Contacto
Contactar por WhatsApp
Volver arriba
Las primeras 24 horas tras un ciberataque: crónica de un día que pone a prueba a la alta dirección

Share this post

Personajes Elena, CEO. Rubén, CISO. Claudia, DPO/Legal. Sergio, Dir. de Comunicación. Comité de Crisis, consejo y equipos implicados. 07:12 — La llamada —Elena, soy Rubén. Tenemos actividad anómala en CRM. Varias conexiones desde un rango que no es nuestro.—¿Impacto?—Potencial exposición de datos de clientes. Aún sin confirmar. Estoy activando contención. Elena cuelga, mira el calendario: […]

Personajes

  • Elena, CEO.

  • Rubén, CISO.

  • Claudia, DPO/Legal.

  • Sergio, Dir. de Comunicación.

  • Comité de Crisis, consejo y equipos implicados.

07:12 — La llamada

—Elena, soy Rubén. Tenemos actividad anómala en CRM. Varias conexiones desde un rango que no es nuestro.
—¿Impacto?
—Potencial exposición de datos de clientes. Aún sin confirmar. Estoy activando contención.

Elena cuelga, mira el calendario: reuniones, un desayuno con prensa, un comité de inversiones a mediodía. Todo salta por los aires. Marca un mensaje en el canal de dirección: “Incidente crítico. Sala de crisis en 15 minutos. Sin comunicaciones externas no validadas.”

Por qué importa (para el consejo): la velocidad de activación define el resto del día. Sin liderazgo explícito, cada área improvisa.

07:28 — Minuto 15: se enciende el reloj

—Prioridades —dice Elena—: contención, preservación de evidencias, inventario de datos potencialmente afectados y mapa de terceros. Sergio, pausa cualquier publicación programada. Claudia, abre expediente y prepara criterios de notificación.

Rubén bloquea accesos sospechosos, segmenta el entorno y congela cambios. Un técnico propone “reiniciar todo”. Rubén frena: antes, copias forenses y cadena de custodia.

Lo que hicieron bien: preservar evidencias antes de tocar sistemas.
Lo que habría sido fatal: comunicar deprisa y sin datos, o “apagar” sin rastro para investigar.

08:05 — Primer informe

—Hipótesis —expone Rubén—: acceso a través de un tercero con permisos de API. Datos potenciales: nombre, email, teléfono. Sin indicios de contraseñas ni tarjetas.
—Traducción —interviene Elena—: riesgo real de phishing/smishing. Necesitamos mensajes útiles y no alarmistas.

Claudia cruza categorías de datos con obligaciones legales y ventanas de notificación. Marca un cronograma: puntos de control cada 4 horas y borradores concretos para regulador y clientes, si procede.

Por qué importa: el lenguaje de negocio acelera decisiones del comité y reduce ruido.

09:10 — Consejo extraordinario (30’)

—Esto no es “cosa de TI” —abre Elena—. Es continuidad de negocio, reputación y cumplimiento.
—¿Qué queréis del consejo hoy? —pregunta la presidenta.

Rubén muestra un mapa de sistemas críticos, Claudia los umbral(es) de notificación, Sergio el plan de portavocía. Elena pide tres decisiones:

  1. Aprobación del plan de contención y comunicación.

  2. Derechos de auditoría sobre el proveedor sospechoso.

  3. Recursos para forense externo, si hiciera falta.

Lo que hicieron bien: el consejo aprueba y respalda en 30 minutos lo que, sin relato, habría tardado días.

11:20 — Empleados primero

—Mensaje interno —dice Sergio—: “Hechos, instrucciones y próximo parte a las 14:00.” Nada de especular.

Elena firma. El mensaje llega antes que los rumores. Se recuerda no reenviar capturas ni usar canales no corporativos. Se habilita un buzón para indicios: “si ves algo, repórtalo”.

Por qué importa: la plantilla es primer círculo de confianza y foco de fuga involuntaria si no se les guía.

12:45 — El tercero

—Confirmado —informa Rubén—. El acceso vino por un proveedor de marketing con API. Ya revocamos tokens. Estamos pidiendo logs y su registro de incidentes.
—Jurídico —responde Claudia—: ejecutamos cláusulas de seguridad y derecho de auditoría. Esto va a comité de proveedores.

Lo que hicieron bien: tratar a terceros como parte del perímetro. No es “culpa de otro”: el dato es propio, la responsabilidad también.

15:00 — Comunicación externa (si procede)

Borrador de preguntas y respuestas: qué pasó, qué sabemos, qué no sabemos, qué estamos haciendo y cuándo habrá nueva actualización. Nada de eufemismos.

—Regla de oro —recuerda Sergio—: transparencia útil. Lo que no se sabe, se dice. Lo que se sabe, se prueba.

Por qué importa: comunica para reducir daño futuro (phishing) y asegurar confianza, no para “quitar hierro”.

18:30 — Estabilización y monitorización

Los servicios críticos están segmentados y bajo vigilancia. No hay reinfecciones. El proveedor envía su cronología técnica y acepta la auditoría. Se agenda un simulacro de portavocía por si al día siguiente alguna filtración acelera los tiempos.

Lo que hicieron bien: controlar la curva de atención: mensajes cadenciados y canales oficiales.

22:10 — Preparar el Día 2

Claudia redacta plantilla de notificación a afectados (si finalmente procede). Rubén planifica scans de post-mortem y cierre de vulnerabilidades. Sergio deja listos mensajes “si–entonces”: si confirmamos impacto individual, pasos concretos; si no, resumen técnico y medidas reforzadas.

Por qué importa: cuando llegue el momento de comunicar, ya estará escrito y aprobado.

07:12 del Día 1 — Epílogo de 24 horas

Elena mira el reloj: han pasado exactamente 24 horas. No hay héroes solitarios ni magia. Hay gobernanza, un consejo formado y un equipo que habla el mismo idioma. La crisis no terminó, pero la empresa sigue operando, las evidencias están a salvo y el relato no lo marcan terceros.

Lección de dirección: lo que se entrena, sale. Lo que se improvisa, cuesta.

¿Te interesan nuestros cursos? Consúltanos para más información
Quiero informarme
Artículos relacionados
Guía de Debida Diligencia en Ciberseguridad para Consejos de Administración
  • Sin categoría

Los 25 puntos que un consejo debe verificar para dormir tranquilo Ser consejero hoy ya

Leer más
Ejecutivo frente a una nube digital que simboliza la falsa sensación de seguridad en la nube
La falsa sensación de seguridad en la nube
  • Seguridad Digital

Durante años, la nube ha sido presentada como el refugio definitivo frente a los riesgos

Leer más
Los primeros 30 días de un consejero ante el ciber-riesgo: qué mirar, qué preguntar y qué exigir
  • Sin categoría

Ser consejero hoy no es “saber de firewalls”. Es gobernar el ciber-riesgo como riesgo empresarial,

Leer más
Contáctanos para más información

Nuestros coordinadores académicos te guiarán y explicarán cualquier detalle de los cursos e iniciativas que tenemos en aesYc.

Ubicación
  • C/ Hermosilla nº38, 28001 Madrid
  • Metro: Velázquez, línea 4

Alianza Española de Seguridad y Crisis

Contacto
Síguenos en Linkedin

© 2025 aesYc | Todos los derechos reservados | Diseñado y desarrollado por Fénix Byte