Protocolo de Respuesta Inmediata ante un Incidente
La Agencia Nacional de Ciberseguridad (ANCI) publicó en mayo de 2026 alertas sobre reportes de actividad maliciosa que potencialmente involucraba operadores de telecomunicaciones y servicios públicos. La respuesta organizada de las instituciones involucradas — que implementaron medidas preventivas incluso antes de confirmar el alcance del incidente — es el modelo correcto de reacción.
Un protocolo de respuesta a incidentes define qué hacer en los primeros minutos, horas y días después de detectar (o sospechar) una brecha de seguridad. Sin este protocolo, las organizaciones improvisan bajo presión, cometiendo errores costosos.
Las organizaciones que improvisan durante un incidente tardan en promedio 3 veces más en contenerlo que las que tienen un protocolo documentado y probado. El tiempo de contención es directamente proporcional al costo total del incidente.
Cómo Verificar si sus Sistemas Están Comprometidos
Paso 1: Revisar logs de acceso
El primer paso es revisar los registros de acceso a sistemas críticos: Active Directory (intentos de autenticación fallidos o exitosos en horarios inusuales), sistemas de correo (accesos desde IPs o países inusuales), VPN (conexiones en horarios o desde ubicaciones anómalas), y servidores críticos (accesos root o administrativos inesperados).
Paso 2: Analizar tráfico de red
Buscar conexiones salientes inusuales: tráfico hacia IPs o dominios desconocidos, volúmenes de datos exportados anormales, comunicaciones cifradas hacia destinos no habituales. Un SIEM facilita enormemente este análisis, pero incluso sin uno, los firewalls suelen guardar logs útiles.
Paso 3: Revisar alertas de EDR
Si tiene EDR instalado, revisar las alertas de los últimos 7-30 días. Buscar especialmente: ejecuciones de PowerShell con parámetros inusuales, acceso masivo a archivos del usuario, instalación de software no autorizado, y conexiones a IPs categorizadas como maliciosas.
Contención del Incidente
Una vez confirmada o altamente sospechada una brecha, la contención es prioridad sobre la investigación. Aislar los sistemas comprometidos de la red (sin apagarlos, para preservar evidencia), revocar las credenciales potencialmente comprometidas y forzar restablecimiento de contraseñas, bloquear IPs o dominios maliciosos identificados en el firewall, y notificar al equipo de dirección son los pasos inmediatos.
No apagar los sistemas comprometidos
Un error común es apagar inmediatamente los sistemas comprometidos. Esto destruye evidencia volátil (memoria RAM) que puede ser crucial para entender el alcance del ataque. Lo correcto es aislarlos de la red manteniéndolos encendidos, mientras se preservan imágenes forenses.
Obligación de Reportar a la ANCI
Con la Ley 21.663, los operadores de importancia vital (OIV) tienen la obligación de reportar incidentes de ciberseguridad de impacto significativo a la ANCI en plazos muy acotados. Las empresas que no son OIV también pueden (y deben) reportar incidentes a través del canal oficial ayuda@anci.gob.cl o al número 1510.
El reporte temprano permite a la ANCI alertar a otras organizaciones que pueden estar bajo el mismo ataque, compartir indicadores de compromiso para defensa colectiva, y coordinar la respuesta cuando el incidente afecta a múltiples sectores simultáneamente.
Reportar un incidente a la ANCI no equivale a admitir responsabilidad legal. El reporte temprano es protección mutua: su información ayuda a defender a otras organizaciones, y la información que la ANCI comparte protege a la suya.
Conclusión
La respuesta a incidentes no es un tema exclusivo de las grandes corporaciones. Cualquier empresa que dependa de sistemas informáticos para operar necesita un protocolo básico de respuesta. No tiene que ser complejo: definir quién decide, quién ejecuta, cómo se comunica y a quién se reporta es suficiente para multiplicar la capacidad de respuesta en momentos críticos.