Cuando el ataque ya ha ocurrido,
lo que importa es saber exactamente qué pasó.
Contención, análisis forense, informe completo y recomendaciones para que no vuelva a pasar. Activado cuando lo necesitas. Sin bolsas de horas compradas por adelantado que esperas no usar nunca.
Nadie quiere pagar por algo que espera
no necesitar nunca.
La mayoría de empresas que ofrecen respuesta a incidentes venden una bolsa de jornadas. Diez horas, veinte horas — pagadas por adelantado, que se van descontando cada vez que sucede algo.
El problema es que si no sucede nada, esas horas se pierden o se renuevan. Y si sucede algo grave, diez horas se quedan cortas y tienes que comprar más — en el peor momento posible, cuando ya estás en mitad de un incidente.
- Bolsa de horas comprada antes de que pase nada
- Si no lo usas, lo pierdes o lo renuevas
- Si el incidente es grave, las horas no alcanzan
- Precio por hora en el peor momento posible
- Un pago de arranque para tener el servicio disponible
- Cero coste adicional si no ocurre nada
- Precio por incidente — no por hora, no por adelantado
- El coste se negocia antes de que pase nada, sin urgencia
Un pago de arranque.
El resto, solo si lo necesitas.
Sin renovaciones anuales de jornadas, sin compromisos de volumen. Cubiertos desde el momento en que firmáis.
No solo apagamos el fuego.
Analizamos por qué ardió.
La contención detiene el ataque. El análisis forense responde las preguntas que importan después: cómo entraron, cuándo entraron, qué hicieron mientras estuvieron dentro y qué dejaron.
Sin esa información, el incidente se cierra pero el problema sigue abierto. La mayoría de empresas que sufren un ransomware vuelven a sufrir otro en los doce meses siguientes — porque taparon el agujero visible pero no encontraron el de verdad.
- Vector de entrada — cómo accedieron a vuestros sistemas
- Timeline del ataque — qué pasó, en qué orden, desde cuándo estaban dentro
- Alcance — qué sistemas se vieron afectados y en qué medida
- Datos comprometidos — qué información estuvo expuesta, si se puede determinar
- Recomendaciones concretas — qué hay que cambiar para que no vuelva a ocurrir
Primero parar el ataque.
Luego entender qué pasó.
Si tenéis EDR contratado con nosotros, la contención ya está cubierta — el sistema aísla automáticamente los endpoints comprometidos y nuestros ingenieros gestionan la respuesta desde el primer momento.
Si no tenéis EDR, la primera fase es evaluar cómo contener el incidente según el caso. No hay una respuesta estándar porque no hay dos incidentes iguales — pero el objetivo siempre es el mismo: detener la propagación antes de iniciar el análisis.
Si ya tenéis el SOC,
el análisis es más rápido.
No hace falta ser cliente del SOC para contratar la cobertura de respuesta a incidentes. Está disponible para cualquier empresa.
Dicho esto, si ya tenéis el SOC gestionado con nosotros, conocemos vuestra infraestructura, tenemos acceso a vuestros logs históricos y el análisis forense es más completo y más rápido. El SIEM ya ha estado registrando lo que pasaba — el forense parte de ahí.
Ver SOC gestionado →Mejor contratarlo antes de necesitarlo.
Cuéntanos cómo tenéis montada la seguridad ahora mismo. Un ingeniero os explica cómo encaja el servicio en vuestro caso y qué costaría si ocurriera un incidente — sin urgencia, sin estar ya en mitad de uno.