Al igual que los planes mejor trazados de ratones y hombres, incluso los planes de respuesta a incidentes de ciberseguridad mejor intencionados pueden salir mal. Cuando lo hacen, las consecuencias pueden ser desagradables, como han descubierto muchas organizaciones en los últimos años.
Una encuesta realizada en 2025 entre 1.700 profesionales de TI e ingeniería realizada por New Relic informó que las interrupciones de TI de alto impacto ahora conllevan un costo promedio de $2 millones por hora (aproximadamente $33.000 por minuto) y resultan en pérdidas anuales que promedian $76 millones por organización. Cuanto más se prolonga un incidente, mayores serán los daños. El «Informe sobre el costo de una vulneración de datos 2025» de IBM encontró que las vulneraciones contenidas en 200 días promediaron pérdidas de 3,87 millones de dólares, en comparación con 5,01 millones de dólares cuando la detección y la respuesta tardaron más.
El costo no es el único problema. Las organizaciones también pueden enfrentar tiempos de inactividad prolongados, sanciones regulatorias y daños a la reputación debido a incidentes de larga duración.
Cuando los planes de respuesta a incidentes fallan o no funcionan según lo previsto, las razones pueden ser complejas y variadas. Las causas van desde brechas en la coordinación del equipo, fallas imprevistas del sistema, inteligencia de amenazas inadecuada y atacantes que explotan vulnerabilidades previamente desconocidas.
Los analistas de seguridad señalaron a varios posibles culpables de las fallas del plan de respuesta a incidentes.
Planes complejos o vagos
Los planes mal redactados con casos de problemas y respuestas incompletos pueden obstaculizar los esfuerzos de respuesta a incidentes. Lo mismo ocurre con las listas de verificación demasiado detalladas que no se ajustan a la realidad o con tonterías de alto nivel sin pasos prácticos.
«He visto que algunos planes se vuelven demasiado técnicos y quedan obsoletos en el momento en que se completan», dijo Daniel Kennedy, analista de S&P Global Market Intelligence. «Algunos empiezan a leerse como un documento de política legal y, por lo tanto, las personas que tienen que ejecutar los pasos del plan no entienden lo que se supone que deben hacer».
La clave, según Kennedy, es desarrollar planes de respuesta a incidentes que funcionen bajo presión definiendo claramente quién hace qué. Los planes deben ser lo suficientemente técnicos para guiar las acciones, pero lo suficientemente claros para que los intervinientes comprendan sus funciones. Obtener la opinión de las partes interesadas y la aceptación de los altos directivos durante la planificación, aunque es difícil, vale la pena cuando ocurre un incidente real.
Funciones y responsabilidades poco claras
Pueden suceder cosas malas cuando nadie sabe quién está a cargo o qué se supone que deben hacer durante un incidente.
Los planes exitosos establecen jerarquías explícitas de toma de decisiones con acciones de respuesta previamente autorizadas que no requieren aprobación en tiempo real, dijo Mari DeGrazia, instructora certificada de SANS y directora de respuesta a incidentes en IDX.
«Los equipos saben exactamente quién puede autorizar el aislamiento de la red, el apagado del sistema o las comunicaciones externas sin esperar la aprobación ejecutiva durante los momentos críticos», dijo. «Esto incluye tener cosas como acuerdos legales prefirmados con firmas forenses, autoridades de gasto claras para recursos de emergencia y desencadenantes de escalada documentados que activan automáticamente capacidades de respuesta adicionales».
Kennedy agregó: «Un problema común ocurre cuando los altos directivos sin roles de respuesta a incidentes claramente definidos se involucran en una respuesta activa a incidentes, anulando los procedimientos establecidos y los pasos de respuesta previamente acordados. Esa persona generalmente tiene suficiente poder organizacional para hacer que la gente haga otras cosas, o puede exigir que la gente se detenga para responder sus preguntas, pero no ha invertido suficiente tiempo en conocer el plan que fue cuidadosamente escrito en mares en calma».
Aunque a menudo bien intencionada, dicha interferencia puede descarrilar todo un proceso de respuesta.
«Contar con un recurso de alto nivel, incluso de nivel C, que participe y apruebe los pasos de planificación cuidadosamente escritos puede superar este problema», afirmó Kennedy.
Herramientas y acceso inadecuados
Las fallas en el plan de respuesta a incidentes también pueden ocurrir cuando los socorristas carecen de las herramientas, credenciales o permisos necesarios para los sistemas críticos, especialmente cuando incluso unos pocos segundos pueden marcar una gran diferencia.
«Los planes de respuesta a incidentes frecuentemente suponen acceso a herramientas y tecnologías que pueden no estar configuradas, mantenidas o accesibles adecuadamente durante un incidente real», dijo Elvia Finalle, analista de Omdia, una división de Informa TechTarget. «Esto incluye sistemas de respaldo que no han sido probados, herramientas de monitoreo con brechas en la cobertura o sistemas de comunicación que dejan de estar disponibles durante el incidente».
Otra suposición es que el plan de respuesta a incidentes es el único plan que debe implementarse durante la respuesta a incidentes, dijo Finalle. Para minimizar las interrupciones, las organizaciones también deben tener sistemas de respaldo y contar con una forma segura de que las operaciones continúen con normalidad mientras se restaura el entorno original.
Los MSP y proveedores externos también pueden plantear problemas. «No siempre responden cuando se los necesita, o las empresas descubren que no tienen el acuerdo de nivel de servicio adecuado para la respuesta de emergencia», dijo DeGrazia. Por ejemplo, algunos MSP cobran mucho más por ayudar durante un incidente y fuera del horario de atención, lo que puede ser una sorpresa desagradable en una situación que ya es estresante.
Planes rígidos e inflexibles
La mayoría de los planes de respuesta a incidentes se redactan asumiendo condiciones ideales, señaló Finalle. En estos planes, el personal clave está siempre disponible, los sistemas funcionan según lo esperado y los recursos externos responden de inmediato. La vida real tiende a ser mucho más complicada e impredecible.
«La realidad ofrece lo contrario», dijo Finalle. «Los incidentes suelen ocurrir durante los fines de semana, días festivos o cuando los miembros clave del equipo no están disponibles. Los sistemas críticos no responden como está documentado, los canales de comunicación de respaldo no funcionan y las empresas forenses externas ya están comprometidas con otros clientes».
Los planes de respuesta a incidentes deben revisarse y actualizarse constantemente a medida que cambian los mecanismos de piratería, especialmente en el área de la IA.
Elvia Finalle, analista, Omdia
Si bien los planes de respuesta a incidentes suponen un entorno controlado, las infracciones crean caos y los socorristas descubren rápidamente que nada funciona según lo previsto.
Los planes de respuesta a incidentes se estructuran en torno a procesos metódicos, paso a paso, con tiempo para el análisis y la deliberación, dijo DeGrazia. Los incidentes reales comprimen los plazos de toma de decisiones a minutos en lugar de horas, al mismo tiempo que abruman a los respondedores con información de múltiples fuentes.
«Los equipos se encuentran tomando decisiones críticas de contención con información incompleta mientras administran docenas de actividades paralelas, una carga cognitiva que la mayoría de los planes no anticipan ni preparan a los equipos para manejar», dijo.
La inesperada falta de disponibilidad de una persona clave puede crear otra bola curva, señaló DeGrazia. «Las vacaciones, las bajas por enfermedad o simplemente estar inalcanzable pueden detener los esfuerzos de respuesta si el conocimiento no se documenta y distribuye», dijo. O podría ser el tiempo requerido para restaurar desde las copias de seguridad, más largo del planeado, o limitaciones repentinas de ancho de banda, restauraciones fallidas o cuellos de botella en el almacenamiento.
«Las empresas prueban sus copias de seguridad, pero rara vez prueban restaurar todo de una vez bajo presión», añadió DeGrazia.
Planes de respuesta nunca probados
Si los planes de respuesta a incidentes se quedan en los estantes acumulando polvo, existe una alta probabilidad de que no funcionen como se esperaba durante una emergencia real. De manera similar, un plan de respuesta a incidentes basado en una arquitectura antigua o un plan que no tenga en cuenta entornos de nube, fuerzas de trabajo remotas o cambios recientes en el sistema no será de mucha ayuda.
«Los planes de respuesta a incidentes deben revisarse y actualizarse constantemente a medida que cambian los mecanismos de piratería, especialmente en el área de la IA», explicó Finalle.
Los planes que se mantienen bajo presión se basan en un entrenamiento extenso y realista que crea memoria muscular para los equipos de respuesta. Las organizaciones con planes resilientes realizan ejercicios teóricos mensuales, simulaciones trimestrales con aislamiento real del sistema y simulacros anuales de incidentes a gran escala que incluyen pruebas de estrés de los canales de comunicación y los procesos de toma de decisiones.
«Esta práctica repetitiva garantiza que cuando la adrenalina se dispara durante un incidente real, los equipos ejecutan automáticamente los procedimientos sin vacilación ni confusión», dijo.
Sin embargo, muchas empresas no realizan ejercicios prácticos significativos, afirmó Kennedy. Y, cuando lo hacen, la alta dirección (las personas que desempeñarán papeles clave durante un incidente real) a menudo no participan en el recorrido práctico.
«Todo su objetivo es identificar las deficiencias del plan en un entorno simulado», añadió. «Las variables que surgen durante una respuesta real siempre son una bola curva y, por lo tanto, los planes deben abordar los grandes pasos, pero ser lo suficientemente flexibles como para permitir la toma de decisiones y las escaladas en el momento».
Falta de aportes multifuncionales
La respuesta eficaz a incidentes depende de un esfuerzo coordinado e interdisciplinario en toda la organización. Si bien las operaciones de seguridad y TI lideran la detección, contención y remediación de amenazas, la respuesta a incidentes va mucho más allá de las medidas técnicas. Por ejemplo, los equipos legales garantizan que se cumplan los requisitos de cumplimiento y notificación de infracciones, las comunicaciones y las relaciones públicas gestionan los mensajes internos y externos, y los líderes empresariales evalúan el impacto operativo. RR.HH. también podría verse involucrado si hay actividad interna o datos de los empleados implicados.
«Una de las razones más comunes por las que fallan los planes de respuesta a incidentes es la falta de aportes multifuncionales durante su desarrollo», dijo Finalle. «Los planes a menudo se crean en silos, generalmente por el equipo de seguridad, sin la participación adecuada de la infraestructura legal, de TI, la mesa de ayuda u otras partes interesadas clave».
¿Este resultado? Planes que no reflejan las realidades o limitaciones de esos equipos, lo que puede provocar fallas de respuesta durante un incidente real.
La falta de conciencia también agrava la situación. «El equipo de seguridad puede saber que existe un plan, pero otros miembros de la organización no», dijo Finalle. «Si las personas que se supone deben ejecutar el plan no están familiarizadas con él (o ni siquiera saben que existe), es poco probable que sea efectivo».
Ignorando el elemento humano
Un evento repentino de ciberseguridad obliga a los equipos de respuesta a incidentes a tomar decisiones de alto impacto bajo intensa presión y limitaciones de tiempo. En el calor del momento, esto podría provocar aversión al riesgo. «La gente puede dudar en actuar porque no quiere ser considerada responsable por tomar una decisión equivocada», dijo DeGrazia.
El momento de un incidente también puede afectar la respuesta. Por ejemplo, si un ataque ocurre fuera del horario laboral o durante el fin de semana, la respuesta podría retrasarse. Las organizaciones que requieren muchas horas de trabajo de los socorristas además de sus obligaciones laborales normales también corren el riesgo de agotamiento y errores evitables.
La cultura organizacional también impacta la efectividad de la respuesta a incidentes, dijo Andrew Braunberg, analista de Omdia. Por ejemplo, el apetito por el riesgo y el umbral de riesgo de una organización afectan significativamente la financiación, y la cultura puede alterar la estructura del equipo de respuesta a incidentes, por ejemplo, si el equipo es una parte integral del centro de operaciones de seguridad o es un equipo independiente.
Para evitar errores humanos, es fundamental tener un plan claro de respuesta a incidentes, dijo Braunberg, y garantizar que los miembros del equipo reciban la capacitación adecuada al respecto. La capacitación también incluye comunicar claramente el plan y probar el equipo, así como el plan. Esto debería incluir pruebas de penetración, ejercicios de mesa y equipos rojo, morado y azul, añadió.
Si un plan de respuesta a incidentes no se puede ejecutar en medio de una intrusión en el mundo real, es de poca utilidad. Al final, su valor radica en su capacidad para generar orden y calma para que los equipos puedan reaccionar cuando hay presión y hay mucho en juego.
Jaikumar Vijayan es un periodista de tecnología independiente con más de 20 años de experiencia galardonada en periodismo comercial de TI, especializándose en temas de seguridad de la información, privacidad de datos y ciberseguridad.
