Skip to content

Un usuario informa que hizo clic en un enlace de un correo sospechoso y escribió su contraseña en la página. ¿Cuál es tu PRIMERA acción?

Respuesta breve

Asume que la contraseña ya está comprometida: fuerza un restablecimiento Y revoca las sesiones y tokens activos de la cuenta, porque un reset por sí solo no expulsa a un atacante que ya posee una sesión viva o un token de actualización. Luego caza inicios de sesión anómalos, solicitudes MFA, reglas de buzón y concesiones OAuth de la ventana de exposición. Borrar el correo o decirle al usuario que cambie la contraseña «la próxima vez» deja la cuenta abierta de par en par. Un análisis antivirus aborda el malware del endpoint, no las credenciales robadas en la nube.

Cuando un usuario admite que escribió su contraseña en una página de phishing, trata la credencial como ya en manos del atacante. La pregunta evalúa si entiendes que la apropiación de cuentas moderna rara vez se detiene con un solo cambio de contraseña — y que la velocidad de contención importa más que ordenar la bandeja de entrada.

Por qué el reset más la revocación de sesión es la respuesta

Un restablecimiento cierra una puerta, pero los atacantes que phishean credenciales a menudo se autentican de inmediato y obtienen una cookie de sesión o un token de actualización OAuth. Esos tokens sobreviven al cambio de contraseña. Por eso debes hacer ambas cosas: restablecer la contraseña y revocar las sesiones/tokens activos (cierre de sesión en todas partes, revocación de tokens, reautenticación forzada). Solo entonces cazas — revisa los registros de inicio de sesión (viaje imposible, IP nuevas), busca reglas de reenvío recién creadas, consentimientos de aplicaciones OAuth y registros MFA añadidos durante la ventana del atacante.

Por qué las otras opciones son peligrosas

  • Borrar el correo y seguir adelante — esto trata el cebo, no la brecha. La credencial ya se fue; limpiar el buzón no hace nada contra el acceso del atacante.
  • «Cámbiala la próxima vez que inicies sesión» — cada hora de retraso es tiempo de permanencia regalado. El atacante puede modificar la configuración de recuperación, exfiltrar correo o pivotar antes del siguiente inicio de sesión.
  • Ejecutar un análisis AV completo y esperar — el antivirus caza malware en el portátil. Este incidente trata de credenciales en la nube robadas, no necesariamente de una infección. Esperar el análisis quema la ventana crítica de contención mientras la cuenta sigue siendo explotable.

Qué evalúa el entrevistador

Quiere ver que separas la compromisión del endpoint de la compromisión de la identidad y eliges el control correcto. El buen candidato nombra la acción doble (reset y invalidación de sesión/token) y luego pasa al alcance: ¿qué tocó el atacante y estableció persistencia vía MFA o reglas de buzón? Ese criterio — contener la identidad primero, investigar después — es el núcleo de la respuesta al phishing de credenciales.

Posibles preguntas de seguimiento

  • Un atacante registró su propio dispositivo MFA durante la sesión. ¿Cómo lo detectaría tu flujo de restablecimiento?
  • ¿Qué registros consultarías para delimitar lo que hizo el atacante con las credenciales robadas?
  • ¿Cómo cambian los tokens de sesión y los tokens de actualización OAuth tu contención más allá de un restablecimiento de contraseña?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.