El tiempo medio para identificar una brecha de seguridad es de 194 días. Para contenerla, otros 64. En ese intervalo, un atacante ha tenido tiempo suficiente para moverse lateralmente, exfiltrar datos y cifrar sistemas críticos. La pregunta no es si tu empresa sufrirá un incidente. Es cuánto tardará en detectarlo y qué tan preparada está para responder.

¿Qué es la respuesta a incidentes en ciberseguridad?

La respuesta a incidentes (Incident Response o IR) es el proceso estructurado mediante el cual una organización detecta, contiene, erradica y se recupera de una brecha de seguridad, minimizando el impacto operativo, financiero y reputacional. No es una reacción espontánea, es un plan documentado, ensayado y con responsables designados antes de que ocurra el incidente.

La diferencia entre empresas que sobreviven un ataque y las que no suele reducirse a una sola variable, si tenían o no un plan de respuesta a incidentes (IRP) activado antes de que llegara el atacante.

El ciclo PICERL: seis fases, un solo objetivo

El framework más adoptado a nivel mundial es el modelo PICERL, definido por el SANS Institute y alineado con el estándar NIST SP 800-61. Establece seis fases secuenciales que toda organización debe ejecutar ante un incidente de seguridad:

• Preparación: Construir el equipo, documentar el IRP, definir roles, implementar herramientas de detección y realizar simulacros antes de que llegue el ataque. Es la fase más ignorada y la más determinante.
• Identificación: Detectar y confirmar que el incidente es real. Correlacionar alertas del SIEM, validar IoCs (Indicadores de Compromiso) y determinar el alcance inicial. El 87% de las brechas se detectan por terceros, no por el equipo interno.
• Contención: Aislar los sistemas comprometidos para evitar propagación lateral. Existen dos tipos: contención a corto plazo (desconectar el activo afectado) y contención a largo plazo (aplicar parches, reforzar credenciales, segmentar redes).
• Erradicación: Eliminar la causa raíz: malware, credenciales comprometidas, backdoors instalados por el atacante. Sin esta fase completada, la recuperación es temporal.
• Recuperación: Restaurar los sistemas a operación normal desde backups limpios verificados. Definir el punto de recuperación (RPO) y el tiempo objetivo (RTO) antes del incidente determina cuánto daño real puede limitar esta fase.
• Lecciones aprendidas: Documentar qué falló, qué funcionó y qué debe cambiar. Las organizaciones que omiten esta fase repiten los mismos incidentes.

Los primeros 30 minutos: qué hacer cuando ya te hackearon

Si estás leyendo esto mientras gestionas un incidente activo, aquí están los pasos en orden estricto.

1. Aislar, no desconectar.
Desconectar el equipo de la red (deshabilitar Wi-Fi, desconectar cable) detiene la propagación lateral sin destruir evidencia volátil. No apagues el sistema: el apagado elimina la memoria RAM donde viven procesos maliciosos activos, claves de cifrado en uso y conexiones abiertas, datos que solo existen mientras la máquina está encendida y que pueden ser críticos para la investigación forense.

2. Documentar antes de actuar.
Captura screenshots del estado actual, exporta los logs del SIEM y del EDR con timestamp, y registra con precisión qué se observó y cuándo. En Colombia, esta documentación es la base para la notificación obligatoria a la SIC y para cualquier acción legal posterior.

3. Activar el árbol de contactos del IRP.
Notificar en paralelo al equipo técnico de respuesta, al área legal y a dirección. Si tienes MDR contratado, este es el momento de abrir el ticket de incidente con el nivel de severidad correcto: ellos ejecutan la contención mientras tu equipo interno gestiona la comunicación.

4. No comunicar externamente hasta tener contención.
Publicar en redes sociales, notificar clientes o hablar con medios antes de contener el incidente amplifica el daño reputacional sin beneficio operativo. La comunicación externa tiene su lugar, pero no en los primeros 30 minutos.

Seamos claros: una empresa que tarda más de una hora en confirmar un incidente y activar su plan ya perdió la ventana de contención efectiva en la mayoría de los ataques de ransomware modernos.

El costo real de no tener un plan

Las cifras de IBM del Cost of a Data Breach Report son contundentes:

El costo promedio global de una brecha alcanzó los 4,88 millones de dólares en 2024. Las organizaciones que contaban con un equipo de IR entrenado redujeron ese costo en 1,5 millones de dólares respecto a las que no lo tenían. Cada hora de inactividad no planificada cuesta entre 250.000 y 500.000 dólares según IDC. Y las empresas que automatizaron su respuesta con herramientas integradas reportaron un 25% más de eficiencia y 20% menos de tiempo de respuesta según Forrester.

La realidad es que el IRP no es un gasto de seguridad. Es una póliza de continuidad operativa con ROI medible.

CSIRT vs MDR: la decisión que pocas empresas calculan bien

La ejecución del ciclo PICERL requiere analistas mirando pantallas las 24 horas, los 7 días. Construir un CSIRT (Computer Security Incident Response Team) interno implica contratar entre 8 y 12 analistas senior en turnos rotativos, más la infraestructura tecnológica (SIEM, SOAR, EDR/XDR, plataforma de threat intelligence). En Colombia y LATAM, donde el déficit de profesionales certificados en ciberseguridad supera las 700.000 posiciones, esa ecuación es inviable para la mayoría de las empresas.

El MDR (Managed Detection and Response) actúa como extensión del CSIRT de la organización: aporta los analistas, la tecnología y los playbooks de respuesta que ejecutan las fases de Identificación, Contención y Erradicación del ciclo PICERL. Para entender las diferencias técnicas entre EDR, XDR y MDR en profundidad, puedes consultar nuestro análisis comparativo de EDR, XDR y MDR.

Un servicio MDR gestionado no reemplaza la necesidad de tener un IRP documentado, pero sí resuelve el problema operativo más crítico: tener ojos expertos disponibles cuando el ataque ocurre a las 2 de la madrugada de un domingo.

El contexto legal que nadie explica en Colombia

La respuesta a incidentes en Colombia tiene dimensiones legales específicas que la mayoría de los artículos sobre IR ignoran por completo.

La Ley 1581 de 2012 (Habeas Data) y su Decreto 1377 obligan a los responsables del tratamiento de datos personales a notificar a la Superintendencia de Industria y Comercio (SIC) cuando se produce una brecha que afecta datos de ciudadanos colombianos. El plazo es de 15 días hábiles desde que se tiene conocimiento del incidente. No notificar en término expone a la organización a sanciones de hasta 2.000 salarios mínimos mensuales.

Adicionalmente, el CSIRT-CCOC (Centro Cibernético de la Policía Nacional) debe ser notificado para incidentes que afecten infraestructura crítica o que involucren actividad criminal. Este reporte no es opcional cuando el incidente constituye un delito informático bajo la Ley 1273 de 2009.

La fase de Lecciones Aprendidas debe incluir una revisión jurídica de las obligaciones de notificación cumplidas. Los directivos que omiten esta notificación pueden enfrentar responsabilidad personal, no solo corporativa.

Las herramientas del IR moderno

El stack tecnológico de un IR efectivo se construye sobre cuatro capas que deben integrarse para reducir el tiempo de detección y respuesta. La gestión de amenazas sin estas herramientas integradas equivale a responder un incendio con baldes de agua, como analizamos en detalle en gestión de amenazas: monitoreo y respuesta efectiva.

SIEM (Security Information and Event Management): Centraliza y correlaciona logs de toda la infraestructura. Sin SIEM, la Identificación del incidente depende de que alguien note algo inusual manualmente.

SOAR (Security Orchestration, Automation and Response): Automatiza los playbooks de respuesta. Cuando el SIEM detecta una amenaza, el SOAR ejecuta la contención en segundos sin esperar aprobación humana para acciones predefinidas.

EDR/XDR: Visibilidad y respuesta a nivel de endpoint y red. El XDR extiende la correlación a identidades, nube y correo electrónico, cerrando los puntos ciegos que un EDR estándar no cubre.

Threat Intelligence: Feeds de IoCs actualizados en tiempo real para que las reglas del SIEM y el EDR identifiquen amenazas emergentes antes de que los vectores sean de conocimiento público.

La fase de Recuperación depende de una capa adicional crítica: backups verificados con RPO y RTO definidos. Un plan de backup y recuperación ante desastres determina si la fase de Recuperación tarda horas o semanas.

Cómo construir tu IRP si no tienes equipo de seguridad

La ausencia de un CSIRT no exime a la organización de tener un plan. Un IRP básico pero funcional requiere:

• Clasificación de activos críticos: identificar qué sistemas, si caen, detienen el negocio. Son los que definen el RTO máximo tolerable.
• Árbol de contactos de respuesta: quién llama a quién, en qué orden, con qué información, cuando se confirma un incidente. Incluye al proveedor de MDR, al área legal, a la dirección y, si aplica, al área de comunicaciones.
• Playbooks por tipo de incidente: ransomware, acceso no autorizado, brecha de datos y DDoS tienen flujos de respuesta distintos. Documentarlos previamente elimina el tiempo de improvisación bajo presión.
• Prueba anual documentada: un IRP que no se ha probado es un IRP que no funciona. El 40% de las organizaciones admite que su último simulacro no generó ninguna acción de mejora concreta.
• Criterios de notificación regulatoria: para Colombia, los umbrales que activan la notificación a la SIC y al CSIRT-CCOC deben estar especificados antes del incidente, no decidirse durante él.

Conclusión: el IRP es el único control que funciona cuando todos los demás fallaron

Los controles preventivos, el firewall, el EDR, el filtro de correo, reducen la probabilidad de un incidente. El IRP determina qué pasa cuando esos controles no son suficientes.

Una organización sin plan de respuesta a incidentes no está expuesta a más ataques que una con plan. Está expuesta exactamente al mismo número. La diferencia es que cuando el ataque ocurra, una tendrá 194 días de dwell time y la otra tendrá un procedimiento activo en los primeros 30 minutos.