Un servidor parece comprometido — ¿reiniciarlo o apagarlo soluciona el problema?
Respuesta breve
No. La mayoría de las intrusiones reales establecen persistencia (servicios, tareas programadas, claves de inicio, implantes) que sobrevive a un reinicio, así que el atacante simplemente vuelve. Peor aún, apagar borra las pruebas volátiles — procesos en ejecución, conexiones de red, malware en memoria y claves de cifrado — que necesitas para acotar el incidente. Lo correcto es contener aislando el host mientras se preserva la memoria, y luego investigar. Reiniciar o apagar como «solución» es un instinto dañino.
El instinto de «apagar y volver a encender» está profundamente arraigado en la informática. Frente a un compromiso se vuelve en tu contra dos veces: normalmente no elimina al atacante y destruye justo las pruebas que usarías para entender qué pasó.
Por qué un reinicio no expulsa al atacante
Los intrusos capaces no dependen de un único proceso en ejecución — establecen persistencia para sobrevivir exactamente al tipo de reinicio que te tienta hacer. Los mecanismos comunes incluyen:
- Servicios y tareas programadas que relanzan el implante al arrancar.
- Claves de registro Run y carpetas de inicio en Windows.
- Tareas cron, unidades systemd o scripts de init modificados en Linux.
- Suscripciones WMI, secuestros de DLL y bootkits para asideros más profundos.
Al reiniciar, todo eso vuelve a dispararse. El atacante regresa, a menudo antes de que termines de felicitarte. Un reinicio solo «ayuda» contra el raro implante puramente en memoria sin persistencia — y no puedes saber de antemano que sea ese el caso.
Por qué apagar dificulta el acotamiento
Peor que ineficaz, apagar es destructivo para la investigación. Un sistema en marcha guarda pruebas volátiles que desaparecen al cortar la corriente:
- Procesos en ejecución y sus relaciones padre-hijo.
- Conexiones de red activas, incluido el canal C2 en vivo.
- Malware inyectado, sin archivo, en memoria, que nunca tocó el disco.
- Claves de cifrado, datos descifrados y material de credenciales/portapapeles en RAM.
El orden de volatilidad dice capturar primero las pruebas más frágiles — la memoria antes que el disco. Apagar invierte eso, tirando la parte que a menudo guarda la respuesta.
Qué hacer en su lugar
Contener sin destruir:
- Aislar el host — sácalo de la red (o usa la contención de red del EDR) para que el atacante pierda alcance, manteniendo la máquina encendida.
- Capturar las pruebas volátiles — adquiere una imagen de memoria, luego recoge los artefactos de disco.
- Investigar y acotar — identifica persistencia, movimiento lateral y cuentas afectadas.
- Luego remediar — normalmente reinstalar la imagen, tras entender el alcance.
La conclusión para la entrevista
La respuesta fuerte es «aislar, preservar la memoria, investigar — no reiniciar». Recurrir a un reinicio o apagado revela que fallarías tanto en expulsar al atacante como en preservar las pruebas necesarias para acotar el incidente.
Posibles preguntas de seguimiento
- ¿Qué mecanismos de persistencia sobrevivirían a un reinicio, y cómo los cazarías?
- ¿Qué artefactos volátiles se pierden en el instante en que una máquina se apaga?
- ¿Cómo contiene el aislamiento de red a un host sin destruir las pruebas?