Respuesta al incidente en las primeras 168 horas: qué decide la recuperación

La recuperación de un incidente de seguridad no se decide cuando llega el perito, sino en los primeros sesenta minutos posteriores a su detección, cuando la mayoría de los responsables todavía no sabe que está dentro del reloj.

Quien ha estado en obra el tiempo suficiente conoce la diferencia entre un parte que se cierra en cuarenta y ocho horas y un expediente que se arrastra dieciocho meses. Esa diferencia rara vez está en la magnitud del daño material. Está en lo que se hizo, o no se hizo, durante la primera semana. Siete días, ciento sesenta y ocho horas, son el marco en el que un siniestro se convierte en un caso bien instruido o en una nota a pie de página de la siguiente nota de calificación crediticia. Lo que sigue no es un manual de buenas prácticas. Es la descripción de cómo se comporta, en la práctica, el reloj que empieza a correr cuando suena el teléfono.

La hora cero no es la hora del incidente

Conviene fijar el vocabulario antes de seguir. La hora cero no es el momento en que ocurre el incidente. Es el momento en que un responsable con capacidad de decisión sabe que ha ocurrido. Entre uno y otro pueden transcurrir minutos, horas o, en los casos peores, semanas enteras. Esa diferencia, técnica en apariencia, decide buena parte de la cobertura aseguradora posterior. Una intrusión detectada a las tres de la madrugada por un sistema automatizado, escalada al jefe de seguridad a las tres y cinco, y notificada al director de operaciones a las tres y diez, vive en un universo distinto al de un robo descubierto por el primer turno a las siete de la mañana, comunicado al encargado a las nueve y elevado a dirección al día siguiente. El siniestro físico es el mismo. La instrucción del expediente, no.

La razón es simple. Casi todas las pólizas, casi todos los protocolos de respuesta y casi todas las cadenas de notificación regulatoria asumen que el conteo empieza con el conocimiento efectivo. Si el conocimiento se distribuye mal, los plazos se distribuyen mal. Y los plazos, en seguros, no son recomendaciones. Son condiciones de la prestación. Quien notifica a su aseguradora pasadas las setenta y dos horas, en una póliza que exige veinticuatro, no discute condiciones, discute si hay póliza. La AEPD opera bajo una lógica equivalente para incidentes con datos personales, con su umbral de setenta y dos horas a contar desde el conocimiento del responsable. El INCIBE-CERT y, para operadores críticos, el CCN-CERT trabajan con cadencias propias que rara vez se conocen antes del primer incidente serio. Cuando se conocen ya en frío es tarde.

El primer error de la mayoría de organizaciones consiste en confundir la primera llamada con una llamada de aviso. No lo es. La primera llamada es una decisión jurídica. Activa un cronograma, fija una versión inicial de los hechos y deja un registro que el día siguiente, el siguiente comité y el siguiente perito leerán como punto de partida. Quien improvisa esa llamada paga durante meses la improvisación. Quien la tiene escrita, ensayada y atribuida a una persona concreta, con suplencia definida, ha hecho ya, sin saberlo, la mitad del trabajo de recuperación. El resto es ejecución sobre un guion, no creación bajo presión.

La cadena de notificación que decide la cobertura

La segunda decisión que ordena las primeras horas es la cadena de notificación. No la lista de teléfonos, que casi todos tienen. La cadena, es decir, la secuencia en la que se llama, qué se dice en cada llamada y qué se documenta de cada conversación. Una cadena mal pensada produce el efecto contrario al deseado, porque genera versiones divergentes del mismo hecho que después aparecerán, contradictorias, en el expediente del perito y en la carpeta del abogado de la contraparte.

La cadena útil contempla, como mínimo, cuatro destinatarios distintos con tiempos distintos. El primero es la dirección de la propia organización, no por jerarquía sino porque cualquier decisión posterior que comprometa recursos significativos requiere autorización. El segundo es la aseguradora, a través del canal que la póliza define como válido, que rara vez es el teléfono comercial del corredor y casi siempre es un número de siniestros que conviene tener guardado fuera de los sistemas que pueden estar afectados. El tercero es el regulador competente, que en función del sector y de la naturaleza del incidente puede ser la AEPD, el CNPIC, INCIBE-CERT, CCN-CERT, la autoridad sectorial correspondiente o, en su caso, el SSPC para incidentes con dimensión exterior relevante. El cuarto, y esto se olvida con frecuencia, es la propia plantilla y la cadena de mando interna, porque un incidente no comunicado internamente se filtra mal y deja a la organización a expensas de la versión que cualquier empleado decida dar a un periodista, a un cliente o a una contraparte contractual.

Lo crítico no es a quién se llama, que está más o menos resuelto en cualquier manual decente. Lo crítico es en qué orden y con qué contenido. Llamar primero al regulador antes que a la aseguradora compromete la posición de la aseguradora ante los hechos. Llamar primero a la prensa, aunque sea para adelantarse, compromete prácticamente todo. La regla práctica que ENISA y CCN-CERT han ido consolidando en sus guías es razonable: dirección, aseguradora y regulador en las primeras horas, con comunicación interna controlada en paralelo y comunicación externa diferida hasta que los hechos estén estabilizados. Una organización que invierte el orden vive después con esa inversión durante todo el procedimiento.

Hay un detalle que en frío parece menor y en caliente lo es todo: registrar cada llamada con hora, interlocutor, contenido y persona de la propia organización que la realizó. No para protegerse, aunque también, sino porque el perito, cuando llegue, reconstruirá el incidente a partir de ese registro. Si el registro existe, la reconstrucción es rápida. Si no existe, el perito reconstruye lo que puede, con los huecos que decida rellenar a su criterio, y rara vez ese criterio favorece al asegurado.

Preservación de pruebas antes de que la prisa las destruya

La tercera disciplina de las primeras horas es la preservación de pruebas. Aquí la presión natural de la organización trabaja en contra. La presión es restablecer la operación lo antes posible, limpiar, reparar, volver a producir. La disciplina es congelar, fotografiar, documentar antes de tocar. Ambas son legítimas. Ninguna es negociable. Lo que hay que hacer es ordenarlas en el tiempo correcto.

Un incidente físico, un robo, un sabotaje, un acto vandálico, tiene una escena. Esa escena es una prueba. Tocarla antes de documentarla equivale, en términos de instrucción, a destruirla. La documentación mínima en las primeras horas incluye fotografía amplia y de detalle, registro audiovisual desde varios ángulos, recogida de los soportes digitales que estaban en funcionamiento en el momento del hecho, sellado físico de áreas que vayan a ser objeto de peritaje y un acta interna firmada por al menos dos personas que describa el estado encontrado. Ninguno de estos pasos requiere medios extraordinarios. Todos requieren, eso sí, que alguien los tenga interiorizados antes del incidente. Improvisar la preservación de pruebas mientras se está en mitad del incidente produce pruebas inservibles, no por mala fe sino por desorden.

En el plano digital la cuestión es más delicada porque los plazos son más cortos y los soportes más volátiles. Los registros de un sistema atacado se sobrescriben con rapidez si no se aíslan. Los logs de un firewall caducan según la política de retención que casi nadie revisa hasta que los necesita. Las cámaras grabadas en bucle se reescriben en pocos días si nadie extrae la copia. La preservación digital tiene un componente técnico que conviene tener resuelto por contrato con un proveedor especializado, no improvisado el día del incidente. Tactical Management y los equipos forenses que colaboran con aseguradoras en España coinciden en una observación cualitativa: la mayoría de las pruebas digitales que se pierden en un incidente se pierden no por sofisticación del atacante, sino por torpeza del defensor en las primeras veinticuatro horas. Apagar el servidor que conviene aislar, reiniciar el sistema que conviene clonar, borrar el correo que conviene archivar. Errores cotidianos, irreversibles.

La preservación tiene además una dimensión contractual. Quien preserva, preserva para alguien. Para la aseguradora, para el perito, para el regulador, eventualmente para el juez. Cada uno de esos destinatarios tiene requisitos formales propios. Una cadena de custodia mal documentada convierte una prueba sólida en una prueba discutible. En un procedimiento contradictorio, la diferencia entre sólida y discutible es la diferencia entre cobrar y no cobrar.

El perito llega cuando ya ha pasado lo importante

El perito, en la mayoría de incidentes serios, no llega en las primeras horas. Llega entre el segundo y el quinto día, en función de la disponibilidad, de la complejidad y del calendario de la aseguradora. Esa demora no es un defecto del sistema. Es una característica. El perito necesita encontrar una escena estabilizada, una documentación coherente y unos interlocutores definidos. Si llega antes, encuentra caos y se va con una impresión que después es difícil corregir. Si llega cuando todo eso está dispuesto, trabaja rápido y emite un dictamen que cierra el expediente.

La pregunta operativa es por tanto qué hace la organización entre la hora cero y la llegada del perito. Lo que hace, si lo hace bien, es construir el dossier que el perito va a leer. Ese dossier tiene una estructura recurrente que conviene conocer en frío. Incluye un relato cronológico de los hechos con horas precisas y atribuciones nominales, el inventario de los daños materiales y operativos con valoración inicial y referencia a la documentación de soporte, la cadena de custodia de las pruebas físicas y digitales preservadas, las comunicaciones realizadas a aseguradora, reguladores y partes interesadas con sus correspondientes acuses, las medidas adoptadas para contener el incidente y para preservar la continuidad operativa, y la identificación de las personas de la organización autorizadas para interlocutar con el perito a lo largo del procedimiento.

Una organización que entrega al perito ese dossier en formato ordenado obtiene, casi sin excepción, un dictamen más favorable que la que le entrega una carpeta de notas sueltas. No porque el perito sea complaciente con quien le facilita el trabajo. Porque el dictamen del perito se construye a partir de hechos verificables, y los hechos verificables son los que están documentados. Lo no documentado, por cierto que sea en la cabeza de quien lo vivió, no existe en el expediente.

Hay además una asimetría interesante en la relación con el perito. El perito trabaja para la aseguradora, no para el asegurado, aunque su deber sea técnico y no comercial. La organización asegurada tiene derecho, y rara vez ejerce, a designar un perito propio que acompañe el proceso. En siniestros de cierta entidad esa designación cambia el resultado, porque obliga a la contradicción técnica y reduce el margen de interpretación unilateral. Unespa y la práctica de mercado en España aceptan con normalidad esta figura. Quien no la conoce no la usa. Quien la conoce y la usa, en incidentes de seguridad industrial de cierto calado, recupera entre un quince y un treinta por ciento más, según observaciones cualitativas del sector.

Las decisiones que sólo se pueden tomar antes

Buena parte de lo descrito hasta aquí tiene una característica común: no se puede improvisar. La cadena de notificación, los formatos de preservación, la lista de proveedores forenses, el manual de comunicación interna, la designación de perito propio, los contratos de continuidad con suministradores críticos. Todas son decisiones que sólo funcionan si están tomadas antes del incidente. Tomarlas durante el incidente es posible, pero es siempre peor. Más caro, más lento, menos coherente.

Esta es la razón por la que las primeras ciento sesenta y ocho horas se ganan o se pierden en los seis meses previos al incidente, no durante el incidente. Una organización que ha hecho los deberes en frío opera en caliente con una calma que sorprende a quien la observa desde fuera. No es talento. Es preparación. La misma preparación que un equipo de obra demuestra cuando el hormigón llega tres horas tarde y nadie pierde el día porque el plan B estaba escrito. Lo que en obra se llama oficio, en gestión de incidentes se llama protocolo. La etimología es distinta. La sustancia es la misma.

El argumento que recorre el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad" se aplica aquí sin necesidad de adaptación. La tecnología, la robótica de vigilancia, la analítica de vídeo, la sensórica integrada, reduce el tiempo entre el hecho y su conocimiento, que es la variable que más pesa en la respuesta posterior. Una intrusión detectada en milisegundos por un sistema combinado de sensórica y analítica, escalada automáticamente al operador y registrada con sello temporal verificable, llega al primer responsable humano con un paquete de información que antes habría requerido horas de reconstrucción. Esa diferencia, en términos de cobertura, de prima y de recuperación, no es menor. Es estructural. Quien la incorpora en su arquitectura de seguridad opera con un colchón que el resto no tiene.

Lo que permanece

Las primeras ciento sesenta y ocho horas de un incidente no son un período de gestión de crisis. Son un período de instrucción del expediente que decidirá la cobertura, la prima futura, la reputación y, en los casos peores, la continuidad de la propia organización. Quien las afronta sin guion las afronta perdiendo. Quien las afronta con un guion ensayado, con una cadena de notificación atribuida, con un protocolo de preservación interiorizado y con un dossier prepararado para el perito, las afronta ganando.

La diferencia entre ambas posiciones se construye antes, no durante. Por eso la respuesta correcta a "qué hago si tengo un incidente esta noche" no es un manual de respuesta a incidentes. Es una revisión honesta del estado de preparación en frío. Para quien quiera hacer esa revisión sin compromiso, la conversación confidencial de sesenta minutos del Camino I es el formato natural. Para quien sospeche que la preparación tiene huecos sistémicos, la auditoría de tres a cinco días del Camino II entrega un dossier que cubre, entre otras cosas, la arquitectura completa de respuesta a incidentes. Lo que no se puede es seguir confiando en que el próximo incidente llegará cuando uno esté preparado. Llega cuando llega. Lo único que la organización decide es en qué estado lo recibe.

Preguntas frecuentes

¿Qué pasa en la primera hora?

En la primera hora se fija la hora cero, es decir, el momento en que un responsable con capacidad de decisión toma conocimiento efectivo del incidente. Desde ese instante empiezan a correr los plazos contractuales con la aseguradora y los regulatorios con autoridades como AEPD, INCIBE-CERT o CCN-CERT, según el sector. La primera llamada activa una versión inicial de los hechos que condicionará todo el procedimiento posterior. Si esa llamada se improvisa, la organización paga la improvisación durante meses. Si está guionizada, ensayada y atribuida nominalmente, la mitad del trabajo de recuperación está hecho.

¿Quién es notificado?

La cadena útil contempla cuatro destinatarios con tiempos y contenidos distintos. Primero la dirección de la propia organización, porque cualquier decisión posterior con compromiso de recursos requiere autorización. Segundo la aseguradora, a través del canal formal que la póliza define, no del comercial. Tercero el regulador competente, que según el caso será AEPD, CNPIC, INCIBE-CERT, CCN-CERT o la autoridad sectorial pertinente. Cuarto la propia plantilla, con un mensaje controlado, para evitar que la versión de los hechos se filtre fuera de los cauces institucionales. El orden importa más que la lista.

¿Cómo se preservan pruebas?

La preservación se ordena en el tiempo correcto. Antes de tocar la escena, documentación fotográfica y audiovisual desde varios ángulos, recogida de soportes digitales en funcionamiento, sellado físico de las áreas afectadas y acta interna firmada por al menos dos personas. En el plano digital, aislamiento de sistemas comprometidos antes de reiniciarlos, extracción de logs antes de que se sobrescriban, clonado de soportes antes de manipularlos. La cadena de custodia se documenta desde el primer instante, con hora, persona y procedimiento. Una prueba sin cadena de custodia es una prueba discutible, y lo discutible no cobra en seguros.

¿Cuándo llega el perito?

El perito designado por la aseguradora llega habitualmente entre el segundo y el quinto día, según disponibilidad y complejidad. Esa demora no es un defecto, es una característica que la organización debe aprovechar para construir el dossier que el perito leerá. Incluye relato cronológico con horas y atribuciones nominales, inventario de daños con valoración inicial, cadena de custodia, comunicaciones realizadas con sus acuses, medidas de contención adoptadas e interlocutores autorizados. La organización asegurada puede designar perito propio, opción legítima que en siniestros de cierta entidad cambia el resultado del procedimiento por la vía de la contradicción técnica.