Skip to content

Has confirmado un host comprometido. El negocio exige que se borre y vuelva a estar en línea en 10 minutos. ¿Qué defiendes?

Respuesta breve

Erradicar antes de entender el alcance deja al atacante persistir en sistemas que no has encontrado y simplemente volver. Caza rápido los IOC y las credenciales robadas por todo el parque, identifica cada host afectado y cada mecanismo de persistencia, y luego erradica en todas partes a la vez. Borrar un solo host es un juego de whack-a-mole que alerta al atacante mientras deja intactos sus otros puntos de apoyo. Un apagón total de internet de una semana es desproporcionado y daña al negocio. Borrar solo el archivo de malware ignora la persistencia, el movimiento lateral y las credenciales ya robadas.

Esta es una pregunta de presión: el negocio quiere el host borrado y en línea en diez minutos, y un respondedor junior cede. El movimiento sénior es resistir de forma constructiva — contener el host conocido, pero delimitar antes de erradicar, porque una erradicación prematura sobre una sola máquina es cómo las intrusiones se convierten en brechas recurrentes.

Por qué «delimitar primero» es la respuesta

Un solo host comprometido confirmado rara vez es toda la historia. Un atacante capaz probablemente se ha movido lateralmente, robado credenciales y plantado persistencia (tareas programadas, servicios, web shells, claves Run del registro, cuentas fraudulentas) en hosts que aún no has identificado. Si borras la única máquina conocida, alertas al atacante y simplemente vuelve por un punto de apoyo que nunca encontraste. Así que cazas primero los IOC y las credenciales robadas por todo el parque, mapeas cada host afectado y cada mecanismo de persistencia, y luego erradicas en todas partes en una acción coordinada — negándole al atacante un regreso silencioso.

Crucialmente, delimitar no significa dejar el host conocido activo: lo aíslas de inmediato para satisfacer la urgencia, y luego delimitas en paralelo. Eso le da al negocio su contención sin sacrificar una erradicación limpia.

Por qué fallan las otras opciones

  • Borrar y restaurar ahora — rápido pero a ciegas. Es whack-a-mole: quitas un nodo, alertas al adversario, y dejas sus otros puntos de apoyo y credenciales robadas plenamente utilizables. Volverá, a menudo más silencioso.
  • Cortar a toda la empresa de internet hasta la semana que viene — descabelladamente desproporcionado para un solo host confirmado. Inflige un daño enorme al negocio y no es necesario para contener una intrusión delimitada; el aislamiento dirigido hace el trabajo.
  • Borrar solo el archivo de malware — ignora la persistencia, el movimiento lateral y las credenciales ya robadas. El archivo es un síntoma; borrarlo deja la enfermedad.

Qué evalúa el entrevistador

Quiere un respondedor sénior capaz de resistir la presión del negocio y articular la disciplina de delimitar-luego-erradicar, paralelizando aislamiento con caza para que el negocio aún obtenga una contención rápida. Nombrar los ángulos de persistencia y credenciales — y la erradicación coordinada y simultánea — muestra que entiendes cómo los atacantes sobreviven a una remediación chapucera.

Posibles preguntas de seguimiento

  • ¿Cómo delimitas rápido sin dar al negocio un plazo abierto — qué puedes paralelizar?
  • ¿Qué artefactos de persistencia y movimiento lateral cazarías por todo el parque?
  • ¿Cómo aíslas el host conocido para satisfacer al negocio mientras terminas de delimitar?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.