital es volátil y cada hora que pasa sin un profesional que dirija la preservación aumenta el riesgo de pérdida irreversible. No necesitas tener toda la información del incidente para hacer esa llamada; de hecho, el perito puede ayudarte a determinar qué ha ocurrido exactamente.
El perito informático no reemplaza al equipo de ciberseguridad que contiene el incidente, pero aporta algo que el equipo de respuesta técnica normalmente no proporciona: un informe con validez procesal. Si el incidente va a derivar en acciones legales (contra el atacante, contra un empleado, contra un proveedor), en una reclamación al seguro o en una investigación regulatoria, necesitas que la evidencia se recoja con garantías desde el primer momento.
En Mallorca, ofrezco un servicio de evaluación inicial rápida para ciberincidentes. En una primera llamada o videollamada puedo orientarte sobre las medidas de preservación inmediatas mientras organizo la intervención presencial. La experiencia en juicios me permite anticipar qué evidencia va a necesitar tu abogado y qué preguntas le hará el juez.
¿Tu empresa ha sufrido un ciberincidente?
Actúa rápido. Cada hora cuenta para preservar la evidencia. Evaluación inicial en el mismo día.
Preguntas frecuentes
No inmediatamente. Si los equipos están encendidos, contienen información volátil en memoria RAM (claves de cifrado, procesos activos, conexiones de red) que se pierde al apagar. Lo prioritario es aislar los equipos de la red (desconectar cable o desactivar Wi-Fi) para frenar la propagación, y avisar al perito para que haga un volcado de memoria antes de apagar. Si no hay perito disponible de inmediato, apagar es mejor que dejar que el ransomware siga cifrando.
El RGPD establece un plazo máximo de 72 horas desde que la organización tiene conocimiento de la brecha para notificarla a la autoridad de control (AEPD en España). Este plazo corre desde que se confirma el incidente, no desde que se detecta la anomalía. Si la brecha afecta a derechos y libertades de los interesados, también hay que comunicar a los afectados «sin dilación indebida». Documentar la cronología del descubrimiento es esencial para demostrar el cumplimiento.
Sí, y es cada vez más habitual. Las pólizas de ciberseguro exigen documentación técnica del incidente para tramitar la indemnización: cronología, alcance, sistemas afectados, medidas de contención y coste de la remediación. Un informe pericial proporciona exactamente esa documentación con el rigor que la aseguradora necesita. Además, si hay disputa sobre la cobertura, el informe puede usarse como prueba en un procedimiento contra la aseguradora.
Como mínimo: logs del firewall, logs de acceso a servidores (SSH, RDP, VPN), registros del directorio activo (Active Directory), logs del servidor de correo, registros de DNS, logs de las aplicaciones afectadas y, si usas cloud, los logs de auditoría del proveedor (CloudTrail en AWS, Activity Log en Azure, Cloud Audit Logs en GCP). No borres ni recicles nada hasta que el perito los haya adquirido. Amplía la retención si tu sistema los rota automáticamente.
Depende del tipo de incidente y del sector. Si hay brecha de datos personales, la notificación a la AEPD es obligatoria (RGPD art. 33). Si la empresa es un operador de servicios esenciales o proveedor de servicios digitales, debe notificar al CSIRT de referencia según la Directiva NIS2 transpuesta. Además, si se sospecha delito (acceso ilícito, extorsión, daños informáticos), la denuncia ante la Policía Nacional o Guardia Civil (Grupo de Delitos Telemáticos) es recomendable para el ejercicio de acciones penales.
En muchos casos se pueden determinar el vector de entrada (email de phishing, vulnerabilidad explotada, credenciales robadas) y los movimientos laterales dentro de la red. Identificar al atacante individual es más difícil, especialmente si usa redes de anonimización (Tor, VPN), pero el análisis forense permite reconstruir la cronología completa del ataque y las técnicas utilizadas (TTPs), lo que es valioso tanto para la investigación policial como para el informe pericial.
Una empresa de ciberseguridad se enfoca en contener el incidente, restaurar los sistemas y mejorar las defensas (respuesta técnica). Un perito informático se enfoca en preservar la evidencia, documentar los hechos y producir un informe defendible ante un tribunal o aseguradora (respuesta probatoria). Idealmente, ambos colaboran: la empresa de ciberseguridad contiene y el perito preserva. El problema surge cuando la empresa de respuesta sobreescribe evidencia al remediar sin documentar.
Si el análisis forense revela que un empleado fue el responsable o facilitador del incidente (por ejemplo, descargó el malware intencionadamente, exfiltró datos o proporcionó credenciales), la evidencia puede fundamentar un despido disciplinario. Sin embargo, la obtención de la prueba debe respetar los derechos del trabajador (LOPD, Estatuto de los Trabajadores, doctrina del Tribunal Supremo sobre vigilancia tecnológica). Un perito informático garantiza que la prueba se obtiene con garantías procesales.