{"id":4883,"date":"2026-01-02T09:10:38","date_gmt":"2026-01-02T15:10:38","guid":{"rendered":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=4883"},"modified":"2026-01-02T09:41:37","modified_gmt":"2026-01-02T15:41:37","slug":"protocolo-de-actuacion-en-diez-pasos-ante-un-posible-ciberataque","status":"publish","type":"post","link":"https:\/\/blogs.uo.edu.cu\/seginf\/?p=4883","title":{"rendered":"Protocolo de actuaci\u00f3n en diez pasos ante un posible ciberataque"},"content":{"rendered":"
\"\"

Protocolo de actuaci\u00f3n ante un incidente. Creada con IA<\/p><\/div>\n

En el mundo actual donde imperan la tecnolog\u00eda y la comunicaci\u00f3n, se producen brechas de seguridad, sin embargo, cuando los usuarios responden al peligro con rapidez y eficiencia, se marca la diferencia entre un peque\u00f1o susto y un desastre total para una organizaci\u00f3n.<\/p>\n

La idea de texto es presentar una gu\u00eda paso a paso que facilite al usuario de las TIC un protocolo esencial a aplicar cuando se sospecha la existencia de un ciberataque.<\/p>\n

<\/p>\n

1. Detecci\u00f3n de amenazas<\/strong>: Es vital para ello el monitoreo constante. El movimiento inicial es detectar el problema Esto es parte de mantener un ojo en las cosas para asegurarse de que todo funciona bien La gente debe detectar las cosas extra\u00f1as que parecen un hipo tecnol\u00f3gico pero es en realidad algo m\u00e1s grande.<\/p>\n

Son s\u00edntomas de alarma para mantener un ojo avisor s\u00edntomas como:<\/p>\n

  • Lentitud de funcionamiento repentina e injustificada.<\/li>\n
  • Mensajes raros o ventanas emergentes.<\/li>\n
  • Caracter\u00edsticas poco comunes en el sistema operativo. <\/li>\n
  • Detecci\u00f3n de accesos sospechosos o fallos de acceso reportados por correo electr\u00f3nico, entre otros.<\/li>\n
  • El comportamiento err\u00e1tico de las aplicaciones o del cursor del rat\u00f3n.<\/li>\n

    El instinto del usuario sobre estas acciones extra\u00f1as es el escudo inicial para que se inicie la cadena de acciones que eviten desastres.<\/p>\n

    2. Desconectar y aislar<\/strong>: Cuando tienen indicios para pensar que algo est\u00e1 pasando en t\u00e9rminos de ciberseguridad, es vital hacer un alto en el trabajo, pero es \u00fatil dejar el equipo encendido siempre que sea posible, pero mantenerlo desconectado de cualquier red inform\u00e1tica.<\/p>\n

    \u00bfPor qu\u00e9?.<\/p>\n

    En la memoria RAM, que es vol\u00e1til, se puede encontrar informaci\u00f3n crucial sobre los procesos activos. Esta desaparece cuando se apaga el equipo. Lo correcto es desconectar el cable de red o desactivar WiFi y Bluetooth para cortar la comunicaci\u00f3n del atacante con el ordenador (\u00abaislamiento<\/strong>\u00ab) mientras se mantiene el equipo encendido para an\u00e1lisis forense.<\/p>\n

    No se supone que se conecten dispositivos USB o discos duros externos mientras esto est\u00e1 sucediendo. Conectar una unidad externa podr\u00eda infectarla autom\u00e1ticamente con un programa malicioso, si esta fuera la causa, o si se est\u00e1 espiando el equipo, se sabr\u00eda que acciones se realizan.<\/p>\n

    3. Evaluaci\u00f3n del alcance de la situaci\u00f3n<\/strong>.<\/p>\n

    Una vez que se tiene el sistema aislado, es hora de sumergirse en cosas inteligentes. Lo primero es asegurar la colecta de toda la informaci\u00f3n que pueda antes de que los s\u00edntomas desaparezcan o cambien. Para ello los especialista hacen copias protegidas del sistema afectado, que ser\u00e1n las que se utilicen en los estudios a desarrollar.<\/p>\n

    No obstante, los usuarios a partir de sus observaciones deben evaluar y anotar qu\u00e9 sistemas y funciones han estado fallando espec\u00edficamente.<\/p>\n

    Se debe tomar en cuenta las se\u00f1ales de alerta temprana (fallos menores, desconexi\u00f3n, etc.).Anotar todos los mensajes extra\u00f1os, observar la desaceleraci\u00f3n y vigilar cualquier acceso extra\u00f1o. Se debe asegurar que la informaci\u00f3n no solo quede flotando en la memoria del usuario; tiene que entrar en el libro de incidencia, para evitar omisiones involuntarias. Es una buena idea comprobar si otros est\u00e1n teniendo los mismos problemas. Si un grupo de compa\u00f1eros de trabajo se encuentran con los mismos problemas, probablemente se est\u00e1 ante un problema mayor que supera un simple fallo t\u00e9cnico.<\/p>\n

    4. Contenci\u00f3n de la amenaza<\/strong><\/p>\n

    Al colectar informaci\u00f3n se evita un da\u00f1o mayor. La contenci\u00f3n significa mantener un control estricto sobre qui\u00e9n entra y qu\u00e9 puede hacer.<\/p>\n

    Inmediatamente, se deben desarrollar acciones entre las que sobresale la actualizaci\u00f3n de contrase\u00f1as para cuentas que podr\u00edan haber sido hackeadas. Es muy importante no reutilizar contrase\u00f1as antiguas de otros servicios para nuevas cuentas. esto puede ser nefasto.<\/p>\n

    Mantener fuera del sistema a los ciberdelincuentes para evitar su entrada a paneles de control, cortafuegos y cuentas en l\u00ednea, es una pr\u00e1ctica insoslayable. Todas las sesiones activas deben ser cerradas para cerrar las brechas a utilizar por el intruso. Estas acciones debe desarrollarse junto a especialistas para lograr mayor seguridad en el proceso.<\/p>\n

    Adem\u00e1s deben estar acompa\u00f1adas de la puesta en marcha de las medidas de seguridad descritas en los planes de emergencia de la organizaci\u00f3n, con apego a los pasos que se han establecido para cada nivel de alerta.<\/p>\n

    5. Comunicaci\u00f3n del incidente<\/strong><\/p>\n

    El silencio y el miedo resultan una gran ayuda para los cibercriminales. El incidente debe ser comunicado a trav\u00e9s de canales seguros de la organizaci\u00f3n, se debe evitar el correo electr\u00f3nico del sistema infectado y debe incluir a:<\/p>\n

    1. La direcci\u00f3n de la organizaci\u00f3n.<\/p>\n

    2. Especialistas en ciberseguridad interna.<\/p>\n

    3. Alejar al personal de la amenaza, pues todav\u00eda se necesita mantener cierta confidencialidad. Pero, no hay necesidad de asustarse o compartir informaci\u00f3n con los extra\u00f1os hasta que se compruebe lo que en realidad sucede. Debe asegurar, por tanto, que sea ver\u00eddica la situaci\u00f3n antes de enviar informaci\u00f3n detallada, para evitar as\u00ed noticias falsas y detener cualquier truco que pudiera ser parte del ataque.<\/p>\n

    6. Notificaci\u00f3n oficial al equipo de seguridad inform\u00e1tica.<\/strong> La comunicaci\u00f3n informal entre colegas (marco estrecho) debe convertirse en una notificaci\u00f3n formal de lo que ocurre.<\/p>\n

    Es crucial proporcionar la informaci\u00f3n necesaria para el seguimiento del incidente y para ello debe anotarse:<\/p>\n

  • Datos de localizaci\u00f3n del personal que detecta el incidente.<\/li>\n
  • La fecha y hora espec\u00edficas de la detecci\u00f3n.<\/li>\n
  • Ubicaci\u00f3n y departamento.<\/li>\n
  • Sistema operativo impactado y su versi\u00f3n<\/li>\n
  • N\u00famero de equipos involucrados.<\/li>\n
  • Detalles clave de lo sucedido, en especial durante el fallo.<\/li>\n

    Esta alerta organizada es la que desencadena una reacci\u00f3n profesional desde el conocimiento tecnol\u00f3gico.<\/p>\n

    7. Documentaci\u00f3n completa<\/strong>.<\/p>\n

    Mientras el equipo t\u00e9cnico labora en el incidente, no se detiene el proceso de documentaci\u00f3n del incidente. El objetivo es crear una cadena clara de custodia y una l\u00ednea temporal que cuente la historia de los hechos con el mayor detalle. Solo as\u00ed se logra cumplir el \u00faltimo paso de este protocolo.<\/p>\n

    El personal implicado en el incidente, de ser posible, debe proveer a los especialistas:<\/p>\n

  • Pruebas visuales: Im\u00e1genes fotogr\u00e1ficas o capturas de pantalla de errores, mensajes o registros.<\/li>\n
  • Pruebas electr\u00f3nicas: volcados de memoria o registros del sistema (si es seguro acceder a ellos) <\/li>\n
  • Un an\u00e1lisis exhaustivo de los problemas detectados con el software o hardware, etc.<\/li>\n

    Este proceso es clave, no s\u00f3lo para reiniciar las actividades, sino tambi\u00e9n para atender cuestiones legales o problemas futuros.<\/p>\n

    8. Identificaci\u00f3n del c\u00f3digo maligno<\/strong>.<\/p>\n

    Si se sospecha que el incidente involucra un programa malicioso, es necesario saber a qu\u00e9 enemigo se enfrenta la organizaci\u00f3n. De ser posible, se debe tratar de averiguar qu\u00e9 tipo de c\u00f3digo maligno est\u00e1 operando. La opci\u00f3n para ello es hacerlo con un software antivirus actualizado desde un ordenador seguro y nunca sobre el sistema afectado. Pueden usarse para ello dispositivos infectados que fueran utilizados en dicho sistema. Es esencial en el proceso, seguir tres reglas doradas durante esta fase:<\/p>\n

    1. No eliminar ning\u00fan archivo sospechoso a menos que sea absolutamente necesario, porque son prueba de un ataque.<\/p>\n

    2. Evitar manipular el sistema, porque de esta forma se alteran los registros y se pierde la evidencia para el an\u00e1lisis forense.<\/p>\n

    3. No enviar mensajes o archivos que puedan ser afectados a otros, ya que esto propagar\u00eda la infecci\u00f3n.<\/p>\n

    9. Restaurar copias de seguridad<\/strong><\/p>\n

    En este punto, con la seguridad de que el sistema est\u00e1 libre de compromisos resultantes del incidente. El siguiente paso es restaurar copias de seguridad. No es s\u00f3lo una simple mecanismo de \u00abcopia y pega\u00bb. porque tiene sus requerimientos y protocolos que garantizan su seguridad.<\/p>\n

    Solo un enfoque s\u00f3lido permite mantener las amenazas fuera del sistema y asegurar que la copia de seguridad sea impecable. Antes de la puesta en marcha de las operaciones despu\u00e9s del incidente, es crucial asegurarse de que todo est\u00e1 funcionando bien: comprobar que los datos est\u00e1n en buen estado, que las aplicaciones est\u00e1n funcionando sin problema y que realmente se ha logrado superar el problema que provoc\u00f3 el incidente.<\/p>\n

    10. Aprendizaje y mejora<\/strong><\/p>\n

    El incidente supuestamente ha terminado, pero el trabajo vinculado a el debe continuar. Este paso es vital para el futuro de la organizaci\u00f3n y se trata de aprender de los problemas y mejorar de forma continua el sistema.<\/p>\n

    Los incidentes de ciberseguridad son lecciones costosas, por ello, en la organizaci\u00f3n se deben desarrollar acciones que resultan vitales:<\/p>\n

  • Revisi\u00f3n post-incidente (postmortem) para entender que fall\u00f3.<\/li>\n
  • Actualizar el plan de crisis en funci\u00f3n de las lagunas identificadas durante la respuesta.<\/li>\n
  • Alentar y desarrollar la capacitaci\u00f3n del personal sobre las amenazas emergentes detectadas.<\/li>\n

    En este \u00faltimo aspecto es esencial para la toma de conciencia de todos sobre la importancia que tiene el conocimiento de los usuarios sobre su papel en el entorno de las TIC y como para estar preparados, resulta la mejor defensa ante los embates del mundo digital para proteger el trabajo mediado por las TIC. Pero tambi\u00e9n, porque es vital aprender de los errores y elevar el nivel de competencias y de defensa tecnol\u00f3gica para lograr que la ciberseguridad sea realmente, una tarea de todos<\/strong>.<\/p>\n

    Im\u00e1genes Relacionadas:<\/h3>","protected":false},"excerpt":{"rendered":"

    En el mundo actual donde imperan la tecnolog\u00eda y la comunicaci\u00f3n, se producen brechas de seguridad, sin embargo, cuando los usuarios responden al peligro con rapidez y eficiencia, se marca la diferencia entre un peque\u00f1o susto y un desastre total … Sigue leyendo →<\/span><\/a><\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2,56,49,67,5,6,8,14,21],"tags":[],"class_list":["post-4883","post","type-post","status-publish","format-standard","hentry","category-amenazas","category-buenas-practicas","category-ciberataque","category-ciberseguridad","category-claves-de-acceso","category-codigos-malignos","category-contrasenas","category-incidentes","category-piratas-informaticos"],"_links":{"self":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/4883","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4883"}],"version-history":[{"count":18,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/4883\/revisions"}],"predecessor-version":[{"id":4917,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=\/wp\/v2\/posts\/4883\/revisions\/4917"}],"wp:attachment":[{"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4883"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4883"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogs.uo.edu.cu\/seginf\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4883"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}