Triaje y contención con criterio forense: aislar equipos de la red sin apagarlos cuando la memoria RAM contiene evidencia volátil (procesos maliciosos, claves de cifrado, conexiones activas), y decidir qué se contiene primero según el impacto en negocio y en la investigación.
Qué es DFIR
DFIR (Digital Forensics and Incident Response) es la disciplina que une el análisis forense digital con la respuesta a incidentes: no solo detener el ataque, sino reconstruir con evidencias qué ha pasado, cómo y hasta dónde. El ciclo cubre triaje inicial, contención, adquisición de evidencias con cadena de custodia, análisis de disco, memoria, cloud y M365, reconstrucción del timeline del ataque —desde el acceso inicial hasta la exfiltración—, erradicación y recuperación verificada. La diferencia con una respuesta a incidentes "a secas" es el peso forense: cada conclusión se apoya en evidencia técnica defendible ante un juzgado, una aseguradora o un regulador, no en suposiciones del equipo de sistemas.
Por qué importa
Cuando una empresa sufre una brecha, la primera reacción suele ser restaurar servicio cuanto antes: formatear, reinstalar, cambiar contraseñas. Esa prisa destruye exactamente lo que después se necesita. Sin evidencias preservadas no se puede saber si el atacante mantiene persistencia, qué datos salieron ni cuándo entró; y sin esas respuestas la notificación a la AEPD bajo RGPD se hace a ciegas, la aseguradora de ciberriesgo puede rechazar el siniestro por falta de documentación y cualquier acción legal contra el atacante o un tercero negligente nace muerta. DFIR resuelve las dos necesidades a la vez: contiene el incidente con criterio técnico y produce un expediente probatorio —imágenes forenses, volcados de memoria, logs correlacionados, cadena de custodia— que sostiene decisiones de negocio, regulatorias y judiciales. Además, el análisis de causa raíz convierte el incidente en aprendizaje: sin un timeline completo del acceso inicial al impacto final, la organización parchea el síntoma y deja abierta la puerta por la que entraron. Con NIS2 y DORA exigiendo notificaciones en plazos de 24-72 horas con detalle técnico, improvisar ya no es una opción.
Puntos clave
Adquisición de evidencias con cadena de custodia: imágenes forenses de disco, volcados de memoria, exportación de logs y artefactos cloud, todo con hashes, sellado temporal y registro documentado de quién accede a qué. Sin cadena de custodia, la evidencia pierde valor probatorio.
Análisis multi-fuente: disco (artefactos de ejecución, ficheros borrados), memoria (malware sin fichero, credenciales), red y cloud (Azure AD/Entra, M365, logs de acceso). Los indicadores de compromiso extraídos alimentan la búsqueda en el resto del entorno.
Reconstrucción del timeline completo: acceso inicial (phishing, VPN sin MFA, vulnerabilidad expuesta), establecimiento de persistencia, movimiento lateral, escalada de privilegios y exfiltración. El timeline es el producto central del análisis forense.
Erradicación y recuperación verificada: eliminar todos los mecanismos de persistencia identificados, rotar credenciales comprometidas y validar con monitorización reforzada que el atacante no conserva acceso antes de dar el incidente por cerrado.
Informe defendible: conclusiones trazables a evidencia técnica concreta, redactadas para tres audiencias distintas —dirección, aseguradora/legal y equipo técnico— y utilizables en notificaciones regulatorias (RGPD, NIS2, DORA) o en un procedimiento judicial.
Ejemplo: Ransomware en una empresa industrial con seguro de ciberriesgo
Una empresa industrial de 300 empleados amanece con los servidores de producción cifrados y una nota de rescate. El equipo de IT quiere restaurar backups de inmediato, pero la aseguradora exige una investigación forense antes de aceptar el siniestro, y el DPO necesita saber en menos de 72 horas si hubo exfiltración de datos personales para decidir la notificación a la AEPD. Restaurar sin investigar significaría destruir la evidencia y responder "no lo sabemos" a ambos.
El equipo DFIR aísla los sistemas afectados preservando memoria, adquiere imágenes forenses de los servidores clave y analiza los logs de la VPN y del directorio activo. El timeline reconstruido muestra el acceso inicial doce días antes por una VPN sin MFA con credenciales compradas, movimiento lateral vía RDP, creación de una cuenta de administrador como persistencia y 40 GB exfiltrados a un servicio de almacenamiento externo antes del cifrado. Con esa evidencia, la empresa notifica a la AEPD con datos concretos, la aseguradora acepta el siniestro, se erradica la cuenta persistente que una restauración simple habría dejado viva y la recuperación se verifica con monitorización reforzada durante 30 días.
Errores habituales
- Formatear y restaurar antes de investigar. Recuperar servicio destruyendo la evidencia deja sin respuesta las preguntas de la aseguradora, del regulador y de la propia dirección, y suele dejar viva la persistencia del atacante en sistemas no restaurados.
- Apagar los equipos comprometidos por instinto. La memoria RAM contiene evidencia volátil crítica —malware sin fichero, claves de cifrado, sesiones activas— que se pierde con el apagado; lo correcto suele ser aislar de red y capturar memoria primero.
- Investigar con la cuenta de administrador de dominio habitual sobre los propios sistemas comprometidos. Si el atacante sigue dentro, ve la investigación en tiempo real y obtiene aún más credenciales privilegiadas.
- No documentar la cadena de custodia porque 'esto no va a llegar a juicio'. Cuando meses después la aseguradora disputa el siniestro o un afectado demanda, la evidencia sin custodia documentada vale poco o nada.
- Dar por cerrado el incidente cuando el servicio se restablece, sin verificar la erradicación. Los reataques a las semanas de un incidente 'resuelto' casi siempre usan la persistencia que nadie buscó.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Qué diferencia hay entre DFIR y respuesta a incidentes?
La respuesta a incidentes se centra en detectar, contener y recuperar el servicio. DFIR añade la dimensión forense: adquisición de evidencias con cadena de custodia, análisis de disco, memoria y cloud, y un timeline completo del ataque. El resultado no es solo un sistema recuperado, sino un expediente probatorio defendible ante la aseguradora, la AEPD o un juzgado, y una causa raíz verificada.
¿Cuándo conviene contratar un retainer DFIR en lugar de llamar cuando ocurra algo?
Un retainer garantiza SLA de respuesta —horas, no días—, un equipo que ya conoce el entorno y tarifas pactadas de antemano. Sin retainer, la empresa negocia contrato, precio y accesos en plena crisis, cuando cada hora de espera amplía el daño. Para organizaciones con requisitos NIS2 o DORA, o con seguro de ciberriesgo que exige capacidad de respuesta, el retainer suele ser la opción racional.
¿Qué hay que preservar en los primeros minutos de un incidente?
La regla general: aislar de la red sin apagar. Conviene preservar la memoria RAM de los equipos clave, los logs de los sistemas afectados y del perímetro (VPN, firewall, correo), y anotar con hora cada acción realizada. Evitar iniciar sesión con cuentas privilegiadas en máquinas comprometidas y no borrar ni 'limpiar' nada hasta que el equipo forense lo indique.
¿El análisis DFIR sirve para las notificaciones de RGPD, NIS2 o DORA?
Es prácticamente la única forma de cumplirlas con rigor. Estas normas exigen notificar en plazos de 24 a 72 horas con detalle sobre el alcance, los datos afectados y las medidas adoptadas. Sin investigación forense, la empresa notifica a ciegas y se expone a sanciones por notificación incompleta o inexacta. El informe DFIR aporta la evidencia técnica que sostiene cada afirmación ante el regulador.