En el caso de MGM Resorts en 2023, el ataque de ransomware que paralizó sus operaciones durante días comenzó con una llamada de ingeniería social de menos de diez minutos. El costo estimado superó los 100 millones de dólares. No porque el ataque inicial fuera imposible de detectar, sino porque la cadena de decisiones en las primeras horas no fue la correcta.
No hacen falta ataques de esa escala para que el patrón se repita. Lo vemos en organizaciones medianas que tardan horas en confirmar si realmente están comprometidas, que no tienen claro quién toma decisiones, o que contienen el vector visible sin entender que el atacante lleva días dentro.
Las 72 horas importan porque el atacante también las está contando.
Lo que realmente ocurre en cada ventana
Un incidente no es un evento único. Es una secuencia de fases con lógicas distintas, y confundir en cuál estás tiene consecuencias directas. La mayoría de los errores en respuesta a incidentes ocurren porque el equipo cree que está conteniendo cuando en realidad todavía está detectando, o cree que está erradicando cuando el atacante mantiene persistencia en otro segmento.
Las primeras horas —digamos las primeras cuatro a seis— son de detección y validación. La señal llegó: una alerta del SIEM, un reporte de usuario, un comportamiento anómalo en red. El trabajo aquí no es apagar todo: es confirmar si hay un incidente real, clasificar su severidad inicial y activar el protocolo correcto. La prisa en esta fase produce falsos positivos costosos o, peor, respuestas que alertan al atacante de que fue descubierto.
De las horas seis a veinticuatro entra la fase de contención. Ya sabes que el incidente es real. La pregunta es: ¿cuánto del entorno está comprometido? La contención no es desconectar todo indiscriminadamente —eso puede destruir evidencia forense crítica y paralizar operaciones sin necesidad—. Es aislar con criterio: los sistemas confirmados como comprometidos, los vectores activos de movimiento lateral, los puntos de exfiltración identificados.
Entre las horas veinticuatro y setenta y dos el trabajo se bifurca: erradicación y análisis forense en paralelo. Se elimina el malware, se revocan credenciales comprometidas, se cierran las puertas de entrada. Al mismo tiempo, se construye la línea de tiempo del ataque: cuándo entró, cómo se movió, qué tocó. Sin ese análisis, puedes limpiar la superficie y dejar intacta la amenaza de fondo.
Los errores que alargan el incidente
Hay tres decisiones que concentran la mayoría del daño evitable. La primera es la escalación tardía: el equipo técnico intenta resolver sin notificar a dirección, legal o comunicaciones hasta que el incidente ya es incontrolable. Las decisiones de negocio —notificar a clientes, activar seguros, hablar con autoridades— necesitan tiempo, y ese tiempo se agota mientras alguien espera "tener más información".
La segunda es destruir evidencia por acción o por omisión. Reimaginar servidores comprometidos antes de capturar la imagen forense, apagar sistemas que estaban en memoria activa, o limpiar logs para "remediar más rápido" elimina la posibilidad de entender el ataque completo. Y sin entenderlo, la remediación es superficial.
La tercera es asumir que el vector inicial es el único vector. En incidentes sofisticados, el punto de entrada visible es frecuentemente una distracción. Mientras el equipo contiene el ransomware en un segmento, el atacante mantiene acceso por una cuenta de servicio comprometida hace semanas.
¿Qué hacer al respecto?
El trabajo de las 72 horas no empieza cuando ocurre el incidente: empieza antes. Tener un plan de respuesta documentado, practicado y con roles claros es la diferencia entre un equipo que actúa y uno que improvisa bajo presión. No es suficiente que exista el documento; alguien tiene que saber dónde está y qué dice cuando no hay tiempo para buscarlo.
Define con anticipación los umbrales de escalación. ¿A partir de qué severidad se notifica al CEO? ¿Cuándo entra legal? ¿Cuándo se activa el seguro de ciberseguridad? Esas decisiones tomadas en frío son infinitamente mejores que las tomadas en medio de un incidente activo.
Y si no tienes capacidad interna para respuesta a incidentes 24/7, tener un acuerdo de retención con un equipo especializado externo —con tiempos de respuesta contractuales— puede ser la decisión que marque la diferencia entre contener en horas o en semanas.
La pregunta que vale hacerse
Si tu organización detectara un incidente hoy a las 11 de la noche, ¿quién toma la primera decisión, en cuánto tiempo, y con base en qué proceso documentado? Si la respuesta no es inmediata y clara, ahí está el riesgo real.
Acciones inmediatas
- Verifica que tu plan de respuesta a incidentes existe y es accesible. No en un repositorio al que solo accede el equipo de TI. Debe estar disponible para los roles clave —legal, comunicaciones, dirección— en un formato que puedan usar bajo presión, sin depender de sistemas que podrían estar comprometidos.
- Define los umbrales de escalación por escrito esta semana. Establece qué nivel de severidad activa la notificación a dirección, cuándo entra el área legal, y cuándo se contacta al proveedor de seguro. Son decisiones de 30 minutos que evitan horas de parálisis durante el incidente.
- Identifica a tu contacto forense externo antes de necesitarlo. Si no tienes capacidad interna de análisis forense, investiga qué firmas o equipos especializados tienen disponibilidad y tiempos de respuesta comprometidos. El momento de buscarlos no es durante el incidente.
- Revisa tus capacidades de preservación de evidencia. Confirma que tu equipo sabe que no debe apagar ni reimaginar sistemas comprometidos antes de capturar una imagen forense. Este error, cometido con buena intención, ocurre con frecuencia y cierra puertas de investigación que no se vuelven a abrir.
- Agenda un simulacro tabletop en los próximos 60 días. No hace falta infraestructura: una sesión de dos horas donde el equipo recorre un escenario hipotético revela brechas de proceso y de comunicación que ningún documento detecta. El músculo de respuesta se construye antes del incidente, no durante.
Si tu organización necesita evaluar su capacidad de respuesta a incidentes o desarrollar un plan robusto para las primeras 72 horas, contáctanos en https://tbsek.mx/contacto/.
