This is the Trace Id: c1eb00d93919b192e26a609e194ded7f
Saltar al contenido principal Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Ver todos los productos Ciberseguridad con tecnología de IA Seguridad en la nube Seguridad y gobernanza de datos Identidad y acceso a la red Administración de riesgo y privacidad Seguridad para IA Pequeñas y medianas empresas SecOps unificadas Confianza cero Precios Servicios Partners Por qué Seguridad de Microsoft Concienciación sobre la ciberseguridad Casos de clientes Fundamentos de seguridad Pruebas de producto Reconocimiento del sector Microsoft Security Insider Informe de defensa digital de Microsoft Centro de respuestas de seguridad Blog de Seguridad de Microsoft Eventos de Seguridad de Microsoft Microsoft Tech Community Documentación Biblioteca de contenido técnico Capacitación y certificaciones Programa de cumplimiento de Microsoft Cloud Centro de confianza de Microsoft Portal de confianza de servicios Microsoft Iniciativa para un futuro seguro Business Solutions Hub Contacto con ventas Inicia la prueba gratuita Seguridad de Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Realidad mixta Microsoft HoloLens Microsoft Viva Computación cuántica Sostenibilidad Educación Automotriz Servicios financieros Gobierno Sanidad Fabricación Comercios minoristas Encuentra un asociado Conviértete en asociado Red de asociados Microsoft Marketplace Empresas de software Blog Microsoft Advertising Centro de desarrolladores Documentación Eventos Licenciamiento Microsoft Learn Microsoft Research Ver mapa del sitio
persona interactuando con una gran pantalla táctil

¿Qué es la respuesta ante incidentes?

Descubra cómo una respuesta eficaz ante incidentes ayuda a las organizaciones a detectar, abordar y detener los ciberataques.
Obtenga más información sobre Microsoft Sentinel

Definición de respuesta ante incidentes

Antes de definir la respuesta ante incidentes, es importante tener claro qué es un incidente. En informática, existen tres términos que a veces se utilizan indistintamente pero que significan cosas diferentes:
 

  1. Un evento es una acción inocua que ocurre con frecuencia, como crear un archivo, eliminar una carpeta o abrir un correo electrónico. Por sí solo, un evento no suele ser un indicio de una brecha de seguridad, pero cuando se combina con otros eventos, puede señalar una amenaza. 
  2. Una alerta es una notificación que se activa por un evento, que puede o no ser una amenaza.
  3. Un incidente es un grupo de alertas correlacionadas que los humanos o las herramientas de automatización han considerado que probablemente constituyen una amenaza real. Individualmente, cada alerta puede no parecer una amenaza importante, pero en conjunto indican una posible brecha de seguridad.

La respuesta a incidentes son las acciones que toma una organización cuando considera que se han vulnerado sus sistemas de TI o datos. Por ejemplo, los profesionales de la seguridad actuarán si detectan indicios de un usuario no autorizado, software malicioso o fallos en las medidas de seguridad.

Los objetivos de la respuesta son eliminar un ciberataque lo más rápido posible, recuperarse, notificar a los clientes o agencias gubernamentales según lo exijan las leyes regionales y aprender cómo reducir el riesgo de una violación similar en el futuro.

¿Cómo funciona la respuesta ante incidentes?

La respuesta a incidentes generalmente comienza cuando el equipo de seguridad recibe una alerta creíble de un sistema de gestión de información y eventos de seguridad (SIEM).

Los miembros del equipo deben verificar que el evento califica como un incidente y luego aislar los sistemas infectados y eliminar la amenaza. Si el incidente es grave o tarda mucho tiempo en resolverse, las organizaciones podrían tener que restaurar los datos de respaldo, hacer frente a un rescate o notificar a los clientes que sus datos se han visto comprometidos.

Por este motivo, las personas que no sean los equipo de ciberseguridad suelen participar en la respuesta. Expertos en privacidad, abogados y responsables de la toma de decisiones empresariales ayudarán a determinar el enfoque de la organización ante un incidente y sus consecuencias.

Tipos de incidentes de seguridad

Existen diversas maneras en que los atacantes intentan acceder a los datos de una empresa o comprometer sus sistemas y operaciones comerciales. Aquí están algunos de los más comunes:

Suplantación de identidad

La suplantación de identidad (phishing) es un tipo de ingeniería social en la que un atacante utiliza correo electrónico, mensajes de texto o llamadas telefónicas para suplantar la identidad de una marca o persona de buena reputación. Un ataque de phishing típico intenta persuadir a los destinatarios para que descarguen software malicioso o proporcionen su contraseña. Estos ataques aprovechan la confianza de las personas y utilizan técnicas psicológicas como el miedo para hacer que actúen. Muchos de estos ataques no tienen un objetivo fijo, sino que se dirigen a miles de personas con la expectativa de que al menos una responda. Sin embargo, una versión más sofisticada, denominada phishing de objetivo definido, utiliza una investigación exhaustiva para elaborar un mensaje que pretende ser persuasivo para una sola persona.

Software malintencionado

El software malintencionado se refiere a cualquier software diseñado para dañar un sistema informático o extraer datos. Se presenta en muchas formas diferentes, incluyendo virus, ransomware, spyware y troyanos. Los ciberdelincuentes instalan software malicioso aprovechándose de las vulnerabilidades del hardware y del software, o convenciendo a un empleado para que lo haga mediante técnicas de ingeniería social.

Ransomware

En un ataque de ransomware, los actores maliciosos utilizan malware para cifrar datos y sistemas críticos y luego amenazan con hacer públicos los datos o destruirlos si la víctima no paga un rescate.

Denegación de servicio

En unataque de denegación de servicio (ataque DDoS), un actor de amenazas satura una red o sistema con tráfico hasta que se ralentiza o se bloquea. Por lo general, los atacantes se dirigen a empresas de alto perfil, como bancos o gobiernos, con el objetivo de ocasionarles pérdidas de tiempo y dinero, pero organizaciones de todos los tamaños pueden ser víctimas de este tipo de ataque.

El hombre en el medio

Otro método que utilizan los ciberdelincuentes para robar datos personales es insertarse en medio de una conversación online entre personas que creen que se están comunicando de forma privada. Al interceptar los mensajes y copiarlos o modificarlos antes de enviarlos al destinatario previsto, intentan manipular a uno de los participantes para que les proporcione datos valiosos.

Amenaza interna

Aunque la mayoría de los ataques son perpetrados por personas ajenas a la organización, los equipos de seguridad también deben estar atentos a las amenazas internas. Los empleados y otras personas que legítimamente tienen acceso a recursos restringidos pueden filtrar datos confidenciales de forma inadvertida o, en algunos casos, intencionada.

Acceso no autorizado

Muchas brechas de seguridad comienzan con el robo de credenciales de cuenta. Ya sea que los ciberdelincuentes obtengan contraseñas mediante una campaña de phishing o adivinando una contraseña común, una vez que acceden a un sistema pueden instalar malware, realizar reconocimiento de red o escalar sus privilegios para acceder a sistemas y datos más sensibles.

¿Qué es un plan de respuesta ante incidentes?

Para responder a un incidente, se requiere que un equipo trabaje en conjunto de manera eficiente y eficaz para eliminar la amenaza y cumplir con los requisitos reglamentarios. Es fácil ponerse nervioso y actuar de forma errónea en estas situaciones de elevado estrés, así que muchas empresas desarrollan un plan de respuesta a incidentes. El plan define las funciones y responsabilidades e incluye los pasos necesarios para resolver, documentar y comunicar adecuadamente un incidente.

Importancia de un plan de respuesta ante incidentes

Un ataque importante no solo daña las operaciones de una organización, sino que también afecta la reputación de la empresa entre los clientes y la comunidad, y puede tener además repercusiones legales. Todo influye en el coste general del ataque, incluidas la rapidez de respuesta del equipo de seguridad y la forma de comunicar sobre el ataque por parte de los ejecutivos.

Las empresas que ocultan el daño a los clientes y administraciones públicas o no se toman una amenaza lo suficientemente en serio podrían incumplir las normativas. Estos tipos de errores son más frecuentes cuando los participantes no disponen de un plan. En caliente, existe el riesgo de que las personas tomen decisiones precipitadas guiadas por el miedo que acaben perjudicando a la organización.

Un plan bien concebido informa a las personas sobre qué deberían hacer en cada fase de un ataque para que no tengan que improvisar. Y tras la recuperación, si surgen preguntas del público, la organización podrá demostrar exactamente cómo respondió y brindar a los clientes la tranquilidad de saber que se tomó el incidente en serio y que implementó las medidas necesarias para evitar un desenlace peor.

Pasos de respuesta ante incidentes

Existen diversas maneras de abordar la respuesta a incidentes, y muchas organizaciones recurren a un organismo de estándares de seguridad para que las oriente en su enfoque. SysAdmin Audit Network Security (SANS) es una organización privada que ofrece unmarco de respuesta de seis pasos , que se describe a continuación. Muchas organizaciones también adoptan el marco de recuperación de incidentes del Instituto Nacional de Estándares y Tecnología (NIST) .
 
  • Preparación - Antes de que ocurra un incidente, es importante reducir las vulnerabilidades y definir políticas y procedimientos de seguridad. En la fase de preparación, las organizaciones realizan una evaluación de riesgos para determinar dónde tienen debilidades y priorizar sus recursos. Esta fase incluye la escritura y refinado de procedimientos de seguridad, la definición de roles y responsabilidades y la actualización de sistemas para reducir el riesgo. La mayoría de las organizaciones revisan periódicamente esta etapa y realizan mejoras en las políticas, los procedimientos y los sistemas a medida que aprenden de la experiencia o cambian las tecnologías.
  • Identificación de amenazas - En un día cualquiera, un equipo de seguridad puede recibir miles de alertas que indican actividad sospechosa. Algunos de ellos son falsos positivos o puede que no constituyan un incidente. Una vez identificado un incidente, el equipo examina en profundidad la naturaleza de la vulneración y documenta sus averiguaciones, incluidos el origen de la vulneración, el tipo de ataque y los objetivos del atacante. En esta etapa, el equipo también debe informar a las partes interesadas y comunicar los próximos pasos.
  • Contención de amenazas - Contener una amenaza lo más rápido posible es la siguiente prioridad. Cuanto más tiempo se permita el acceso a los delincuentes, mayor será el daño que puedan causar. El equipo de seguridad trabaja para aislar rápidamente las aplicaciones o sistemas víctimas de un ataque del resto de las redes. Esto ayuda a evitar que los atacantes accedan a otras partes de la empresa.
  • Eliminación de amenazas - Una vez completada la contención, el equipo elimina al atacante y cualquier malware de los sistemas y recursos afectados. Esto puede implicar desconectar los sistemas. El equipo también continúa manteniendo informados a los interesados sobre los avances.
  • Recuperación y restauración - Recuperarse de un incidente puede llevar varias horas. Una vez eliminada la amenaza, el equipo restaura los sistemas, recupera los datos de las copias de seguridad y supervisa las áreas afectadas para garantizar que el atacante no regrese.
  • Retroalimentación y perfeccionamiento- Cuando se resuelve el incidente, el equipo revisa lo sucedido e identifica mejoras que se pueden realizar en el proceso. Aprender de esta fase ayuda al equipo a mejorar las defensas de la organización.

¿Qué es un equipo de respuesta ante incidentes?

Un equipo de respuesta a incidentes, también llamado equipo de respuesta a incidentes de seguridad informática (CSIRT), equipo de respuesta a incidentes cibernéticos (CIRT) o equipo de respuesta a emergencias informáticas (CERT), incluye un grupo multifuncional de personas dentro de la organización que son responsables de ejecutar el plan de respuesta a incidentes. Esto no solo incluye a las personas que eliminan la amenaza, sino también a quienes toman decisiones empresariales o legales relacionadas con un incidente. Un equipo típico incluye los siguientes miembros:
 
  • Un responsable de respuesta a incidentes, normalmente el director de TI, supervisa todas las fases de la respuesta y mantiene informadas a las partes interesadas internas. 
     
  • Los analistas de seguridad investigan el incidente para intentar comprender qué está pasando. También documentan sus averiguaciones y recopilan pruebas forenses.
     
  • Los investigadores de amenazas buscan fuera de la organización para obtener inteligencia que proporcione contexto adicional. 
     
  • Alguien del equipo directivo, como un director de seguridad de la información o director de información, ofrece orientación y actúa como enlace con otros ejecutivos.
     
  • Los especialistas en recursos humanos ayudan a administrar amenazas internas.
     
  • Un departamento jurídico ayuda al equipo a abordar problemas de responsabilidad y se asegura de que se recopilen pruebas forenses.
     
  • Los especialistas en relaciones públicas coordinan una comunicación externa precisa con los medios de comunicación, los clientes y otras partes interesadas.
Un equipo de respuesta a incidentes puede ser un subconjunto de un centro de operaciones de seguridad (SOC), que maneja operaciones de seguridad más allá de la respuesta a incidentes.



Automatización de la respuesta a incidentes

En la mayoría de las organizaciones, las redes y las soluciones de seguridad generan muchas más alertas de seguridad de las que el equipo de respuesta a incidentes puede gestionar de forma realista. Para ayudarles a concentrase en las verdaderas amenazas, muchas empresas implementan una automatización de la respuesta a incidentes. La automatización utiliza inteligencia artificial y aprendizaje automático para priorizar alertas, identificar incidentes y erradicar amenazas mediante la ejecución de un plan de respuesta basado en scripts programáticos.

La orquestación, automatización y respuesta de seguridad (SOAR) es una categoría de herramientas de seguridad que las empresas utilizan para automatizar la respuesta a incidentes. Estas soluciones ofrecen las siguientes capacidades:
 
  • Correlación de los datos de varios puntos de conexión y soluciones de seguridad para identificar incidentes de los que las personas se puedan encargar a continuación.
     
  • Ejecución de un cuaderno de estrategias programado previamente para aislar y abordar tipos de incidente conocidos.
     
  • Generación de una línea de tiempo de investigación que incluye acciones, decisiones y pruebas forenses que puedan usarse en el análisis.
     
  • Recopilar información externa relevante para su análisis humano.



Cómo implementar un plan de respuesta ante incidentes

Elaborar un plan de respuesta ante incidentes puede parecer una tarea desalentadora, pero puede reducir significativamente el riesgo de que su empresa no esté preparada durante un incidente grave. Aquí te explicamos cómo empezar:

Identificar y priorizar los activos

El primer paso en un plan de respuesta ante incidentes es saber qué se está protegiendo. Documente los datos críticos de su organización, incluyendo dónde se encuentran y su nivel de importancia para el negocio.

Determinar los riesgos potenciales

Cada organización tiene riesgos diferentes. Familiarícese con las mayores vulnerabilidades de su organización y evalúe las formas en que un atacante podría explotarlas. 

Desarrollar procedimientos de respuesta

Durante un incidente estresante, contar con procedimientos claros contribuirá en gran medida a garantizar que el incidente se aborde de forma rápida y eficaz. Empiece por definir qué se considera un incidente y, a continuación, determine los pasos que su equipo debe seguir para detectarlo, aislarlo y recuperarse del mismo, incluidos los procedimientos para documentar las decisiones y recopilar pruebas.

Crear un equipo de respuesta ante incidentes

Crear un equipo multidisciplinario responsable de comprender los procedimientos de respuesta y movilizarse en caso de incidente. Asegúrate de definir los roles claramente y ten en cuenta los roles no técnicos que ayuden en la toma de decisiones relacionada con la comunicación y la responsabilidad. Incluya en el equipo ejecutivo a alguien que defienda al equipo y sus necesidades en los niveles más altos de la empresa. 

Define tu plan de comunicación

Un plan de comunicación eliminará las conjeturas sobre cuándo y cómo informar a los demás, tanto dentro como fuera de la organización, sobre lo que está sucediendo. Analice diversos escenarios para determinar en qué circunstancias debe informar a los ejecutivos, a toda la organización, a los clientes y a los medios de comunicación u otras partes interesadas externas.

Empleados de capacitación

Los ciberdelincuentes atacan a empleados de todos los niveles de la organización, por lo que es fundamental que todos comprendan el plan de respuesta y sepan qué hacer si sospechan que han sido víctimas de un ataque. Realice pruebas periódicas a sus empleados para confirmar que pueden reconocer los correos electrónicos de suplantación de identidad (phishing) y facilíteles la tarea de notificar al equipo de respuesta a incidentes si hacen clic accidentalmente en un enlace malicioso o abren un archivo adjunto infectado.

Soluciones de respuesta ante incidentes

Estar preparado para un incidente grave es una parte importante para mantener a su organización a salvo de amenazas. Configurar un equipo de respuesta a incidentes interno te preparará para un posible ataque en el que seas víctima de un usuario malintencionado.

Aprovecha soluciones SIEM y SOAR, como Microsoft Sentinel, que utilizan la automatización para ayudarte a identificar y responder automáticamente a incidentes. Las organizaciones con menos recursos pueden potenciar sus equipos con un proveedor de servicios que se haga cargo de varias fases de la respuesta a incidentes. Pero tanto si el personal de respuesta a incidentes es interno como externo, asegúrese de tener un plan.



Persona trabajando en un portátil con monitores que muestran código

Protección contra amenazas de Microsoft

Identifique y responda a incidentes en toda su organización con lo último en protección contra amenazas.
Explorar
Dos personas usando ordenadores en una oficina

Respuesta a incidentes Microsoft

Obtenga ayuda antes, durante y después de un incidente cibernético con servicios integrales de respuesta proactiva y reactiva ante incidentes.
Explorar
Usando el teléfono inteligente junto a la computadora portátil en el escritorio

Microsoft Sentinel

Unifique los datos de seguridad y el contexto para potenciar la defensa basada en agentes con la plataforma SIEM & con prioridad en la IA.
Explorar
Dos compañeros revisando datos en un ordenador portátil en una mesa.

Microsoft Defender XDR

Detenga los ataques a través de puntos finales, correo electrónico, identidades, aplicaciones y datos.
Explorar
Volver a la sección de productos relacionados
Preguntas frecuentes

Preguntas más frecuentes

  • La respuesta ante incidentes comprende todas las actividades que una organización lleva a cabo cuando sospecha que se ha producido una brecha de seguridad. El objetivo es aislar y erradicar a los atacantes lo más rápido posible, cumplir con las normativas de privacidad de datos y recuperarse de forma segura con el menor daño posible para la organización.
  • Un equipo multidisciplinario es responsable de la respuesta ante incidentes. El equipo de TI suele estar a cargo de la identificación, aislamiento y recuperación de amenazas; sin embargo, la respuesta a incidentes no consiste solamente en buscar y eliminar a los usuarios malintencionados. Según el tipo de ataque, habrá que tomar decisiones empresariales, como la forma de afrontar un rescate. Los profesionales jurídicos y de relaciones públicas permiten garantizar que la organización cumpla con las leyes de privacidad de datos, incluidas las notificaciones pertinentes a clientes y administraciones públicas. Si la amenaza es perpetrada por un empleado, el departamento de recursos humanos asesora sobre las medidas adecuadas a tomar.
  • CSIRT es otro nombre para un equipo de respuesta a incidentes. Incluye un equipo multidisciplinario de personas responsables de gestionar todos los aspectos de la respuesta a incidentes, incluyendo la detección, el aislamiento y la eliminación de la amenaza, la recuperación, la comunicación interna y externa, la documentación y el análisis forense.
  • La mayoría de las organizaciones utilizan una solución SIEM o SOAR para ayudarles a identificar y responder a las amenazas. Estas soluciones suelen recopilar datos de múltiples sistemas y utilizan el aprendizaje automático para ayudar a identificar amenazas reales. También pueden automatizar la respuesta ante ciertos tipos de amenazas basándose en protocolos predefinidos.
  • El ciclo de vida de respuesta a incidentes incluye seis etapas:
     
    1. La preparación ocurre antes de que se identifique un incidente e incluye una definición de lo que la organización considera un incidente y todas las directivas y procedimientos necesarios para prevenir, detectar, eliminar y recuperarse de un ataque.
    2. La identificación de amenazas es un proceso que utiliza tanto analistas como automatización para identificar qué eventos son amenazas reales que necesitan solucionarse.
    3. La contención de amenazas es el conjunto de medidas que adopta un equipo para aislar la amenaza y evitar que infecte otras áreas de la empresa. 
    4. La eliminación de amenazas consta de pasos para eliminar malware y expulsar a los atacantes de una organización.
    5. La recuperación y restauración incluyen el reinicio de sistemas y equipos y la restauración de los datos que se hayan perdido. 
    6. La retroalimentación y el perfeccionamiento son el proceso que sigue el equipo para extraer lecciones del incidente y aplicar esos aprendizajes a las políticas y los procedimientos. 

Seguir a Seguridad de Microsoft

Copilot para organizaciones Copilot para uso personal Microsoft 365 Explora los productos de Microsoft Aplicaciones de Windows 11 Perfil de la cuenta Centro de descargas Devoluciones Seguimiento de pedidos Microsoft Educación Dispositivos para el sector educativo Microsoft Teams para Educación Microsoft 365 Educación Office Educación Entrenamiento y desarrollo para educadores Ofertas para estudiantes y padres Azure para estudiantes
Microsoft AI Seguridad de Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Desarrollador de Microsoft Microsoft Learn Admite aplicaciones del Marketplace de IA Comunidad de Microsoft Tech Microsoft Marketplace Microsoft Power Platform Empresas de software Visual Studio Trabajos Acerca de Microsoft Privacidad en Microsoft Inversionistas
Español (Chile) Privacidad de la salud del consumidor Ponte en contacto con Microsoft Privacidad Administrar cookies Aviso legal Marcas Registradas Sobre nuestra publicidad