Gracias al INTA por abrirnos sus instalaciones y a Infodefensa por impulsar esta jornada. Desde el máster de Ciberseguridad, de la Universidad Pontificia de Comillas (ICAI), es un placer poder colaborar con la industria y la administración pública. Gracias también a quienes han compartido su experiencia en la mesa: Cisco, EPICOM, Aicox Soluciones, Telefónica Tech y la Guardia Civil. Y, por supuesto, gracias a todos los asistentes por el nivel de las respuestas de la mesa.
La sesión se celebró el día 25 de Septiembre del 2025, en la sede del INTA, dentro de la jornada “De la Ciberinteligencia a la Resiliencia Tecnológica”. Participaron: Ángel Ortiz Álvarez (Cisco), Pilar Jiménez Vales (EPICOM), Carlos Alonso (Aicox Soluciones), José Luis Domínguez (Telefónica Tech) y Juan Salom Clotet (Guardia Civil).
Para ordenar el debate y sacar conclusiones prácticas, planteamos un caso guía: un proveedor crítico de check-in sufre un ransomware tras un engaño por correo a un ingeniero; se contamina la cadena automatizada de despliegue de software y la actualización nocturna deja fuera de juego varios componentes. Al amanecer, los kioscos no sincronizan: colas, conmutación al sistema local de control de salidas (DCS) y procedimientos manuales. El centro de operaciones de seguridad (SOC, con vigilancia 24×7) aísla tráfico hacia el proveedor, bloquea dominios maliciosos en el sistema de nombres de dominio (DNS), rota credenciales y reorganiza prioridades. Donde la red flaquea, se usa respaldo satelital. Los datos estaban cifrados, se preservan evidencias y, en 36–72 horas, se restaura desde copias inmutables y se reconstruye la cadena de publicación.
Con ese guion, pedimos respuestas concretas siguiendo el marco NIST (gobernar → identificar → proteger → detectar → responder → recuperar). La jornada fue muy útil y con aportaciones de mucho valor. A continuación podéis leer el resumen:
GOVERN — Gobernanza (quién decide y cómo)
La resiliencia empieza por saber quién manda y a quién se avisa en los primeros minutos. Nada de improvisar: umbrales de escalado, roles y teléfonos están definidos. La política de terceros deja de ser papel y pasa a ser práctica: auditorías técnicas con fecha, restauraciones ensayadas, separación estricta por cliente y evidencias de integridad del software. En paralelo, la plantilla de evidencias y la ruta de notificación a autoridades están acordadas, para no perder tiempo ni oportunidades investigadoras.
IDENTIFY — Identificar (mapa y dependencias reales)
Abrimos el mapa vivo de la casa: sistemas, personas, redes y, sobre todo, dependencias con proveedores. Señalamos las joyas de la corona (si caen, paramos) y decidimos qué señales mínimas necesitamos de cada una. Ese mapa permite aislar sin romper: si corto un enlace o un acceso, sé qué servicio afecto y qué plan alternativo tengo. Sin este mapa, cualquier contención es a ciegas.
PROTECT — Proteger (diseño que compra minutos)
El objetivo es evitar daños o reducirlos al mínimo. La red y las identidades están segmentadas de verdad, con mínimo privilegio y accesos de administración solo cuando hace falta y por el tiempo justo. El dato viaja y se guarda cifrado, con claves bien gestionadas. Las copias de seguridad son inmutables y se verifican. La cadena de publicación de software se firma, se valida su integridad y se despliega por fases; además, el proveedor mantiene entornos separados por cliente para que un fallo no se propague a todos.
DETECT — Detectar (ver antes, con menos ruido)
Aquí la ciberinteligencia aporta contexto y prioridades. Recogemos telemetría útil: actividad de equipos y servidores, eventos de identidad, registros de red y DNS, y trazas de la nube. Con esa base, enriquecemos y priorizamos alertas, y lanzamos búsquedas proactivas guiadas por tácticas conocidas de los atacantes. La meta es clara y medible: detectar en minutos, no en horas, y que lo detectado sea relevante de verdad para el servicio.
RESPOND — Responder (minuto a minuto, sin perder la prueba)
Los primeros 15 minutos están escritos y se han practicado: aislar el equipo o el segmento afectado, bloquear dominios maliciosos, rotar credenciales y activar el plan manual (DCS local, colas ordenadas, información al público). Al mismo tiempo, preservamos evidencias con sellos de tiempo y cadena de custodia, y comunicamos por los canales pactados con negocio y con el exterior. La consigna es avanzar rápido sin comprometer la investigación ni la seguridad jurídica.
RECOVER — Recuperar (volver a servicio y aprender)
Si la red tiembla, seguimos en modo degradado controlado: qué se mantiene en local, cuándo conmutamos a satélite y cómo guardamos los registros para enviarlos después. La reapertura no se hace “a ojo”: hay criterios de integridad y una verificación independiente antes de volver a producción. Y al cierre, un análisis sincero de lecciones aprendidas con acciones, responsables y fecha. La cadena de publicación se reconstruye desde material limpio, se refuerzan firmas e integridad y se revisa la separación por cliente.
Reflexión
La sesión dejó claro que la resiliencia no se improvisa. Requiere gobernanza que marque quién decide en los primeros minutos, mapas vivos de dependencias para aislar sin romper, diseño defensivo que compre tiempo (segmentación real, mínimo privilegio, cifrado y copias inmutables), detección con contexto para ver lo importante antes y con menos ruido, respuesta en minutos sin perder la prueba y una recuperación con criterios de integridad que cierre el ciclo con lecciones aplicadas. Todo ello con tiempos realistas, rutas de notificación acordadas y ejercicios que validen que, llegado el día, el servicio continúa.