Skip to content

Durante la prueba encuentras indicios de que un atacante REAL ya está dentro del entorno del cliente. ¿Y ahora qué?

Respuesta breve

Descubrir una intrusión activa es una emergencia fuera de banda: las reglas de enfrentamiento deben definir una ruta de escalada, así que invócala de inmediato, preserva las pruebas y evita contaminar un incidente en curso. Seguir probando puede interferir con el atacante real o destruir las pruebas que necesitan los respondedores. Intentar expulsar tú mismo al atacante queda fuera de alcance, es arriesgado y puede alertarlo. Esperar al informe final podría significar días de brecha continua y pérdida de datos.

Una prueba de penetración es un ejercicio planificado; una intrusión real y activa no lo es. En el momento en que encuentras indicadores genuinos de compromiso que no son tuyos, la situación pasa de la prueba a la respuesta a incidentes, y tus responsabilidades cambian en consecuencia.

Por qué detenerse, preservar y escalar es lo correcto

Un buen contrato de compromiso anticipa exactamente este escenario: las reglas de enfrentamiento designan un contacto de emergencia y una ruta de escalada fuera de banda. Invócala de inmediato. Detén la actividad que pueda sobrescribir registros o alterar los sistemas afectados, preserva lo que encontraste (notas, marcas de tiempo, indicadores) y traspasa al cliente para que active una respuesta a incidentes formal. La velocidad importa: cada hora que un atacante real permanece en el entorno puede significar más datos robados o más sistemas comprometidos. Tu trabajo es dar la alarma de forma limpia, no investigar ni combatir.

Por qué las demás opciones están mal

  • Seguir probando. Continuar arriesga chocar con la actividad del atacante, contaminar las pruebas y hacer imposible que los respondedores separen tus acciones de las suyas. «No es mi trabajo» ignora el deber de diligencia que debes a un cliente cuyos datos están activamente en riesgo.
  • Expulsar tú mismo al atacante. Queda fuera de tu alcance, es terreno para el que no estás capacitado y es peligroso: podrías alertar al atacante (que entonces destruiría datos o quemaría su acceso), corromper las pruebas forenses o tumbar sistemas. La expulsión es una operación de respuesta a incidentes coordinada, no una jugada en solitario.
  • Esperar al informe final. Guardarse una brecha activa durante días es indefendible. Garantiza la continuación del daño y os expone a ti y al cliente a graves consecuencias legales y de reputación.

Qué evalúa un entrevistador

Quiere verte reconocer un cambio de modo —de la ofensiva a la notificación de emergencia— y que sabes que las reglas de enfrentamiento ya deben contener el mecanismo de escalada. La señal es una escalada tranquila, rápida y consciente de las pruebas, no heroísmos.

Posibles preguntas de seguimiento

  • ¿Qué contacto y proceso predefinidos en las reglas de enfrentamiento cubren un incidente real inesperado?
  • ¿Cómo evitas contaminar las pruebas en cuanto sospechas de una intrusión en curso?
  • ¿Cómo distingues tu propia actividad de prueba de la del atacante real en los registros?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.