En un panorama donde el ciberfraude y los ataques digitales crecen a doble dígito cada año, tener un plan no es opcional: es obligatorio si quieres sobrevivir y mantener la confianza de clientes y proveedores.
Este protocolo ofrece pasos claros, roles definidos y tiempos de actuación para minimizar daños, recuperar sistemas y cumplir con las obligaciones legales.
Objetivo del protocolo
- Detectar incidentes de seguridad digital rápida y eficazmente.
- Contener y mitigar el impacto en el menor tiempo posible.
- Preservar evidencias para facilitar la investigación y la recuperación de fondos.
- Cumplir con las leyes y normativas vigentes en España y la UE (incluyendo RGPD).
Roles y responsabilidades
| Rol | Responsabilidad |
| Responsable de Seguridad (CISO interno o asignado) | Coordinar toda la respuesta, tomar decisiones críticas. |
| Equipo Técnico | Contención, análisis forense y restauración de sistemas. |
| Responsable de Comunicación | Gestionar la información interna y externa. |
| Equipo Legal / Compliance | Relación con autoridades, revisión de obligaciones legales y contractuales. |
| Usuarios/Empleados | Reportar incidentes inmediatamente siguiendo el canal oficial. |
Fases del Protocolo
1️⃣ Detección y clasificación
- Acción: Cualquier empleado que detecte un correo sospechoso, movimiento bancario extraño o actividad inusual lo reportará en menos de 5 minutos al canal interno designado (correo de seguridad o línea directa interna).
- Herramientas sugeridas gratuitas:
- Microsoft 365 Alertas
- Google Workspace Admin Console
- Antivirus con logs en tiempo real (Sophos Home, Avast)
2️⃣ Contención inmediata (0-15 minutos)
- Desconectar el equipo afectado de la red (WiFi / cable).
- Bloquear accesos comprometidos y forzar cambio de contraseñas.
- Suspender transacciones o pagos sospechosos.
3️⃣ Preservación de evidencias (15-30 minutos)
- Guardar todos los correos, archivos, capturas de pantalla y registros del sistema.
- Usar discos externos o almacenamiento seguro cifrado (p. ej., VeraCrypt o Cryptomator).
- No modificar ni manipular los datos originales.
4️⃣ Notificación a autoridades (30-60 minutos)
- Contactar con:
- INCIBE: 017 (24/7)
- Guardia Civil: Grupo de Delitos Telemáticos o Equipo @
- Policía Nacional: Brigada de Investigación Tecnológica
- Facilitar evidencias ordenadas y claras para agilizar la investigación.
5️⃣ Comunicación interna y externa (1-2 horas)
- Informar a dirección y empleados implicados.
- Si afecta a clientes o proveedores, preparar comunicación oficial evitando el pánico y explicando medidas correctivas.
6️⃣ Erradicación y recuperación (2-48 horas)
- Eliminar malware o accesos maliciosos detectados.
- Restaurar sistemas desde copias de seguridad verificadas.
- Actualizar parches de seguridad y configuraciones.
7️⃣ Lecciones aprendidas y prevención continua
- Analizar qué falló y qué se hizo bien.
- Actualizar el protocolo y reforzar formación.
- Realizar simulacros cada 6 meses.
Checklist rápido para colgar en la oficina
✅ Desconectar equipo afectado
✅ Llamar al banco para bloqueo inmediato
✅ Cambiar contraseñas desde equipo limpio
✅ Guardar todas las pruebas
✅ Avisar a responsable de ciberseguridad
✅ Contactar a autoridades e INCIBE
Formato descargable y editable
Este protocolo puede integrarse en:
- Manual interno de seguridad.
- Formación de bienvenida para nuevos empleados.
- Contratos con proveedores (anexo de ciberseguridad).
Un protocolo no es solo un documento, es un plan vivo que necesita ser ** conocido por todos**, practicado e integrado en la cultura de la empresa. La diferencia entre perder miles de euros o salvar el negocio puede depender de qué tan rápido y coordinado actúes.
