Loading...
Logo de IngenSoft Envíanos un WhatsApp
Ciberseguridad

Respuesta a incidentes: protocolo para PYMEs

Pasos concretos para contener, investigar y recuperarte de un ataque sin un CSIRT interno.

Richard Emert • 2 de noviembre, 2025

El 74% de las PYMEs que sufren un ataque de ransomware cierran en menos de 6 meses. La diferencia entre sobrevivir y desaparecer no es evitar el ataque —es responder con rapidez y método. En Ingensoft, hemos ayudado a decenas de empresas a recuperarse, y aquí compartimos el protocolo que cualquier PYME puede implementar sin un equipo de seguridad interno.

Protocolo de 5 pasos para responder a un incidente

1

Contención inmediata

No apagues los sistemas afectados (pierdes evidencia). En su lugar: (1) desconecta el dispositivo de la red, (2) cambia todas las contraseñas desde un dispositivo limpio, (3) notifica a tu proveedor de hosting o nube para que aísle la instancia.

2

Evaluación del impacto

Determina: (1) qué datos se vieron comprometidos, (2) si hay obligación legal de notificar (ej: Ley Federal de Protección de Datos en México), (3) si los sistemas críticos están operativos. Documenta todo en un registro de incidentes.

3

Notificación estratégica

Informa a: (1) tu proveedor de ciberseguridad (si lo tienes), (2) tu abogado especializado en tecnología, (3) tus clientes afectados (si la ley lo exige), (4) las autoridades (Ejército Mexicano - C4, en México). Nunca pagues el rescate sin asesoría legal.

4

Recuperación controlada

Restaura los sistemas desde backups anteriores a la infección. Verifica que los backups no estén cifrados o corruptos. Actualiza todo el software y aplica parches antes de reconectar a la red.

5

Lecciones aprendidas

Realiza una reunión post-mortem: (1) ¿cómo entró el atacante? (2) ¿por qué no se detectó antes? (3) ¿qué medidas evitan que se repita? Actualiza tu plan de respuesta y capacita a tu equipo.

Nunca subestimes un incidente “pequeño”. Muchos ataques de ransomware comienzan con un solo correo phishing aparentemente inofensivo.

Prepárate antes de que ocurra

La mejor respuesta es la prevención:

  • Copia de seguridad diaria en un sistema aislado (3-2-1: 3 copias, 2 medios, 1 fuera de sitio).
  • Capacitación mensual contra phishing para todo tu equipo.
  • Plan de respuesta documentado y probado cada 6 meses.
  • Contrato con un proveedor externo de respuesta a incidentes (como Ingensoft).

La ciberseguridad no es solo tecnología —es gestión de riesgos empresariales. Y como dice el refrán: “No necesitas ser más rápido que el oso, solo más rápido que el otro en el grupo”. Estar preparado te convierte en un blanco menos atractivo.

ME

Richard Emert

CEO & Arquitecto de Soluciones & Especialista en Seguridad en Ingensoft

Ha liderado la respuesta a más de 15 incidentes cibernéticos en PYMEs latinoamericanas. Certificado en gestión de incidentes (GCFA) y respuesta forense.