Qubit Technologies
CA ES EN

Publicado el 29 de mayo de 2026 · por Qubit Technologies

Qué hacer (y qué no) en la primera hora de un incidente

Los primeros sesenta minutos de un incidente de seguridad marcan buena parte de lo que viene después. Qué pasos dar, qué errores evitar y por qué apagar la máquina suele empeorarlo todo.

Cuando una empresa descubre que algo va mal, un equipo cifrado, un acceso extraño a medianoche, una transferencia que nadie reconoce, lo que ocurre en los primeros sesenta minutos marca buena parte de lo que vendrá después.

Es también el momento en que más errores se cometen, porque la reacción instintiva casi nunca es la correcta. El primer impulso suele ser apagar lo que falla, arreglarlo en silencio y no alarmar a nadie. Las tres cosas, hechas a la ligera, os pueden costar muy caras.

Esto es lo que conviene hacer en esa primera hora. Y, sobre todo, lo que no.

No apaguéis la máquina

Es el reflejo más común y uno de los más dañinos. Ante un equipo comprometido, lo natural parece apagarlo para cortar por lo sano.

El problema es que buena parte de la información que necesita un analista para entender qué ha pasado vive en la memoria de la máquina mientras está encendida. Procesos en ejecución, conexiones abiertas, claves de cifrado que aún no se han escrito en disco. Al apagar, todo eso desaparece. Habréis cortado el incidente, pero también habréis borrado las huellas que explican cómo entraron y hasta dónde llegaron.

Aislar no es lo mismo que apagar. Y aislar es lo que sí hay que hacer.

Aislad sin destruir

Lo que queréis es cortarle el acceso al atacante sin perder el estado del sistema. Desconectad el equipo de la red, retirad el cable o deshabilitad el wifi, pero dejadlo encendido. Si es una máquina virtual, suspendedla en lugar de apagarla, que conserva la memoria.

La idea es la misma para toda la primera hora. Contener el daño sin tocar más de lo imprescindible. Cada acción improvisada sobre el sistema afectado es una pista que se pierde o, peor, una prueba que se contamina si el incidente acaba en una denuncia o en una reclamación al seguro.

Anotad la hora de todo desde el minuto cero

En cuanto sospechéis que hay un incidente, abrid un documento y empezad a registrar. Qué se ha visto, a qué hora, quién lo ha visto, qué se ha hecho en respuesta y a qué hora.

Parece burocracia en mitad de una urgencia, pero esa línea temporal vale oro después. Es lo que permite reconstruir el incidente, justificar las decisiones que tomasteis y responder a las preguntas del seguro, del regulador o de un cliente afectado. La memoria de las personas se deforma con el estrés. El registro escrito en caliente no.

Avisad en el orden correcto

Aquí es donde la mayoría improvisa, y donde un plan previo se nota muchísimo.

La persona que detecta el problema casi nunca es la que debe decidir, así que lo primero es escalar a quien tiene autoridad para tomar decisiones. A partir de ahí entran el equipo técnico que va a contener y la dirección que asume las decisiones de negocio. Según el caso, también el asesor legal y la compañía de seguros. Si hay datos personales de por medio, el reloj de la notificación a la autoridad de protección de datos ya está corriendo.

Lo que no debéis hacer es escribirle al atacante, ni tocar nada que delate que os habéis dado cuenta, hasta que el equipo técnico tenga una foto clara de la situación.

No improviséis el arreglo rápido

El “lo soluciono yo en cinco minutos” es comprensible y suele salir carísimo.

Borrar los ficheros del ransomware, reinstalar el servidor o restaurar una copia encima del sistema comprometido sin entender antes cómo entraron tiene dos consecuencias. Destruís la información que explica el ataque y muy probablemente dejáis abierta la puerta por la que llegaron, así que volverán. Primero se entiende el alcance, después se limpia. En ese orden.

Con el ransomware, además, hay una regla añadida. No paguéis ni respondáis nada por impulso. Esa decisión se toma con asesoramiento legal y técnico, nunca a las dos de la mañana con el susto en el cuerpo.

Preparaos antes de necesitarlo

Todo lo anterior es muchísimo más fácil si está decidido de antemano. Quién escala a quién, qué teléfonos se usan si el correo corporativo está caído, dónde están las copias de seguridad y quién sabe restaurarlas, qué proveedor externo llamáis si la cosa os supera.

Y aquí conviene recordar algo que ya contamos cuando hablamos de por qué pasar una auditoría de cumplimiento no significa estar seguro. Tener un plan de respuesta escrito en un documento no es lo mismo que ser capaz de ejecutarlo bajo presión. El plan se ensaya, igual que un simulacro de incendio. La primera vez que lo probáis no debería ser el día real.

La primera hora de un incidente es caótica por definición. No la vais a vivir con calma, pero sí podéis vivirla con método. Y el método, casi siempre, es la diferencia entre un mal día y una crisis que se recuerda durante años.

Si queréis preparar a vuestra organización para responder bien cuando llegue el momento, escribidnos a [email protected].

¿Queréis auditar vuestra seguridad de verdad?

Si después de leer este artículo queréis poner a prueba la seguridad real de vuestra organización, escribidnos y planteamos un alcance ajustado a vuestro contexto.

Contactar con nosotros