0invader

Noticias

Análisis forense tras una brecha: las 48 primeras horas críticas

26 de febrero de 2026

En los dos primeros días tras una brecha, equipos bienintencionados destruyen de forma rutinaria la mismísima evidencia que les habría revelado qué ocurrió. Aquí tiene qué preservar, qué cortar y el orden que mantiene abiertas sus opciones.

Cuando se confirma una brecha, arrancan dos relojes a la vez. Uno es operativo: detener la hemorragia, restaurar el servicio, tranquilizar a las partes interesadas. El otro es forense: preservar la evidencia que le dirá qué se llevaron, cómo y si el atacante sigue dentro. Estos relojes tiran en direcciones opuestas y, en las primeras 48 horas, suele ganar el operativo, a un gran coste.

Nos llaman repetidamente a investigaciones en las que la evidencia más valiosa fue destruida no por el atacante, sino por la respuesta. Reinstalar la imagen de una máquina infectada antes de capturarla. Apagar un servidor y perder todo lo que había en la memoria volátil. Borrar los artefactos del atacante con las prisas por «limpiar». Cada uno de estos pasos es comprensible bajo presión, y cada uno puede cegar una investigación de forma permanente.

Preserve antes de remediar

El instinto de borrar y reconstruir es fuerte, pero capture primero. En la práctica, eso significa:

  • Capturar la memoria volátil antes de apagar nada: los procesos en ejecución, las conexiones de red y las claves de cifrado a menudo solo viven en la RAM.
  • Preservar los registros de inmediato y extraerlos de los sistemas afectados. Los atacantes manipulan o rotan los registros; asuma que los suyos son un objetivo.
  • Crear imágenes de los discos afectados en lugar de trabajar sobre el sistema en vivo, de modo que el estado original quede congelado y sea defendible.
  • Registrar sus propias acciones con marcas de tiempo. Quién hizo qué y cuándo. Esto protege tanto la investigación como a los responsables de la respuesta.

Contención sin destrucción

Puede contener sin destruir la evidencia. Aísle un host comprometido de la red en lugar de apagarlo. Deshabilite una cuenta comprometida en vez de eliminarla. Bloquee la infraestructura del atacante en el cortafuegos preservando los registros de conexión. El objetivo es cortar el acceso del atacante manteniendo intacta la escena del crimen.

La forma más común en que las organizaciones sabotean su propia investigación es tratar la contención y el análisis forense como el mismo paso. No lo son. Contenga el acceso; preserve la evidencia.

Por qué la disciplina compensa

Más allá de comprender el ataque, esa evidencia preservada determina si puede cumplir con precisión los deberes regulatorios de notificación, respaldar una reclamación al seguro o emprender acciones legales. Una investigación construida sobre evidencia manejada correctamente responde a las preguntas que importan: a qué datos se accedió realmente, si el atacante mantiene aún un punto de apoyo y cómo cerrar la puerta de forma definitiva.

Si se queda con una sola cosa de esto: redacte ahora, en calma, una lista de comprobación corta y ensayada que ponga la preservación de la evidencia por delante de la remediación. En el caos de la primera hora, nadie inventa una buena disciplina forense sobre la marcha: se recurre a lo ensayado, o se improvisa y se pierde la evidencia.

Nuestros socios confían en nosotros

Ayuntamiento de Alhama de Murcia
Ayuntamiento de Totana
Garrigues Abogados
Grupo Sureste