Saltar al contenido principal
Volver a guías
Incidentes

Reportar un incidente: qué decir y a quién

Reportar rápido reduce el coste de cualquier incidente. Esta guía explica cuándo levantar la mano, a quién, con qué información y por qué no es ningún problema reportar algo que al final no era nada.

Para: Todo el equipo

Contenido

Reglas de oro

  1. Mejor reportar de más que de menos. No vas a meterte en líos por avisar — vas a evitar problemas. El equipo de seguridad prefiere mirar 10 cosas que resultan ser nada, que enterarse 24 horas tarde de algo que sí era.
  2. Reportar es responsabilidad colectiva, no error individual. Si hiciste clic, también reporta. La pregunta no es "¿he sido tonto?", es "¿qué hay que hacer ahora?".
  3. Rapidez > pulcritud. Mejor un mensaje urgente con datos sueltos que un correo perfecto que llega 4 horas tarde.

Cuándo reportar (no exhaustivo)

  • Correo / SMS / llamada sospechosos dirigidos a ti o a la organización.
  • Has hecho clic en un enlace sospechoso o introducido credenciales.
  • Alerta de MFA que no has solicitado.
  • Comportamiento extraño del ordenador o el móvil: lentitud, ventanas que aparecen, antivirus que se desactiva, archivos modificados o cifrados.
  • Has perdido un dispositivo, una llave física o una tarjeta.
  • Has compartido datos sensibles por error con la persona equivocada.
  • Has visto algo raro: un compañero accediendo a recursos que no le corresponden, un proveedor pidiendo cambios bancarios inusuales, una nota en la oficina con contraseñas a la vista.

A quién

Depende de la organización. Normalmente:

  • Canal interno definido: seguridad@empresa.tld, ticket en helpdesk, mensaje al equipo de IT.
  • Manager directo si no estás seguro de cuál es el canal de seguridad.
  • Botón "Reportar phishing" del cliente de correo si es un correo concreto.

Si en tu organización no está claro, pregunta hoy quién es la persona a contactar antes de que pase algo.

Qué información dar

  • Qué ha pasado, en una frase.
  • Cuándo (hora aproximada).
  • Qué dispositivo estaba involucrado (portátil corporativo, móvil personal, etc.).
  • Si has hecho clic o introducido datos, sé claro sobre qué exactamente.
  • Capturas o reenvío: en el caso de correos, reenvía con cabeceras completas o reporta desde el cliente.

No necesitas hacer un análisis técnico, eso ya lo hará seguridad.

Mientras te responden

  • Si introdujiste credenciales: cámbialas inmediatamente desde otro equipo, en todos los sitios donde uses la misma.
  • Si sospechas malware en el equipo: desconecta la red (cable o WiFi off), no toques más.
  • No reenvíes el correo sospechoso a otros compañeros para preguntar — solo a seguridad.
  • No borres el correo original.

Después

Un buen equipo de seguridad comparte el aprendizaje sin culpar a la persona. Si pasa algo y todos lo sabemos, todos aprendemos. Cultura > castigo.