Reinstalar equipos "para volver a la normalidad"
Recupera operación, pero puede eliminar evidencias críticas para identificar origen, alcance y responsabilidad.
Empresa y ciberincidente
Incidente digital en empresa: checklist de primeras 24 horas
En una crisis digital, la presión por "arreglarlo rápido" suele destruir información clave. Las primeras 24 horas marcan la diferencia entre una investigación sólida y una cadena de errores difícil de defender.
Publicado: 9 abril 2026 · Autor: Adrián Camero Esteban · Lectura: 7 min
Objetivo de las primeras 24 horas
La prioridad inicial no es producir un informe definitivo, sino controlar tres frentes al mismo tiempo: contención del riesgo, preservación de evidencia y coordinación de decisión legal/técnica. Si solo se atiende al frente operativo, suele perderse trazabilidad. Si solo se atiende a lo probatorio, el impacto puede crecer. La respuesta debe equilibrar ambos.
La regla práctica es simple: actuar rápido, pero dejando rastro verificable de cada decisión importante. Ese rastro será crítico si hay despido disciplinario, reclamación civil, denuncia penal o conflicto con proveedor.
Checklist operativo recomendado
- Activa un responsable de incidente: una voz de coordinación evita acciones contradictorias.
- Acota alcance inicial: qué sistemas, usuarios, cuentas y datos pueden estar afectados.
- Contén sin destruir: aislar no es borrar; evita "limpiezas" precipitadas.
- Congela evidencias clave: logs, buzones, endpoints y snapshots deben preservarse con trazabilidad.
- Documenta decisiones: quién decide, qué decide, por qué y a qué hora.
- Coordina legal y RRHH: especialmente si hay implicación de empleado o proveedor.
- Define comunicación interna: evita narrativas improvisadas que luego se contradigan.
Errores que vemos con frecuencia
Compartir hallazgos sin control
Mensajes internos desordenados crean versiones distintas de los hechos y empeoran el riesgo legal.
Esperar a denunciar para documentar
Cuando se documenta tarde, los huecos de cronología se vuelven difíciles de cerrar de forma creíble.
Qué resultados debe dejar el primer día
- Un mapa inicial del incidente y su posible impacto.
- Soportes y fuentes de evidencia preservadas con control de acceso.
- Cronología mínima de hechos y decisiones.
- Plan de siguientes 48-72 horas con responsables claros.
Si estás en medio de un incidente, no improvises la parte probatoria
Podemos ayudarte a definir una respuesta técnica y documental para proteger la operación y mantener evidencia útil si el conflicto escala a vía legal.