Plan de respuesta a incidentes en 24 horas para PYMEs
Guía práctica con un plan concreto para responder a un ciberincidente cuando ocurre. Desde las primeras acciones de contención hasta el reporte regulatorio y la recuperación.
Si estás en medio de un incidente ahora
- Desconecta de internet los equipos afectados (no los apagues, solo desconéctalos de la red) 2. Llama a tu soporte TI de confianza 3. Reporta a la ANCI: csirt@anci.gob.cl o al CSIRT de Gobierno: www.csirt.gob.cl 4. Luego vuelve a esta guía.
¿Por qué necesitas un plan antes de que ocurra?
Cuando un ataque ocurre, el estrés y la presión son enormes. Sin un plan previo, las empresas cometen errores que agravan la situación: apagan servidores perdiendo evidencia, pagan rescates sin verificar si los datos pueden recuperarse, o demoran días en notificar cuando la ley exige horas.
Este plan te da un marco para actuar con claridad en las primeras 24 horas.
Fase 0: Preparación previa (hazlo hoy)
Antes de que pase cualquier cosa, ten esto listo:
Lista de contactos de emergencia
Mantén impresa y digital:
- Responsable TI interno o externo + teléfono directo
- Proveedor de hosting/cloud + teléfono de soporte urgente
- CSIRT Nacional: csirt@anci.gob.cl / +56 2 XXXX XXXX
- Tu abogado o asesor legal
- Aseguradora (si tienes seguro de ciberseguridad)
- Directivos clave de la empresa
Inventario básico
- Lista de sistemas críticos (ERP, correo, sitio web, base de datos de clientes)
- Ubicación de backups y método de acceso
- Datos de contacto de proveedores de servicios tecnológicos
Decisiones pre-autorizadas
Define quién puede decidir:
- Desconectar sistemas de producción
- Pagar a un proveedor externo de respuesta a incidentes
- Comunicar a clientes sobre una brecha
Fase 1: Detección y primeros 30 minutos
Señales de alerta comunes
| Señal | Posible incidente |
|---|---|
| Archivos con extensión extraña (.locked, .enc) | Ransomware |
| Usuarios reportan no poder acceder a sus cuentas | Credential stuffing / robo de cuentas |
| Tráfico inusual de datos salientes | Exfiltración de datos |
| Sitio web mostrando contenido extraño | Defacement |
| Correos rebotando o facturas falsas enviadas desde tu dominio | Compromiso de correo corporativo |
| Lentitud extrema de red sin causa técnica obvia | DDoS o actividad maliciosa interna |
Acciones inmediatas (primeros 30 minutos)
- No entres en pánico ni tomes decisiones apresuradas
- Determina el alcance inicial: ¿qué sistemas parecen afectados?
- Documenta todo desde el primer momento: hora de detección, síntomas observados, acciones tomadas
- Notifica al responsable de la toma de decisiones en tu empresa
- Si hay ransomware activo: desconecta de la red los equipos afectados pero NO los apagues (el apagado puede destruir evidencia en memoria)
- No pagues ningún rescate sin antes consultar con un experto
Fase 2: Contención — Horas 1-4
Contención a corto plazo
El objetivo es detener el daño sin destruir evidencia:
- Aislar sistemas comprometidos de la red (desconectar cable o deshabilitar Wi-Fi, no apagar)
- Deshabilitar cuentas de usuario potencialmente comprometidas
- Bloquear IPs y dominios maliciosos identificados en el firewall
- Preservar logs: copia los registros de acceso, eventos de sistema y autenticación ANTES de hacer cualquier cambio
- Tomar capturas de pantalla de los mensajes de ransomware u otras evidencias visibles
Evaluación del alcance
- ¿Qué datos podrían haber sido expuestos o robados?
- ¿Los backups están intactos y desconectados de la red afectada?
- ¿El incidente podría afectar a terceros (clientes, proveedores)?
Decisión crítica: ¿involucras a expertos externos?
Para la mayoría de las PYMEs, un incidente serio requiere apoyo externo. Las opciones en Chile:
- CSIRT de Gobierno: apoyo gratuito y orientación técnica
- Proveedores de respuesta a incidentes (IR): empresas especializadas, costo según incidente
- Tu proveedor de seguridad TI habitual: si tiene capacidad de IR
Fase 3: Reporte regulatorio — Horas 1-24
Obligación legal bajo Ley 21.663
Si eres operador de importancia vital, tienes 3 horas para reportar. Si no eres OIV, tienes 24 horas. Reportar tarde puede resultar en sanciones adicionales.
Cómo reportar a la ANCI/CSIRT
El reporte debe incluir:
- Identificación: nombre de la organización, RUT, sector, datos de contacto
- Descripción del incidente: qué pasó, cuándo se detectó, sistemas afectados
- Impacto preliminar: si hay datos de personas afectadas, interrupción de servicio
- Acciones tomadas: medidas de contención adoptadas hasta el momento
- Solicitud de apoyo (si aplica): indica si necesitas asistencia técnica
Envía a: csirt@anci.gob.cl con asunto “Reporte de Incidente — [Nombre empresa] — [Fecha]“
Si hay datos personales expuestos
Bajo la nueva Ley de Protección de Datos (en tramitación), deberás además notificar a los titulares afectados cuando haya riesgo real para sus derechos. Actualmente, bajo la Ley 19.628 vigente, hay obligación de informar a los afectados cuando el incidente ponga en riesgo sus datos.
Fase 4: Erradicación y recuperación — Horas 4-72
Erradicación
- Identificar el vector de entrada del ataque (phishing, vulnerabilidad, contraseña comprometida)
- Eliminar el malware o acceso no autorizado de los sistemas
- Parchear la vulnerabilidad explotada
- Restablecer contraseñas de todas las cuentas posiblemente comprometidas
- Revisar y limpiar cualquier persistencia (tareas programadas, cuentas creadas por el atacante)
Recuperación desde backup
Antes de restaurar, confirma:
- El backup es anterior al incidente
- El backup no está también infectado (es una trampa común del ransomware)
- Tienes un entorno limpio donde restaurar
Restaura primero los sistemas más críticos, luego los secundarios. Verifica el funcionamiento antes de reconectar a internet.
Comunicación durante el incidente
Define un solo vocero para comunicaciones externas. Mensajes clave:
- A clientes: “Estamos trabajando en resolver un problema técnico. Te informaremos si tus datos se ven afectados.”
- A empleados: qué deben y no deben hacer mientras el incidente está activo
- A medios (si aplica): coordinar con asesor legal antes de declarar
Fase 5: Post-incidente — Días 3-30
Informe post-incidente
Documenta:
- Cronología detallada del incidente
- Vector de ataque y cómo ocurrió
- Impacto real: sistemas, datos, tiempo de inactividad, costo estimado
- Acciones de contención y recuperación
- Lecciones aprendidas
Mejoras a implementar
El incidente es una oportunidad para mejorar. Identifica las brechas que permitieron el ataque:
- ¿Faltaba un parche de seguridad?
- ¿Un empleado cayó en phishing? → Capacitación
- ¿Las contraseñas eran débiles? → Política de contraseñas y MFA
- ¿Los backups no estaban offline? → Regla 3-2-1 de backups
Plantilla de log de incidente
Descarga nuestra plantilla en PDF desde la sección de Recursos de tisec.cl, o usa esta estructura básica:
REGISTRO DE INCIDENTE DE CIBERSEGURIDAD
=======================================
Organización:
Fecha/hora detección:
Detectado por:
Sistemas afectados:
Descripción inicial:
ACCIONES TOMADAS (cronología):
[HH:MM] - [Acción] - [Responsable]
REPORTES ENVIADOS:
[ ] ANCI/CSIRT — Fecha/hora:
[ ] Clientes afectados — Fecha/hora:
ESTADO ACTUAL:
[ ] Contenido [ ] En recuperación [ ] Resuelto