Muchas fallas en la respuesta a incidentes no se deben a la falta de herramientas, inteligencia o habilidades técnicas. Provienen de lo que ocurre inmediatamente después de la detección, cuando la presión es alta y la información es incompleta.

He visto a los equipos de IR recuperarse de intrusiones sofisticadas con telemetría limitada. También he visto a equipos perder el control de las investigaciones que deberían haber podido llevar a cabo. La diferencia suele aparecer pronto. No horas después, cuando se fijan los plazos o se escriben los informes, sino en los primeros momentos después de que el respondedor se da cuenta de que algo anda mal.

Esos primeros momentos se describen a menudo como los primeros 90 segundos. Sin embargo, si se toma demasiado literalmente, ese encuadre no entiende el punto. No se trata de reaccionar más rápido que un atacante ni de precipitarse a la acción. Se trata de establecer la dirección antes de que las suposiciones se endurezcan y las opciones desaparezcan.

Los socorristas toman decisiones discretas de inmediato, como qué analizar primero, qué conservar y si tratar el problema como un problema único del sistema o como el comienzo de un patrón más amplio. Una vez que se toman esas decisiones iniciales, dan forma a todo lo que sigue. Comprender por qué son importantes esas decisiones (y hacerlas bien) requiere repensar lo que representan los «primeros 90 segundos» de una investigación real.

Los primeros 90 segundos son un patrón, no un momento

Uno de los errores más comunes que veo es tratar la fase inicial de una investigación como un hecho único y dramático. La alerta se activa, el reloj se pone en marcha y los socorristas la manejan bien o no. No es así como se desarrollan los incidentes reales.

Los «primeros 90 segundos» ocurren cada vez que cambia el alcance de una intrusión.

Se le notifica acerca de un sistema que se cree que está implicado en una intrusión. Usted accede a él. Tú decides qué es lo que importa, qué preservar y qué puede revelar este sistema sobre el resto del medio ambiente. La misma ventana de decisión se abre de nuevo cuando se identifica un segundo sistema y, a continuación, un tercero. Cada uno restablece el reloj.

Aquí es donde los equipos suelen sentirse abrumados. Observan el tamaño de su entorno y asumen que se enfrentan a cientos o miles de máquinas a la vez. En realidad, se enfrentan a un conjunto de sistemas mucho más pequeño a la vez. El alcance crece de forma gradual. Una máquina lleva a otra, luego a otra, hasta que empieza a surgir un patrón.

Los respondedores fuertes no reinventan su enfoque cada vez que eso sucede. Aplican la misma disciplina inicial cada vez que tocan un sistema nuevo. ¿Qué se ejecutó aquí? ¿Cuándo se ejecutó? ¿Qué pasó a su alrededor? ¿Quién o qué interactuó con él? Esa consistencia es lo que permite que Scope crezca sin perder el control.

Esta es también la razón por la que las decisiones tempranas son tan importantes. Si los equipos de respuesta tratan el primer sistema afectado como un problema aislado y se apresuran a «solucionarlo», cierran la investigación en lugar de investigar una intrusión. Si no consiguen conservar los artefactos correctos a tiempo, dedican el resto de la investigación a hacer conjeturas. Esos errores pueden agravarse a medida que se amplía el alcance.

Cómo se obstaculizan las investigaciones

Cuando las primeras investigaciones salen mal, es tentador culpar a la capacitación, las dudas o la mala comunicación. Estos problemas aparecen, pero por lo general son síntomas, no causas fundamentales. El error más constante es que los equipos no comprenden suficientemente bien su propio entorno cuando comienza el incidente.

Los respondedores se ven obligados a responder preguntas básicas bajo presión. ¿De dónde salen los datos de la red? ¿Qué registros existen en los sistemas críticos? ¿Hasta dónde se remontan los datos? ¿Se conservaron o se sobrescribieron? Esas preguntas ya deberían tener respuestas. Cuando no las tienen, los respondedores terminan aprendiendo los componentes críticos de su entorno cuando ya es demasiado tarde.

Esta es la razón por la que el registro que se inicia después de una detección es tan perjudicial. La visibilidad hacia adelante sin un contexto hacia atrás limita lo que se puede probar. Aún puedes reconstruir partes del ataque, pero cada conclusión se vuelve más débil. Las brechas se convierten en suposiciones y las suposiciones en errores.

Otro error común es la priorización de la evidencia. Al principio, todo parece importante, por lo que los equipos saltan de un artefacto a otro sin un ancla clara. Eso crea actividad sin progreso. En la mayoría de las investigaciones, la forma más rápida de recuperar la claridad es centrarse en evidencia de ejecución . No ocurre nada significativo en un sistema sin que algo se ejecute. El malware se ejecuta. PowerShell se ejecuta. Se abusa de las herramientas nativas. Vivir de la tierra aún deja huellas. Si entiendes qué se ejecutó y cuándo, puedes empezar a entender la intención, el acceso y el movimiento.

A partir de ahí, el contexto importa. Esto podría significar a qué sistema se accedió en ese momento, quién se conectó al sistema o a dónde se trasladó la actividad después. Esas respuestas no existen de forma aislada. Forman una cadena, y esa cadena apunta hacia el exterior, hacia el medio ambiente.

El fracaso final es el cierre prematuro. En aras del tiempo, los equipos suelen cambiar la imagen de un sistema, restaurar los servicios y seguir adelante. Con la salvedad de que las investigaciones incompletas pueden dejar pequeños accesos inadvertidos. Implantes secundarios. Credenciales alternativas. Persistencia silenciosa. Un indicador sutil de compromiso no siempre se reaviva de inmediato, lo que crea la ilusión de éxito. Si reaparece, el incidente parece nuevo cuando, en realidad, no lo es. Es el mismo que nunca se solucionó por completo.

Únase a nosotros en SANS DC Metro 2026

Los equipos que pueden aprovechar los momentos iniciales adecuados permiten que las investigaciones difíciles sean más manejables. La respuesta eficaz a los incidentes se basa en la disciplina en situaciones de incertidumbre, y se aplica de la misma manera cada vez que se produce una nueva intrusión. Sin embargo, es importante que te des gracia. Nadie empieza bien en esto. Todos los socorristas en los que confías hoy aprendieron cometiendo errores y aprendiendo a no repetirlos la próxima vez.

El objetivo no es evitar los incidentes por completo. Eso no es realista. El objetivo es evitar cometer errores repetitivos bajo estrés. Esto solo ocurre cuando los equipos están preparados antes de que un incidente provoque el problema. Porque, cuando comprenden su entorno, pueden practicar la identificación de las ejecuciones, la conservación de las pruebas y la ampliación deliberada del ámbito de aplicación, aunque todavía hay poco en juego.

Cuando las investigaciones se llevan a cabo con ese nivel de disciplina, los primeros 90 segundos resultan familiares en lugar de frenéticos. Se hacen las mismas preguntas y el trabajo se guía por las mismas prioridades. Esa coherencia es lo que permite a los equipos avanzar más rápido en el futuro, con confianza en lugar de conjeturas.

Para los socorristas que experimentan estos desafíos en sus propias investigaciones, esta es exactamente la mentalidad y la metodología que se enseñan en nuestro SANS FOR508: clase de respuesta avanzada a incidentes, búsqueda de amenazas y análisis forense digital . Enseñaré FOR508 en Sistema metropolitano SANS DC del 2 al 7 de marzo de 2026, para los equipos que quieran practicar esta disciplina y convertir las ideas en acción.

Regístrese para SANS DC Metro 2026 aquí .

Nota: Este artículo ha sido escrito y contribuido por expertos Eric Zimmerman , Instructora principal del Instituto SANS.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.