Runbook de incidente phishing + plantillas de aviso

Verizon DBIR 2025: el phishing fue el vector de acceso inicial en el 41% de las brechas PYME confirmadas en EMEA. Tiempo mediano de clic a recolección de credenciales: 21 minutos. Tiempo mediano de recolección a primer login malicioso desde otro país: 90 minutos. Su runbook debe encajar en esa ventana de 90 minutos.

• Una PYME media sufre 11 incidentes de phishing al año
• Pérdidas por BEC (Business Email Compromise) promedio 68.000 € por incidente
• El phishing generado por IA ahora elude el 38% de los filtros de email heredados
• La mayoría del phishing tiene éxito contra usuarios formados — la formación sola no basta

Cuando un usuario reporta un email sospechoso, tiene 15 minutos para determinar si es un problema de un solo usuario o una campaña en curso.

• Confirme que el email existe y capture cabeceras completas (no se fíe solo de capturas)
• Busque en M365/Google Workspace mismo remitente/asunto/URL en todos los buzones
• Compruebe si el usuario hizo clic en el enlace y/o introdujo credenciales
• Revise logs de inicio de sesión del usuario — accesos desde ubicaciones/IPs/agentes nuevos en últimas 6h
• Pase la URL por urlscan.io y VirusTotal — capture veredicto para el registro de incidente

La contención depende de lo que el usuario hizo. Si introdujo credenciales, está corriendo contra el atacante.

• Fuerce reset de contraseña y revoque todas las sesiones activas del usuario afectado
• Re-inscriba MFA desde cero (asuma fatiga MFA o robo de token)
• Bloquee dominio remitente en gateway de email y Defender for O365
• Cuarentene todas las instancias del mensaje en todos los buzones afectados
• Si se hizo clic en el enlace: aísle el dispositivo, ejecute escaneo EDR, busque persistencia
• Si se introdujeron credenciales: revise y revoque cualquier autorización OAuth concedida

La comunicación es gestión de riesgo. Bien hecha construye confianza; mal hecha activa escrutinio regulatorio y daño reputacional.

• Comunicación al usuario — sin culpabilizar "recibimos su reporte, esto sucede ahora"
• Comunicación a todo el personal — si fue campaña: aviso + captura del email + recordatorio de reporte
• Comunicación a clientes — solo si sus datos se vieron potencialmente afectados; coordine con DPD y asesor
• Comunicación al regulador — si probable exposición de datos personales, el reloj RGPD Art.33 ha empezado
• Comunicación al consejo — para cualquier incidente con cuentas privilegiadas o intentos BEC

Un incidente de phishing sin retrospectiva documentada es un futuro incidente repetido. La retrospectiva es obligatoria bajo ISO 27001 control A.5.27 y apoya NIS2 Artículo 21(2)(b).

• Causa raíz: ¿cómo llegó este email al buzón? (fallo de gateway, allowlist, generación IA)
• Brecha de detección: ¿cuánto tiempo entre entrega y detección? ¿Por qué?
• Brecha de proceso: ¿el usuario sabía cómo reportar? ¿Era fácil reportar?
• Solución técnica: regla de gateway, eliminación de allowlist, hardening de MFA, acceso condicional
• Documentación: registro de incidente, línea temporal, evidencias, aprobación