Cuando se detecta un incidente de seguridad (ransomware, intrusión, fuga de datos), se inicia una carrera contrarreloj. El instinto principal del equipo de TI suele ser «apagar la máquina» o «restaurar la copia de seguridad» para recuperar la operatividad.
¡Deténgase!
Esas acciones, aunque bienintencionadas, pueden ser desastrosas para la investigación. La memoria RAM, los registros (logs) temporales y los datos volátiles se pierden al apagar un equipo, borrando las huellas del atacante.
La «hora de oro» de la respuesta a incidentes define la capacidad de una organización para entender qué ha pasado, cómo ha pasado y quién lo ha hecho. Para ello, la preservación de evidencias digitales es el pilar fundamental.
Este checklist no sustituye a un análisis forense profesional, pero proporciona los pasos de triaje esenciales que su equipo debe seguir para no contaminar la «escena del crimen» digital, alineándose con las buenas prácticas recomendadas por organismos como INCIBE.
Checklist Esencial de Preservación de Evidencias (Triaje Inicial)
Objetivo:
Contener el incidente y preservar la integridad de los datos para un análisis forense posterior.
1. Aislar, NO Apagar
Desconecte el sistema afectado de la red.
Retire el cable de red (RJ45). Desactive la Wi-Fi y el Bluetooth.
Esto contiene la amenaza e impide que el atacante (o el malware) se propague lateralmente a otros sistemas o siga exfiltrando datos.
¡Importante! NO apague el ordenador o servidor. Al hacerlo, se pierde toda la información volátil (memoria RAM, conexiones de red activas, procesos en ejecución), donde suelen estar evidencias importantes del ataque. La excepción es cuando el equipo está cifrando activamente archivos (ransomware), ya que en ese caso desconectarlo de la alimentación puede ser la única medida efectiva de contención.
2. Documentar la Escena Inmediata
Registre todo lo que vea.
Tome fotografías de la pantalla (si hay mensajes de error, notas de rescate, etc.).
Anote la hora exacta de la detección.
Anote quién lo descubrió y qué acciones (si alguna) se tomaron antes de aplicar este checklist.
Documente cualquier comportamiento inusual del sistema.
3. Priorizar Datos Volátiles (Si se dispone de herramientas)
Capture la información más volátil primero.
Si su equipo tiene formación y herramientas forenses, la prioridad es:
Captura de la memoria RAM.
Captura de conexiones de red activas, procesos y estado del sistema.
Esta información desaparece si el sistema se reinicia o se apaga.
4. Crear Imágenes Forenses (No «Copias de Seguridad»)
Clone el disco duro o SSD del sistema afectado.
Utilice herramientas forenses para crear una imagen bit a bit (copia forense).
Una copia de seguridad estándar no copia el espacio no asignado del disco, los archivos borrados ni la slack space, que es donde los analistas forenses encuentran parte de las pruebas.
El análisis NUNCA debe realizarse sobre el sistema original. Se trabaja siempre sobre esta copia forense para mantener la integridad de la prueba original.
5. Recolectar Logs Externos
Asegure los logs que no están en la máquina afectada.
Exporte y guarde de forma segura los logs relevantes de:
Firewalls
Servidores DNS
Servidores Proxy
SIEM (Security Information and Event Management)
Controladores de Dominio (Logs de autenticación)
Los atacantes a menudo borran los logs locales del equipo comprometido. Los logs de red perimetrales son vitales para trazar el origen y el movimiento del atacante.
6. Establecer la Cadena de Custodia
Documente el manejo de las pruebas.
Etiquete claramente todas las pruebas (imágenes forenses, discos originales, logs exportados).
Use hashes (SHA-1 o SHA-256) para identificar de forma unívoca las imágenes forenses (y, si es necesario, demostrar que no se han alterado).
Guarde las pruebas originales en un lugar seguro.
Mantenga un registro de quién ha tenido acceso a las pruebas, cuándo y por qué.
7. Contactar a Expertos y Autoridades
Active el plan de respuesta a incidentes y haga la notificaciones.
Una vez contenida la amenaza, contacte de inmediato con su equipo profesional de Respuesta a Incidentes y Análisis Forense (DFIR). Considere la contratación de una empresa especializada en análisis forense digital para asistir y dar validez legal a la investigación. Paralelamente, inicie el proceso de notificación obligatoria (recordando los plazos de NIS2 para reportar a INCIBE-CERT).
Un análisis incorrecto puede contaminar las pruebas, dificultar la recuperación y debilitar cualquier futura acción legal. Contar con expertos externos asegura la validez técnica y legal de las evidencias. Además, no notificar a tiempo a las autoridades puede acarrear sanciones.
Conclusión
La respuesta a incidentes es un equilibrio entre la velocidad (requerida por el negocio y ahora por NIS2) y el método (requerido por el análisis forense). Seguir este checklist asegura que, cuando la calma regrese, su organización tenga la capacidad real de investigar qué sucedió y cómo evitar que vuelva a ocurrir.