El número de filtraciones de datos en el mundo creció un 20% durante 2024, según un informe de Verizon, y los ciberdelincuentes se vuelven cada vez más veloces.
De acuerdo con ESET, los atacantes fueron un 22% más rápidos para pasar del acceso inicial al movimiento lateral dentro de las redes corporativas, con un tiempo promedio de penetración de 48 minutos.
En los casos más extremos, apenas 27 minutos bastaron para comprometer un sistema.
Ante este panorama, la preparación y la rapidez de respuesta se vuelven críticas. "Una filtración de datos no tiene por qué ser catastrófica si los equipos saben cómo actuar y nada queda librado al azar. Cuanto más clara sea la coordinación, más rápida y económica será la resolución del incidente", explica Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
Desde la compañía señalan que ninguna organización es 100% invulnerable, por lo que es vital contar con un plan de respuesta a incidentes (IR) y seguir una estrategia ordenada durante las primeras 24 a 48 horas.
El primer paso es entender qué sucedió y activar el plan de respuesta preestablecido.
El equipo debe incluir representantes de áreas técnicas, legales, de comunicación, recursos humanos y la dirección ejecutiva.
A partir de allí, se determina cómo ingresó el atacante, qué sistemas fueron afectados y se documenta cada acción para mantener la cadena de custodia, clave ante eventuales investigaciones forenses o judiciales.
ESET recomienda informar de inmediato a:
Reguladores, si se trata de datos personales, según las leyes locales o sectoriales.
Aseguradoras, de acuerdo con lo establecido en las pólizas.
Clientes, socios y empleados, para mantener la transparencia y evitar rumores.
Autoridades y fuerzas de seguridad, en especial ante ransomware o delitos complejos.
Expertos externos, como asesores legales y de ciberseguridad.
El siguiente paso es evitar la propagación del ataque.
Se debe aislar los sistemas comprometidos de Internet sin apagarlos, proteger las copias de seguridad offline, desactivar accesos remotos y bloquear el tráfico malicioso mediante herramientas de seguridad.
Tras contener el incidente, los equipos deben realizar un análisis forense para entender cómo operaron los atacantes (sus tácticas, técnicas y procedimientos).
Luego, eliminar malware, puertas traseras o cuentas falsas, y restaurar copias de seguridad limpias.
Además, esta etapa es ideal para reforzar la seguridad, segmentar redes y aplicar autenticación más estricta.
Una vez superada la emergencia, la organización debe revisar lo ocurrido y aprender de la experiencia.
Esto incluye comunicar resultados a los reguladores y clientes, actualizar el plan de respuesta y ajustar políticas internas.
"La revisión posterior al incidente es clave para fortalecer la resiliencia. Cada brecha debe asumirse como un entrenamiento para la próxima", señala Gutiérrez Amaya.
Finalmente, el experto recomienda probar periódicamente los planes de respuesta y, en caso de no contar con un equipo propio 24/7, contratar un servicio de detección y respuesta gestionada (MDR). "El éxito en la respuesta no es solo un asunto de IT: requiere coordinación entre todas las áreas y práctica constante", concluye.