Skip to content

¿Cuáles son las fases del ciclo de vida de la respuesta a incidentes y por qué importa el orden?

Respuesta breve

El modelo clásico es PICERL: Preparación, Identificación (detección), Contención, Erradicación, Recuperación y Lecciones aprendidas. El NIST lo agrupa como Preparación; Detección y análisis; Contención, erradicación y recuperación; y Actividad posterior al incidente. El orden importa porque debes delimitar y contener antes de erradicar, y solo recuperas una vez eliminada la amenaza, o reinfectas. Es un bucle, no una línea: las lecciones aprendidas realimentan la preparación.

Los entrevistadores preguntan esto para comprobar si tienes un modelo mental estructurado ante el caos. Durante un incidente real, la adrenalina empuja a saltarse pasos: borrar una máquina antes de entender el alcance, o restaurar copias antes de expulsar al atacante. Un marco con nombre mantiene al equipo disciplinado.

Los dos modelos comunes

El modelo PICERL de SANS detalla seis fases: Preparación, Identificación, Contención, Erradicación, Recuperación, Lecciones aprendidas. El NIST SP 800-61 las condensa en cuatro: Preparación; Detección y análisis; Contención, erradicación y recuperación; y Actividad posterior al incidente. Describen el mismo trabajo.

Por qué el orden es estructural

  • Preparación: todo lo que haces antes de la alarma: registro, playbooks, herramientas, retenedores de RI y ejercicios de mesa. La mayoría de los incidentes se ganan o pierden aquí.
  • Identificación/Detección: confirma que un incidente es real y delimita su alcance. No puedes combatir lo que no has mapeado.
  • Contención: detiene la hemorragia, a menudo dividida en corto plazo (aislar un host) y largo plazo (aplicar controles temporales mientras planificas). Contén antes de erradicar para que el atacante no se propague durante la limpieza.
  • Erradicación: elimina la causa raíz: malware, puertas traseras, cuentas comprometidas.
  • Recuperación: restaura los sistemas a producción y vigila la reinfección.
  • Lecciones aprendidas: captura lo ocurrido y realimenta las mejoras a la preparación.

Por qué importa

El ciclo es un bucle, no una lista de tareas. La mejor respuesta nombra las fases, explica por qué la contención precede a la erradicación y la recuperación, y subraya que la revisión posterior al incidente es donde una organización realmente mejora. Los entrevistadores buscan a alguien que trate la RI como un proceso repetible bajo presión.

Posibles preguntas de seguimiento

  • ¿Por qué se divide la contención en pasos a corto y largo plazo?
  • ¿Qué entra en la fase de «preparación» antes de cualquier incidente?
  • ¿Cómo realimentan las lecciones aprendidas al resto del ciclo?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.