Cargando...
Cargando...
Usamos cookies para mejorar tu experiencia y medir el rendimiento del sitio. Puedes elegir exactamente que categorias aceptar. Aviso de Privacidad

En resumen
Descubre por qué una estrategia de ciberseguridad debe integrar a las áreas Legal y Tecnología para proteger la evidencia, gestionar riesgos y responder ante un incidente.
¿Qué vas a aprender en este artículo?
Cuando ocurre un ciberataque, la primera reacción de muchas organizaciones es eminentemente técnica: desconectar equipos, apagar servidores, bloquear accesos y eliminar cualquier archivo que pueda representar una amenaza.
El problema aparece cuando, en medio de la urgencia, alguien toma una decisión aparentemente lógica, pero potencialmente desastrosa: borrar todo.
Durante su participación en el encuentro de ciberseguridad organizado por ISDI México, Elizabeth Tenorio, especialista de Digital Justice, explicó por qué una respuesta técnica que no considere las implicaciones legales puede aumentar considerablemente el impacto de un incidente.
“Lo primero que queremos hacer es borrar todo. Cuando hacemos esto, perdemos la trazabilidad del incidente y ya no sabemos de dónde vino”.
Eliminar información sin seguir un procedimiento adecuado puede destruir evidencia, impedir la reconstrucción del ataque y dejar a la organización sin elementos para responder ante una auditoría, una autoridad o un eventual proceso judicial.
La ciberseguridad, por tanto, no puede entenderse únicamente como una responsabilidad del área de Tecnología. Es también un asunto de cumplimiento, gobierno corporativo, gestión de riesgos, protección de datos y responsabilidad legal.
Incorporar al área legal en una estrategia de ciberseguridad no significa llamar a un abogado cuando el incidente ya ocurrió. La participación debe comenzar mucho antes.
Los equipos legales necesitan comprender cómo funcionan los controles tecnológicos de la organización, qué políticas existen, cómo se administran los accesos y qué procedimientos se activan ante una vulneración.
Elizabeth fue especialmente clara sobre esta necesidad:
“Los abogados tienen que conocer los estándares ISO 27001, la gestión de riesgos, las políticas, la gobernanza y la forma en que el área tecnológica maneja sus controles y procedimientos. Si no, Tecnología va a preguntarse: ‘¿Para qué le hablo al abogado si realmente no me va a servir?’”.
La colaboración entre Tecnología y Legal requiere un lenguaje compartido. El abogado no necesita convertirse en ingeniero, pero sí debe entender los conceptos básicos que le permitan evaluar riesgos, formular las preguntas correctas y acompañar las decisiones durante una crisis.
Del mismo modo, el equipo técnico debe conocer las implicaciones legales de sus acciones. Una decisión que parece adecuada desde la operación puede ser contraproducente desde el punto de vista regulatorio o probatorio.
Los principios de confidencialidad, integridad y disponibilidad de la información son la base de numerosos estándares de ciberseguridad. Sin embargo, también están presentes, de distintas maneras, en la legislación aplicable a las empresas.
La confidencialidad implica evitar que personas no autorizadas accedan a la información. La integridad garantiza que los datos no sean modificados indebidamente. La disponibilidad busca que la información y los sistemas puedan utilizarse cuando sean necesarios.
Cuando alguno de estos principios se vulnera, la organización no enfrenta solamente un problema tecnológico. Puede enfrentarse también a:
Por eso, la estrategia de ciberseguridad debe contemplar desde el principio las obligaciones legales asociadas a la información que administra la empresa.
No todos los ataques se originan dentro de la organización. En muchas ocasiones, la puerta de entrada es un proveedor que tiene acceso a información, plataformas o sistemas corporativos.
“Probablemente ninguno de nuestros procesos tuvo un error. Probablemente fue un proveedor”.
Esta posibilidad obliga a revisar cómo se regula la relación con terceros. No basta con solicitar un acuerdo de confidencialidad como un requisito administrativo que se firma y se archiva.
Los contratos deben establecer con claridad:
“Los acuerdos de confidencialidad no son llamados a misa. Los tenemos que hacer desde el primer momento para asegurar nuestra información”.
También es necesario establecer obligaciones de notificación. Cuando un proveedor sufre una vulneración que afecta información de la empresa, debe comunicarla oportunamente y proporcionar los elementos necesarios para investigar el incidente.
Sin estas condiciones, la organización puede enterarse demasiado tarde o no contar con la información suficiente para responder correctamente.
Una investigación de ciberseguridad no consiste solamente en identificar el archivo malicioso o cerrar la vulnerabilidad utilizada por el atacante.
También debe documentar:
Por eso es fundamental preservar la evidencia y mantener una adecuada cadena de custodia.
“Cada vez que un perito acuda a sus oficinas, es importante que haga una cadena de custodia. Puede parecer que hay un policía ahí, pero todo eso asegura la trazabilidad”.
La cadena de custodia permite demostrar que la información fue recolectada, almacenada y analizada sin alteraciones. Debe dejar constancia de quién obtuvo la evidencia, bajo qué permisos, a quién se entregó y qué procedimientos se siguieron.
Aunque la empresa decida inicialmente no presentar una denuncia, esta documentación puede ser necesaria posteriormente.
Una autoridad fiscal, un regulador, un auditor, un cliente o incluso un juez pueden solicitar explicaciones sobre el incidente. En ese momento no será suficiente responder que el equipo técnico revisó los sistemas y solucionó el problema.
Las preguntas serán mucho más específicas:
Elizabeth explicó que los equipos deben estar preparados para responder estas preguntas con el mismo rigor con el que se prepararía una declaración ante un tribunal.
“Todo eso lo preparamos literalmente como si fuera un juicio oral. La finalidad del auditor o del abogado será cuestionar a la persona que está ahí”.
Sin documentación, trazabilidad y criterios previamente definidos, incluso una respuesta técnica exitosa puede terminar convirtiéndose en un problema legal.
Uno de los errores más frecuentes es considerar que la crisis terminó en cuanto se restableció la operación.
Sin embargo, las implicaciones de un ciberataque pueden extenderse durante meses o incluso años. Después de contener el incidente, la organización debe:
“Cuando dejamos olvidada la parte legal, ya no llegamos al post mortem ni al postincidente para conocer las implicaciones que pueden aparecer tres meses o incluso un año después”.
El análisis posterior no debe convertirse en un ejercicio para buscar culpables. Su objetivo es comprender qué falló y qué necesita cambiar para evitar que el incidente vuelva a ocurrir.
Los marcos de gobernanza ayudan a definir responsabilidades, procedimientos de decisión y mecanismos de supervisión. Sin embargo, para que sean efectivos, deben estar alineados con las políticas tecnológicas y con las obligaciones legales de la organización.
“Todos los marcos de gobernanza apoyan la parte legal y tienen que estar armonizados, ir en el mismo sentido, para que todo tenga la efectividad correcta”.
Esta coordinación es la que puede marcar la diferencia entre una crisis contenida y un colapso operativo, reputacional y legal.
Antes de que ocurra un ataque, la empresa necesita tener respuestas claras para preguntas como:
Improvisar durante un incidente suele producir decisiones contradictorias, pérdida de información y nuevas responsabilidades.
La ciberseguridad corporativa no se construye exclusivamente con firewalls, sistemas de monitoreo o herramientas de detección.
También requiere:
La tecnología permite detectar y contener un ataque. El marco legal ayuda a preservar la evidencia, cumplir las obligaciones de la empresa y defender sus decisiones frente a terceros.
Como recordó Elizabeth durante su intervención, la diferencia entre una respuesta controlada y una crisis mucho mayor dependerá de la preparación previa:
“La diferencia entre el colapso, no solamente técnico, sino también legal, estará en la preparación que tengamos y, si ya ocurrió, en cómo reaccionemos ante ese evento”.
Cuando llega un ciberataque, ya no es momento de decidir quién debe participar ni de descubrir qué obligaciones tiene la empresa. Esa conversación debe haber ocurrido antes.
Porque en una crisis cibernética, resolver el problema técnico es fundamental. Pero poder demostrar qué ocurrió, cómo se actuó y por qué se tomaron determinadas decisiones puede ser igual de importante.

Brand Manager
Nativo digital. He desarrollado productos utilizados por millones de personas. Hoy cuento la historia de ISDI México.
Diseñamos programas a la medida de tu organización. Desde talleres de IA de 8 horas hasta transformaciones de 6 meses con certificación.