Muchas fallas en la respuesta a incidentes no se deben a la falta de herramientas, inteligencia o habilidades técnicas. Provienen de lo que sucede inmediatamente después de la detección, cuando la presión es alta y la información está incompleta.
He visto equipos de IR recuperarse de intrusiones sofisticadas con telemetría limitada. También he visto equipos perder el control de las investigaciones que deberían haber podido realizar. La diferencia suele aparecer temprano. No horas más tarde, cuando se crean cronogramas o se escriben informes, sino en los primeros momentos después de que un socorrista se da cuenta de que algo anda mal.
Esos primeros momentos a menudo se describen como los primeros 90 segundos. Sin embargo, si se toma demasiado literalmente, ese encuadre pierde el sentido. No se trata de reaccionar más rápido que un atacante o de apresurarse a actuar. Se trata de establecer una dirección antes de que las suposiciones se endurezcan y las opciones desaparezcan.
Los intervinientes toman decisiones silenciosas de inmediato, como qué mirar primero, qué preservar y si tratar el problema como un problema de un solo sistema o el comienzo de un patrón más amplio. Una vez que se toman esas primeras decisiones, dan forma a todo lo que sigue. Comprender por qué esas decisiones son importantes (y hacerlas bien) requiere repensar lo que representan los “primeros 90 segundos” de una investigación real.
Los primeros 90 segundos son un patrón, no un momento
Uno de los errores más comunes que veo es tratar la fase inicial de una investigación como un evento único y dramático. La alerta se activa, el reloj se pone en marcha y los socorristas lo manejan bien o no. No es así como se desarrollan los incidentes reales.
Los “primeros 90 segundos” ocurren cada vez que cambia el alcance de una intrusión.
Se le notifica sobre un sistema que se cree que está involucrado en una intrusión. Accedes a él. Tú decides qué importa, qué preservar y qué podría revelar este sistema sobre el resto del medio ambiente. Esa misma ventana de decisión se abre nuevamente cuando identifica un segundo sistema y luego un tercero. Cada uno pone a cero el reloj.
Aquí es donde los equipos suelen sentirse abrumados. Observan el tamaño de su entorno y suponen que se enfrentan a cientos o miles de máquinas a la vez. En realidad, se enfrentan a un conjunto mucho más pequeño de sistemas a la vez. El alcance crece progresivamente. Una máquina lleva a otra, luego a otra, hasta que comienza a surgir un patrón.
Los respondedores fuertes no reinventan su enfoque cada vez que esto sucede. Aplican la misma disciplina inicial cada vez que tocan un nuevo sistema. ¿Qué se ejecutó aquí? ¿Cuándo se ejecutó? ¿Qué pasó a su alrededor? ¿Quién o qué interactuó con él? Esa coherencia es lo que permite que el alcance crezca sin que se pierda el control.
Esta es también la razón por la que las decisiones tempranas son tan importantes. Si los socorristas tratan el primer sistema afectado como un problema aislado y se apresuran a “solucionarlo”, cierran un ticket en lugar de investigar una intrusión. Si no logran preservar los artefactos correctos temprano, pasarán el resto de la investigación adivinando. Esos errores pueden agravarse a medida que se amplía el alcance.
Cómo se obstaculizan las investigaciones
Cuando las primeras investigaciones salen mal, resulta tentador culpar a la formación, las vacilaciones o la mala comunicación. Esos problemas aparecen, pero generalmente son síntomas, no causas fundamentales. El fallo más constante es que los equipos no comprenden suficientemente bien su propio entorno cuando comienza el incidente.
Los encuestados se ven obligados a responder preguntas básicas bajo presión. ¿Dónde salen los datos de la red? ¿Qué registro existe en los sistemas críticos? ¿Hasta dónde se remontan los datos? ¿Se conservó o se sobrescribió? Esas preguntas ya deberían tener respuestas. Cuando no lo hacen, los socorristas terminan aprendiendo los componentes críticos de su entorno cuando ya es demasiado tarde.
Esta es la razón por la que el registro que comienza después de una detección es tan perjudicial. La visibilidad hacia adelante sin contexto hacia atrás limita lo que se puede probar. Aún puedes reconstruir partes del ataque, pero cada conclusión se vuelve más débil. Las brechas se convierten en suposiciones y las suposiciones en errores.
Otro error común es la priorización de las pruebas. Al principio, todo parece importante, por lo que los equipos saltan entre artefactos sin un ancla clara. Eso crea actividad sin progreso. En la mayoría de las investigaciones, la forma más rápida de recuperar la claridad es centrarse en evidencia de ejecución. No sucede nada significativo en un sistema sin algo en ejecución. El malware se ejecuta. Se ejecuta PowerShell. Se abusa de las herramientas nativas. Vivir de la tierra todavía deja huellas. Si comprende qué se ejecutó y cuándo, podrá comenzar a comprender la intención, el acceso y el movimiento.
A partir de ahí, el contexto importa. Eso podría significar a qué sistema se accedió en ese momento, quién se conectó al sistema o hacia dónde se movió la actividad a continuación. Esas respuestas no existen de forma aislada. Forman una cadena y esa cadena apunta hacia el medio ambiente.
El fracaso final es el cierre prematuro. En aras del tiempo, los equipos suelen cambiar la imagen de un sistema, restaurar los servicios y seguir adelante. Excepto que las investigaciones incompletas pueden dejar pequeños accesos que pasan desapercibidos. Implantes secundarios. Credenciales alternativas. Persistencia silenciosa. Un indicador sutil de compromiso no siempre se reactiva de inmediato, lo que crea la ilusión de éxito. Si resurge, el incidente parece nuevo cuando, en realidad, no lo es. Es el mismo que nunca fue remediado del todo.
Únase a nosotros en SANS DC Metro 2026
Los equipos que pueden lograr los momentos iniciales correctos permiten que las investigaciones difíciles sean más manejables. La respuesta eficaz a incidentes se trata de disciplina en condiciones de incertidumbre, que se aplica de la misma manera cada vez que surge una nueva intrusión. Sin embargo, es importante darse gracia. Nadie empieza bien en esto. Cada socorrista en quien usted confía hoy aprendió cometiendo errores y luego aprendiendo a no repetirlos la próxima vez.
El objetivo no es evitar los incidentes por completo. Eso no es realista. El objetivo es evitar cometer errores repetitivos bajo estrés. Eso sólo sucede cuando los equipos están preparados antes de que un incidente fuerce el problema. Porque cuando comprenden sus entornos, pueden practicar la identificación de la ejecución, la preservación de la evidencia y la ampliación del alcance de manera deliberada mientras aún hay poco en juego.
Cuando las investigaciones se manejan con ese nivel de disciplina, los primeros 90 segundos resultan familiares en lugar de frenéticos. Se formulan las mismas preguntas y las mismas prioridades guían el trabajo. Esa consistencia es lo que permite a los equipos moverse más rápido más adelante, con confianza en lugar de conjeturas.
Para los socorristas que experimentan estos desafíos en sus propias investigaciones, esta es exactamente la mentalidad y la metodología que se enseñan en nuestra clase SANS FOR508: Respuesta avanzada a incidentes, búsqueda de amenazas y análisis forense digital. Estaré enseñando FOR508 en Metro SANS DC del 2 al 7 de marzo de 2026, para equipos que quieran practicar esta disciplina y convertir los conocimientos en acción.
Nota: Este artículo ha sido escrito y contribuido de manera experta por Eric Zimmerman, instructor principal del Instituto SANS.