La velocidad con la que se desarrolla un ciberataque contrasta de forma alarmante con el tiempo que las organizaciones tardan en detectarlo. Según datos de IBM, una brecha de seguridad puede permanecer activa durante 241 días antes de ser contenida. Mientras tanto, los atacantes solo necesitan 48 minutos para moverse lateralmente dentro de una red comprometida. En algunos casos, apenas 27 minutos.
ESET, compañía especializada en ciberseguridad, subraya que la diferencia entre un incidente controlado y una crisis de gran impacto reside en la capacidad de reacción inmediata. La empresa ha identificado cinco pasos críticos que deben ejecutarse en las primeras 24 a 48 horas tras detectar un ataque. No se trata de una fórmula única, sino de un marco de actuación adaptable a cada contexto.
El aumento de las amenazas es sostenido. El informe ESET Threat Report H1 2025 sitúa a España como el segundo país más afectado por ciberataques en Europa durante el primer semestre del año. Ransomware, infostealers y fraudes mediante NFC han sido los métodos más frecuentes. A esto se suma un incremento del 22% en la velocidad de propagación de los ataques, según investigaciones recientes.
Josep Albors, director de Investigación y Concienciación de ESET España, lo resume con claridad: “Debemos invertir en un buen equipo de respuesta, uno que sepa qué hacer y tenga una amplia gama de posibilidades para lograr una resolución rápida, eficaz y de bajo costo. No por invertir más significa que estemos más protegidos”.
Un informe de Verizon confirma la tendencia: el número de brechas investigadas ha crecido 20 puntos respecto al año anterior. Este repunte no solo refleja una mayor actividad maliciosa, sino también una mejora en la capacidad de detección, aunque aún insuficiente para frenar el daño en tiempo real.
Cinco pasos críticos para contener un ciberataque
1. Recopilar información y entender el alcance
La primera reacción debe ser activar el plan de respuesta a incidentes. Esto implica identificar qué ha ocurrido, qué sistemas están comprometidos y quiénes deben ser informados dentro de la organización. Recursos Humanos, comunicación, legal y dirección deben estar al tanto. Documentar cada acción y preservar evidencias digitales es esencial para la investigación posterior y para cumplir con posibles exigencias regulatorias.
2. Notificar a terceros relevantes
Una vez confirmado el incidente, la empresa debe comunicarlo a las autoridades competentes y a los actores externos implicados. Esto incluye aseguradoras, socios, clientes, empleados y, en algunos casos, fuerzas del orden. También puede requerirse la intervención de especialistas legales o técnicos externos. El objetivo es coordinar la respuesta y reducir los riesgos legales y reputacionales.
3. Aislar y contener
El aislamiento rápido de los sistemas afectados es prioritario. No se recomienda apagarlos, ya que esto podría destruir evidencias clave. En su lugar, deben desconectarse de la red y deshabilitarse accesos remotos. Las credenciales de VPN deben restablecerse y deben aplicarse herramientas de seguridad para bloquear tráfico malicioso y conexiones de comando y control. Esta fase busca frenar la propagación del ataque sin comprometer la trazabilidad.
4. Eliminar y recuperar
Una vez contenido el incidente, comienza la fase de erradicación. Esto implica un análisis forense para identificar las tácticas, técnicas y procedimientos (TTP) utilizados por los atacantes. Es necesario verificar la integridad de los sistemas, restaurar copias de seguridad limpias y mantener un monitoreo activo. Esta etapa también debe servir para reforzar la seguridad: segmentar redes, revisar privilegios, mejorar autenticación y, si es necesario, incorporar herramientas de remediación.
5. Revisar y mejorar
La última fase no es técnica, sino estratégica. Revisar lo ocurrido permite extraer lecciones y fortalecer la resiliencia. ¿Qué funcionó? ¿Qué falló? ¿Dónde hubo cuellos de botella? Este análisis debe incluir tanto aspectos técnicos como organizativos. La revisión post mortem no solo mejora la preparación futura, sino que también ayuda a justificar inversiones en ciberseguridad ante la dirección.
Aunque ninguna organización está completamente a salvo, la preparación puede marcar la diferencia. “No siempre se puede evitar una brecha de seguridad, pero sí podemos minimizar los daños y aprender de ella. La seguridad no depende solo de las herramientas, sino también de la atención humana”, recuerda Albors. En su opinión, la concienciación colectiva es un factor tan determinante como la tecnología.
España, como mercado digital avanzado, enfrenta una presión creciente para profesionalizar sus capacidades de respuesta. El marco normativo europeo, con el Reglamento DORA y la Directiva NIS2 en el horizonte, exigirá a las empresas no solo planes de contingencia, sino también pruebas periódicas y una trazabilidad clara de sus decisiones. En este escenario, los cinco pasos de ESET no son una guía definitiva, pero sí un punto de partida para responder con agilidad y criterio.
