NCIBE‑CERT es el Centro de Respuesta a Incidentes de Seguridad para ciudadanos y entidades privadas.
Es el CERT/CSIRT nacional encargado de prevenir, detectar y gestionar incidentes de ciberseguridad que afecten a usuarios, empresas y organizaciones privadas.
Un ciudadano o una empresa privada en España puede reportar un incidente de ciberseguridad siguiendo un proceso muy claro. INCIBE‑CERT actúa como el centro nacional que recibe, analiza y ayuda a gestionar estos incidentes cuando afectan a particulares o entidades privadas.
Qué tipo de incidentes se deben reportar
Los incidentes que se comunican a INCIBE‑CERT son aquellos que afectan a la seguridad de sistemas, datos o servicios digitales. Incluyen, entre otros:
- Ataques de malware, como ransomware, troyanos o infecciones masivas.
- Phishing o suplantación, tanto por correo como por SMS o web falsa.
- Robo de credenciales o accesos no autorizados a cuentas.
- Intrusiones en servidores, páginas web o redes internas.
- Fugas o exposición de datos personales o corporativos.
- Fraudes online, estafas de pago, compras fraudulentas o secuestro de cuentas.
- Denegación de servicio (DDoS) que afecte a la actividad de una empresa.
- Vulnerabilidades críticas detectadas en sistemas propios.
En resumen, cualquier incidente que comprometa confidencialidad, integridad o disponibilidad de la información debe ser reportado.
Cómo debe actuar un ciudadano
Un ciudadano que detecta un incidente debe recopilar la información básica: qué ha ocurrido, cuándo, qué dispositivo o cuenta está afectado y si hay capturas o pruebas. Después, debe contactar con el servicio de asistencia en ciberseguridad para ciudadanos, que ofrece orientación técnica, pasos de mitigación y, si es necesario, escalado al equipo de respuesta.
El ciudadano no necesita conocimientos técnicos avanzados. Basta con describir el problema con claridad. El equipo le indicará cómo proteger sus dispositivos, recuperar cuentas, bloquear accesos o denunciar si procede. También pueden guiarle para conservar evidencias en caso de fraude.
Cómo debe actuar una empresa privada
Una empresa debe actuar con más método. Lo primero es contener el incidente: aislar equipos afectados, cambiar contraseñas críticas, detener servicios comprometidos y evitar que el ataque se propague. Después, debe documentar el incidente: logs, direcciones IP, archivos sospechosos, fechas y cualquier indicio técnico.
Una vez recopilada la información, la empresa debe contactar con el equipo especializado de INCIBE‑CERT para empresas. Allí pueden analizar muestras de malware, revisar indicadores de compromiso, ayudar a evaluar el impacto y coordinar la respuesta si el incidente afecta a terceros. También pueden asesorar sobre notificaciones obligatorias, como las previstas en el Reglamento General de Protección de Datos (RGPD) o la Directiva NIS2.
Qué ocurre después de reportar
Tras recibir el aviso, INCIBE‑CERT analiza la información, determina la gravedad y ofrece recomendaciones técnicas personalizadas. Si el incidente es grave o afecta a más organizaciones, pueden coordinarse con otros CERT nacionales e internacionales. En casos de fraude o delito, orientan sobre cómo proceder con la denuncia ante las autoridades competentes.
Como conservar evidencias digitales
Conservar evidencias digitales es fundamental para que un incidente de ciberseguridad pueda investigarse correctamente, ya sea por un equipo técnico, por INCIBE‑CERT o por las fuerzas de seguridad. La regla de oro es no alterar nada y documentar cada acción que se realiza.
Preservar el dispositivo tal y como está
Lo primero es evitar manipular el equipo afectado. No se deben borrar archivos, cerrar ventanas, desinstalar programas ni reiniciar el sistema salvo que sea imprescindible. Cada acción puede modificar registros, fechas o rastros que son esenciales para reconstruir el incidente. Si el ataque está activo, lo adecuado es desconectar el dispositivo de Internet (cable o Wi‑Fi) sin apagarlo, para evitar que el atacante siga actuando pero sin destruir información en memoria.
Guardar capturas, mensajes y pantallas relevantes
En incidentes como phishing, estafas o accesos indebidos, las capturas de pantalla son una evidencia muy valiosa. Deben incluir la URL completa, el remitente del correo, la hora y cualquier detalle visible. También es importante conservar los mensajes originales sin modificarlos, ya que contienen metadatos que pueden ser analizados posteriormente.
Conservar archivos sospechosos y correos completos
Si se ha recibido un archivo malicioso o un correo fraudulento, debe guardarse sin abrirlo y sin modificar su contenido. En el caso de correos electrónicos, lo ideal es exportarlos en formato completo (con cabeceras), ya que estas contienen información sobre servidores, rutas y autenticación. Nunca se deben reenviar directamente, porque eso altera los metadatos.
Registrar fechas, horas y acciones realizadas
Es recomendable anotar en un documento aparte todo lo que se ha observado: cuándo empezó el problema, qué síntomas aparecieron, qué usuarios estaban conectados y qué acciones se realizaron antes y después del incidente. Esta cronología ayuda a los analistas a entender el alcance y la evolución del ataque.
Guardar logs y registros del sistema
En empresas, los logs de servidores, firewalls, routers y aplicaciones son esenciales. Deben copiarse de forma íntegra y almacenarse en un medio seguro. Si es posible, se recomienda hacer una copia forense del sistema afectado, pero sin herramientas improvisadas: lo ideal es que lo haga personal especializado o bajo indicación de un CERT.
Evitar sobrescribir información
No se deben instalar programas nuevos en el equipo afectado, ni copiar archivos dentro de él, ni ejecutar herramientas de limpieza. Cualquier escritura en disco puede destruir rastros importantes. Si se necesita analizar el equipo, lo adecuado es hacerlo desde un entorno externo o mediante una copia de la unidad.
Almacenar las evidencias en un soporte seguro
Las evidencias deben guardarse en un medio externo (USB, disco duro, almacenamiento cifrado) y protegerse con contraseña. También es recomendable hacer una segunda copia por si el soporte falla. En empresas, estas copias deben custodiarse siguiendo la política interna de seguridad.
No compartir las evidencias por canales inseguros
Nunca deben enviarse archivos sospechosos por correo normal o mensajería. Si se necesita compartirlos con un equipo técnico o con INCIBE‑CERT, se hará mediante los canales seguros que ellos indiquen. Esto evita que el malware se propague o que la información sensible quede expuesta.
Documentar incidente para INCIBE CERT
Documentar correctamente un incidente para INCIBE‑CERT es clave para que puedan analizarlo, determinar su gravedad y ayudarte con una respuesta técnica adecuada. La documentación debe ser clara, ordenada y basada en hechos, sin interpretaciones ni suposiciones.
Descripción clara del incidente
Lo primero es redactar un relato breve y objetivo de lo ocurrido: qué se ha detectado, cuándo empezó, qué síntomas aparecieron y qué sistemas parecen afectados. No hace falta entrar en detalles técnicos complejos, pero sí explicar el contexto: si se trata de un correo sospechoso, un cifrado de archivos, un acceso no autorizado o un comportamiento anómalo en la red. Esta descripción inicial permite a INCIBE‑CERT entender el tipo de amenaza y priorizar la respuesta.
Cronología detallada de los hechos
Es fundamental elaborar una línea temporal con fechas y horas aproximadas. Debe incluir cuándo se detectó el incidente, cuándo se observaron los primeros síntomas, qué acciones se realizaron antes y después, y si hubo cambios relevantes en la infraestructura. Esta cronología ayuda a reconstruir el ataque y a identificar el vector de entrada o la propagación.
Evidencias técnicas preservadas
La empresa debe adjuntar las evidencias sin modificarlas: archivos sospechosos, correos electrónicos completos con cabeceras, notas de rescate, logs de servidores, registros de firewall, eventos del sistema y cualquier archivo cifrado o afectado. También es útil incluir capturas de pantalla que muestren mensajes de error, ventanas emergentes o comportamientos anómalos. INCIBE‑CERT analiza estas evidencias para identificar el malware, los indicadores de compromiso y el alcance real del incidente.
Información del entorno afectado
Es importante describir el entorno técnico donde ha ocurrido el incidente: tipo de sistema operativo, versión, si el equipo está en dominio, si se trata de un servidor o un puesto de trabajo, qué aplicaciones estaban en uso y si existen copias de seguridad disponibles. Esta información permite orientar las recomendaciones de recuperación y evaluar el riesgo para otros sistemas.
Acciones realizadas hasta el momento
La empresa debe indicar qué medidas se han tomado desde la detección del incidente: aislamiento de equipos, desconexión de la red, cambios de contraseñas, detención de servicios o restauración de copias. INCIBE‑CERT necesita saber qué se ha hecho para evitar duplicar esfuerzos o generar efectos no deseados. También es importante aclarar si se ha contactado con otros organismos, como la AEPD o las fuerzas de seguridad.
Impacto conocido o estimado
Debe incluirse una valoración del impacto: qué sistemas están fuera de servicio, si hay datos cifrados o filtrados, si la actividad de la empresa está afectada y si existen riesgos para clientes o proveedores. No es necesario tener una estimación económica precisa, pero sí explicar el alcance operativo del incidente.
Datos de contacto del responsable
Finalmente, es esencial proporcionar los datos de la persona que coordina la gestión del incidente dentro de la empresa: nombre, cargo, correo y teléfono. INCIBE‑CERT suele necesitar aclaraciones rápidas, por lo que contar con un interlocutor único agiliza el análisis y la respuesta.
Checklist para enviar un incidente a INCIBE‑CERT
1. Descripción del incidente
Antes de nada, redacta un párrafo breve explicando qué ha ocurrido: qué se ha detectado, cuándo empezó, qué síntomas aparecieron y qué sistemas parecen afectados. Debe ser una descripción objetiva, sin interpretaciones. Esto permite a INCIBE‑CERT entender rápidamente el tipo de amenaza.
2. Cronología detallada
Elabora una línea temporal con fechas y horas aproximadas. Incluye cuándo se detectó el incidente, cuándo aparecieron los primeros síntomas, qué acciones se realizaron y si hubo cambios previos en la infraestructura. Esta cronología es esencial para reconstruir el ataque.
3. Evidencias técnicas preservadas
Reúne todos los elementos relevantes sin modificarlos: archivos sospechosos, correos completos con cabeceras, notas de rescate, logs de servidores, registros de firewall y capturas de pantalla. Estas evidencias permiten identificar el malware, los indicadores de compromiso y el alcance del incidente.
4. Información del entorno afectado
Describe el entorno técnico donde ocurrió el incidente: sistema operativo, versión, si el equipo está en dominio, si es un servidor o un puesto de trabajo, qué aplicaciones estaban en uso y si existen copias de seguridad disponibles. Esta información ayuda a orientar las recomendaciones de recuperación.
5. Acciones realizadas
Indica qué medidas se han tomado desde la detección del incidente: aislamiento de equipos, desconexión de la red, cambios de contraseñas, detención de servicios o restauración de copias. INCIBE‑CERT necesita saber qué se ha hecho para evitar duplicar esfuerzos o generar efectos no deseados.
6. Impacto conocido o estimado
Incluye una valoración del impacto: qué sistemas están fuera de servicio, si hay datos cifrados o filtrados, si la actividad de la empresa está afectada y si existen riesgos para clientes o proveedores. No hace falta una estimación económica precisa, pero sí explicar el alcance operativo.
7. Datos de contacto del responsable
Proporciona los datos de la persona que coordina la gestión del incidente dentro de la empresa: nombre, cargo, correo y teléfono. INCIBE‑CERT suele necesitar aclaraciones rápidas, por lo que contar con un interlocutor único agiliza el análisis y la respuesta.