En una publicación anterior, analizamos qué medidas deben tomarse antes de que ocurra un incidente cibernético para contener los daños y aumentar las probabilidades de una recuperación exitosa. Como afirma la división de Ciberseguridad del FBI: «Una de las maneras más efectivas de garantizar la preparación para responder a un incidente cibernético es practicar. Las organizaciones con experiencia responden más rápido, contienen los incidentes con mayor eficacia y reducen el impacto. Estos ejercicios revelan deficiencias y generan confianza. La preparación marca la diferencia en medio de un incidente».

En esta publicación, examinamos algunos de los pasos que deben tomarse después de que se haya identificado una brecha de seguridad, y otros que no. Me puse en contacto con varios expertos en ciberseguridad para conocer su opinión sobre un escenario hipotético:

Su empresa acaba de detectar actividad anómala en su red. Aún no lo sabe, pero un grupo de ransomware ha obtenido acceso no autorizado a sus sistemas.

Los expertos que ayudarán a comprender la situación son:

Michelle Micor: Directora de Comunicación sobre Ciberseguridad y Privacidad de Datos en FTI Consulting, la firma líder mundial en consultoría para organizaciones que enfrentan crisis y transformación.

Sezaneh Seymour: Vicepresidenta y Directora de Riesgos Regulatorios y Políticas en Coalition, una empresa de ciberseguridad y seguros cibernéticos que ayuda a las empresas a gestionar el riesgo cibernético antes, durante y después de un incidente.

Tammy Harper: Investigadora Sénior de Inteligencia de Amenazas en Flare. Flare es una empresa de inteligencia sobre amenazas cibernéticas que ayuda a las organizaciones a detectar riesgos expuestos en la web abierta y la web oscura, incluyendo credenciales comprometidas, datos filtrados, actividad de ransomware y vulnerabilidades en la superficie de ataque externa. Flare proporciona inteligencia práctica que respalda la detección de amenazas, la respuesta a incidentes y la reducción del riesgo cibernético.

Al detectar la actividad inusual, ¿qué es lo primero que deben hacer, antes de cualquier otra respuesta?

MM: Si tienen un plan de respuesta a incidentes (y deberían tenerlo), actívenlo de inmediato. Esto garantiza una respuesta coordinada en lugar de reacciones fragmentadas que pueden empeorar la situación. Su plan debe definir roles claros, establecer protocolos de comunicación y guiar las acciones de contención para evitar decisiones críticas improvisadas. Si no cuenta con un plan, ahora es el momento de crearlo.

SS: Trátelo como un incidente cibernético real y solicite soporte de respuesta a incidentes de inmediato. La prioridad en las primeras horas es contener la amenaza, comprender lo sucedido y preservar las opciones de recuperación. El mayor error es asumir que se trata de un problema informático rutinario y perder tiempo.

TH: La primera prioridad debe ser la contención y la preservación de la evidencia. Las empresas deben evitar realizar cambios importantes en los sistemas afectados antes de comprender el alcance de la intrusión, aislando de inmediato los hosts o cuentas afectados para ralentizar el movimiento del atacante y reducir los daños.

¿Qué hace su empresa para ayudar a las compañías en estas situaciones (cuando se detecta actividad inusual o después de que se dan cuenta de que un atacante ha obtenido acceso)?

MM: FTI Consulting ayuda a las organizaciones a gestionar tanto la respuesta técnica como la crisis empresarial más amplia que sigue a un incidente de ciberseguridad. Nuestra experiencia proviene de la gestión de incidentes complejos de ciberseguridad, incluyendo la clasificación de incidentes, el análisis forense, la coordinación interfuncional, las relaciones con los medios y la preparación de comunicaciones.

SS: Coalition combina un seguro cibernético activo con una respuesta práctica a incidentes. Antes de un incidente, ayudamos a las empresas a reducir el riesgo mediante la monitorización de la seguridad, las alertas y otros servicios de gestión de riesgos. Cuando se detecta actividad inusual o un atacante obtiene acceso, nuestra filial de respuesta a incidentes, Coalition Incident Response, ayuda a clasificar el evento, investigar lo sucedido, contener la intrusión y apoyar la recuperación. Nuestro papel es tanto operativo como financiero. Ayudamos a las compañías a responder con mayor rapidez y a tomar mejores decisiones bajo presión, y nuestro seguro les ayuda a gestionar las consecuencias financieras del evento. Este modelo se refleja en los resultados: los asegurados de Coalition experimentan un 73 % menos de reclamaciones que el promedio del mercado. En 2025, el 64 % de las reclamaciones cerradas se resolvieron sin pérdidas económicas, y los equipos de respuesta a incidentes de la Coalición y las empresas colaboradoras redujeron las demandas iniciales de ransomware en un promedio del 65 % mediante negociación.

TH: Flare ayuda a las organizaciones a identificar rápidamente si se están discutiendo, vendiendo o utilizando credenciales comprometidas, datos robados o sistemas internos en fuentes de la web abierta y la web oscura. Durante un incidente, esta información puede ayudar a los responsables de la seguridad a comprender al actor de la amenaza involucrado, evaluar la exposición, priorizar las acciones de respuesta e identificar riesgos posteriores, como la filtración de credenciales o actividades de extorsión.

¿Cuál es un error común que cometen las empresas al descubrir un acceso no autorizado y que puede afectar significativamente su recuperación?

MM: El mayor error que veo en las empresas es comunicarse antes de comprender lo sucedido. A menudo, se apresuran a notificar a clientes o socios con información incompleta, y luego se ven obligadas a emitir correcciones a medida que surge nueva información. Esto puede dañar la credibilidad, generar confusión y hacer que las partes interesadas duden de si realmente tienen el control de la situación. Es fundamental comunicarse con prontitud, pero con cuidado, compartiendo la información disponible sin exagerar la certeza, minimizar el problema ni hacer afirmaciones que podrían no sostenerse a medida que avanza la investigación.

SS: El error más común es improvisar. Las empresas suelen tardar demasiado en contratar a especialistas o toman decisiones importantes antes de comprender el alcance de la intrusión, el estado de sus copias de seguridad o sus opciones reales de recuperación. Otro error es apresurarse a realizar el pago o la restauración sin contar con suficiente información. Los especialistas necesitan tiempo para evaluar el incidente, preservar las pruebas, validar las copias de seguridad y negociar con conocimiento de causa.

TH: Uno de los errores más comunes es responder con demasiada rapidez sin tener visibilidad sobre la persistencia del atacante ni sus métodos de acceso. En ocasiones, las organizaciones restablecen contraseñas o eliminan el malware visible mientras el atacante aún mantiene rutas de acceso alternativas, lo que puede complicar la contención y prolongar la recuperación.

¿Qué consejos generales les daría a las empresas cuando se enfrentan a un incidente de ciberseguridad?

MM: No subestimen el poder de la respuesta y la comunicación. La forma en que una empresa maneja una crisis suele ser más importante para su reputación que el incidente en sí. Mantener informados a empleados, clientes y socios, incluso cuando no se tienen todas las respuestas, demuestra responsabilidad. Una comunicación honesta durante una crisis genera confianza y demuestra que se tiene el control de la situación.

SS: Actúen con rapidez, pero sin pánico. Involucren a los expertos adecuados cuanto antes para que la empresa pueda contener el incidente, comprender lo sucedido y preservar las opciones de recuperación. Concéntrense en la restauración y la resiliencia. Las empresas con copias de seguridad viables, un plan de respuesta a incidentes probado y el soporte adecuado están en una posición mucho más sólida. Trátenlo como un problema de negocio, no solo técnico. Una respuesta eficaz requiere coordinación entre TI, el departamento legal, comunicaciones, finanzas y la dirección. Prepárense antes de la crisis. Las empresas que tienen relaciones de respuesta preexistentes y planes probados generalmente se recuperan mejor.

TH: Sean metódicos y eviten tomar decisiones impulsadas por el pánico. La coordinación temprana entre TI, seguridad, el departamento legal, comunicaciones y socios externos es fundamental, y las organizaciones deben centrarse en comprender el alcance de la brecha de seguridad antes de apresurarse a remediarla. La preparación previa a un incidente, que incluye planes de respuesta probados y visibilidad de las amenazas externas, suele ser crucial durante la recuperación.

La recuperación comienza antes del ataque.

Si bien ninguna organización desea enfrentar un ataque de ransomware o una intrusión en su red, la realidad es que los incidentes de ciberseguridad se han convertido en una cuestión de cuándo ocurrirán. Las empresas que se recuperan con mayor eficacia no son necesariamente las que evitan los incidentes por completo, sino las que se preparan con anticipación, responden metódicamente y se apoyan en socios experimentados cuando la presión es máxima.

Como destacaron los expertos, una respuesta eficaz ante un incidente depende de mucho más que la mera remediación técnica. La comunicación clara, la toma de decisiones coordinada, la preservación de pruebas y los planes de recuperación probados desempeñan un papel fundamental para limitar los daños y restablecer las operaciones. En medio de una crisis, el pánico y la improvisación pueden convertirse rápidamente en los mayores riesgos para una organización.

La lección es clara: la preparación previa a un incidente y la ejecución disciplinada durante el mismo siguen siendo algunas de las defensas más sólidas que cualquier empresa puede tener.