Incident Response (Respuesta a Incidentes)

⚡ Definición Rápida

La respuesta a incidentes (Incident Response) es el conjunto de procedimientos, herramientas y acciones planificadas que se ejecutan cuando se detecta un incidente de seguridad, como el robo de criptomonedas, la exposición de una seed phrase o el hackeo de una cuenta de exchange. Su objetivo es minimizar el daño, contener la amenaza, recuperar los activos en la medida de lo posible, restaurar la seguridad y aprender de lo ocurrido para evitar que se repita. Es el equivalente al plan de emergencia de tus activos digitales.

Términos relacionados: Threat Modeling • emergency shutdown • whitehat hacker • Phishing • Smart Contract

🚨 ¿Qué es Incident Response y por qué no puedes permitirte no tener un plan?

Imagina que abres tu wallet y ves que todos tus fondos han desaparecido. O recibes una notificación de tu exchange de que alguien ha iniciado sesión desde un país desconocido. O peor aún, intentas enviar una transacción y descubres que tu seed phrase ha sido comprometida. En ese momento de pánico, no tienes tiempo para pensar: necesitas un plan. Necesitas saber exactamente qué hacer, en qué orden y con qué herramientas. Ese plan es la respuesta a incidentes.

La respuesta a incidentes no es un lujo ni un concepto teórico. Es la diferencia entre perderlo todo o minimizar las pérdidas. En el mundo de las criptomonedas, donde las transacciones son irreversibles y no hay un «servicio de atención al cliente» que pueda revertir un robo, la rapidez de tu respuesta es tu única esperanza. Cada minuto cuenta. Si un atacante obtiene acceso a tu wallet, tienes una ventana de tiempo —a veces de minutos, a veces de horas— para mover los fondos restantes a una dirección segura antes de que el atacante los vacíe por completo.

La respuesta a incidentes se basa en estándares internacionales como el del National Institute of Standards and Technology (NIST) y el SANS Institute. Ambos coinciden en un ciclo de seis fases: preparación, identificación, contención, erradicación, recuperación y lecciones aprendidas. Aplicado a las criptomonedas, este ciclo te permite actuar con claridad, no con pánico. Para entender qué amenazas debes anticipar, te recomendamos leer nuestra guía sobre Threat Modeling.

📖 Definición Técnica

La respuesta a incidentes es un conjunto de políticas, procedimientos y herramientas que una organización o individuo implementa para detectar, responder y recuperarse de incidentes de seguridad. El estándar NIST SP 800-61 define cuatro fases principales del ciclo de respuesta a incidentes: preparación, detección y análisis, contención/erradicación/recuperación, y actividades posteriores al incidente (lecciones aprendidas). El modelo del SANS Institute, más detallado, propone seis fases: preparación, identificación, contención, erradicación, recuperación y lecciones aprendidas.

En el contexto de las criptomonedas, un incidente puede ser el robo de fondos por claves comprometidas, el hackeo de una cuenta de exchange, la exposición accidental de la seed phrase, un malware que drena la wallet, un SIM swap que permite a un atacante restablecer contraseñas, o un approval malicioso que permite a un contrato robar tokens. Cada tipo de incidente requiere una respuesta diferente. La clave es tener un plan documentado y, si es posible, ensayado antes de que ocurra el desastre.

📋 Las 6 fases del Incident Response aplicadas a criptomonedas

Fase 1: Preparación — El mejor incidente es el que nunca ocurre

La preparación es la fase más importante porque ocurre antes del incidente. Incluye tener copias de seguridad de tu seed phrase en ubicaciones seguras, conocer las herramientas de revocación de approvals (Revoke.cash), tener listas las direcciones de wallets seguras a las que mover fondos en caso de emergencia, y tener un plan documentado. También implica mantener el software actualizado, usar wallets de hardware para grandes cantidades, y tener autenticación de dos factores (2FA) con autenticador de hardware (YubiKey).

Fase 2: Identificación — Detecta el incidente lo antes posible

La identificación es el momento en que te das cuenta de que algo va mal. Puede ser una notificación del exchange de un inicio de sesión sospechoso, una transacción que no reconoces en tu wallet, un saldo que disminuye sin tu intervención, o una alerta de una herramienta de monitoreo (como Etherscan que te envía emails cuando hay movimiento en tu wallet). La velocidad de detección es crítica: cuanto antes sepas que algo ocurre, más tiempo tienes para actuar.

Fase 3: Contención — Detén el sangrado

La contención es la fase más urgente. Su objetivo es evitar que el atacante robe más fondos. Las acciones de contención dependen del tipo de incidente. Si el atacante tiene acceso a tu wallet (por ejemplo, una seed phrase comprometida), debes mover inmediatamente todos los fondos restantes a una nueva wallet que controles (recién generada, con nueva seed phrase). Si el atacante tiene acceso a tu cuenta de exchange, cambia la contraseña, revoca las sesiones activas y congela la cuenta (la mayoría de los exchanges tienen un botón de «congelar cuenta» en caso de emergencia). Si el atacante tiene un approval malicioso, revoca el approval inmediatamente usando Revoke.cash. Si el atacante tiene acceso a tu ordenador (malware), desconéctalo de internet.

Fase 4: Erradicación — Elimina la amenaza de raíz

Una vez contenido el daño inmediato, debes eliminar la causa raíz del incidente. Si fue malware, formatea el ordenador y reinstala el sistema operativo desde cero. Si fue una seed phrase expuesta porque la tenías en un archivo de texto en la nube, cierra esa cuenta y elimina el archivo. Si fue un SIM swap, contacta a tu operador de telefonía para bloquear la SIM y cambia todos los números de teléfono vinculados a cuentas sensibles. Si fue un approval malicioso, ya lo revocaste en la fase de contención, pero verifica que no haya approvals residuales.

Fase 5: Recuperación — Vuelve a la normalidad

La recuperación implica restaurar la seguridad completa de tus activos y operaciones. Crea nuevas wallets con nuevas seed phrases (no reutilices las comprometidas). Configura nuevas cuentas de exchange con contraseñas únicas y 2FA renovado. Restaura tus copias de seguridad desde fuentes limpias. Verifica que todas las transacciones futuras sean seguras. Este proceso puede llevar días o semanas, especialmente si perdiste acceso a múltiples cuentas.

Fase 6: Lecciones aprendidas — No dejes que vuelva a ocurrir

Después de que el humo se disipe, analiza qué falló y cómo puedes prevenirlo en el futuro. Documenta el incidente: ¿cómo ocurrió? ¿qué señales de advertencia ignoraste? ¿qué funcionó bien en tu respuesta? ¿qué no funcionó? Actualiza tu plan de respuesta a incidentes y tus prácticas de seguridad. Comparte lo aprendido con tu comunidad (si es apropiado) para ayudar a otros a evitar el mismo error.

🗂️ Tabla de acción rápida: Qué hacer según el tipo de incidente

Tipo de incidente	Acción inmediata (contención)	Acción posterior (erradicación)
Seed phrase comprometida	Mover TODOS los fondos a una nueva wallet con nueva seed phrase generada en hardware wallet o dispositivo limpio.	Revisar si el atacante dejó approvals residuales. Formatear dispositivo si fue infectado. Crear nueva seed phrase en metal.
Cuenta de exchange hackeada	Cambiar contraseña, cerrar todas las sesiones activas, congelar la cuenta (si el exchange lo permite), contactar soporte de urgencia.	Cambiar 2FA a autenticador de hardware. Revisar si otras cuentas usaban la misma contraseña. Habilitar lista blanca de direcciones de retiro.
Malware en ordenador	Desconectar el ordenador de internet inmediatamente. No apagar (puede borrar evidencia). Usar otro dispositivo limpio para mover fondos.	Formatear y reinstalar sistema operativo desde cero. No confiar en antivirus; el formateo es la única garantía.
SIM swap	Contactar al operador telefónico para bloquear la SIM. Cambiar contraseñas de email, exchange y todo lo que use SMS 2FA.	Migrar a autenticador de hardware (YubiKey) o TOTP (Google Authenticator). Nunca más usar SMS 2FA.
Approval malicioso	Revocar el approval inmediatamente usando Revoke.cash o Etherscan.	Revisar todos los approvals activos. Considerar crear nueva wallet si el approval fue ilimitado y el contrato es malicioso.

🛠️ Herramientas esenciales para la respuesta a incidentes

Revoke.cash / Etherscan Token Approvals: Para revocar approvals maliciosos o no deseados. Es la primera herramienta que debes usar si sospechas de un approval comprometido.
Wallet de hardware de respaldo: Ten una wallet de hardware adicional (Ledger, Trezor) ya configurada y con seed phrase guardada, lista para mover fondos de emergencia.
Exploradores de bloques con alertas: Etherscan, BscScan y Solscan permiten configurar alertas por email cuando hay movimiento en tus direcciones. Es una forma de detección temprana.
Herramientas de monitorización de darknet: Servicios como Have I Been Pwned te alertan si tu email aparece en filtraciones de datos. Algunos servicios de pago monitorean la darknet por venta de credenciales.
Contactos de emergencia: Ten a mano los números de soporte de tus exchanges, operadores telefónicos y servicios críticos. En una emergencia, no tienes tiempo para buscar.

🔍 ¿Qué hacer si ya es demasiado tarde? El atacante ya vació tu wallet

Lamentablemente, en muchos casos la contención no llega a tiempo. Si el atacante ya ha vaciado tu wallet por completo, las opciones son limitadas, pero no nulas.

Rastrea la transacción en el explorador de bloques. Anota la dirección del atacante. A veces los atacantes mueven los fondos a exchanges conocidos, y si actúas rápido, el exchange puede congelar los fondos (es raro, pero ha ocurrido).
Contacta a los exchanges. Si ves que los fondos llegaron a Binance, Coinbase o Kraken, contacta a su equipo de soporte con la transacción hash y la prueba de que eres el dueño original. Pueden congelar la cuenta del atacante si actúan a tiempo.
Presenta una denuncia policial. Aunque la recuperación es poco probable, es necesaria para cualquier acción legal futura y para estadísticas.
Considera servicios de recuperación con precaución. Hay empresas que ofrecen rastreo de fondos robados y colaboración con exchanges. Investiga su reputación; muchas son estafas. Desconfía de quienes prometen recuperación garantizada.

La realidad es que la mayoría de los robos de criptomonedas son irreversibles. Por eso la prevención y la respuesta rápida son tan importantes.

🎯 Construye tu propio plan de Incident Response en 30 minutos

No necesitas ser un experto en seguridad para tener un plan básico. Dedica 30 minutos a completar este ejercicio:

Preparación (10 minutos): Escribe en un papel (físico, no digital) las siguientes cosas: la dirección de tu wallet de emergencia (nueva, sin fondos), los contactos de soporte de tus exchanges, el procedimiento para revocar approvals en Revoke.cash, y la ubicación de tu seed phrase de respaldo.
Simulacro (10 minutos): Imagina que recibes una alerta de que tu wallet ha sido comprometida. Practica mentalmente (o con una wallet de prueba) los pasos de contención: ¿cuál es la primera acción? ¿a qué dirección mueves los fondos? ¿cómo revocas approvals? ¿a quién llamas?
Documentación y guardado (10 minutos): Escribe un resumen de una página con tu plan. Guarda una copia impresa junto con tus documentos importantes (no digital). No guardes el plan en la nube.

Este plan no tiene que ser perfecto. Tiene que existir. En una situación de pánico, tener algo escrito te dará claridad y te ayudará a evitar decisiones impulsivas.

❓ Preguntas Frecuentes sobre Incident Response

¿Puedo recuperar mis fondos si ya fueron robados?

En la mayoría de los casos, no. Las transacciones en blockchain son irreversibles. Sin embargo, si actúas con extrema rapidez y el atacante aún no ha movido los fondos fuera del exchange receptor, podrías congelarlos. La probabilidad es baja, pero no nula. La prevención y la respuesta rápida son tus mejores herramientas.

¿Debo contactar a la policía si me roban criptomonedas?

Sí, aunque la recuperación sea improbable. Presentar una denuncia es necesario para cualquier acción legal futura, para estadísticas, y porque en algunos casos raros las fuerzas de seguridad han colaborado con exchanges para congelar fondos. En España, la denuncia se presenta ante la Policía Nacional o la Guardia Civil; en México, ante la Fiscalía General; en Colombia, ante la Fiscalía General de la Nación.

¿Los exchanges me ayudan si me roban desde una wallet no custodial?

Los exchanges no tienen control sobre transacciones en blockchain. Sin embargo, si el atacante envía los fondos a un exchange (por ejemplo, para convertirlos a fiat), ese exchange puede congelar la cuenta del atacante si le proporcionas pruebas suficientes. La colaboración no está garantizada, pero muchos exchanges tienen equipos de respuesta a incidentes.

¿Debo pagar un rescate si un atacante me extorsiona con mis datos?

Generalmente, no. Pagar un rescate no garantiza que el atacante devuelva los datos o no los publique. Además, incentiva futuros ataques. En criptomonedas, las extorsiones son comunes (amenazas con exponer la seed phrase). La mejor respuesta es mover los fondos a una nueva wallet inmediatamente y no interactuar con el atacante.

¿Con qué frecuencia debo revisar mi plan de incident response?

Al menos cada 6 meses, o cada vez que ocurra un cambio significativo en tu situación (nuevo exchange, aumento significativo de patrimonio, cambio de dispositivo). También debes revisarlo después de cada incidente real o simulacro, para incorporar las lecciones aprendidas.

📚 ¿Quieres profundizar?

Aprende más sobre los conceptos relacionados con la respuesta a incidentes y la seguridad en criptomonedas:

🛡️ Guía de Seguridad Crypto – Prevención y mejores prácticas para evitar llegar a un incidente.

🎯 Threat Modeling – Identifica tus amenazas antes de que ocurran.

🔐 Custodia de Criptomonedas – Autocustodia vs custodia delegada y su impacto en la respuesta.

📝 Token Approvals – Uno de los vectores de ataque más comunes y cómo revocarlos.

🚀 ¿Empezando en Crypto?

Lee nuestra guía completa gratuita para principiantes y descubre todo lo que necesitas saber para empezar de forma segura, incluyendo cómo prevenir incidentes y tener un plan de respuesta listo antes de que sea demasiado tarde.

📋 ¿Por qué confiar en esta definición? Cada término de la Cryptopedia sigue una metodología de verificación con fuentes primarias, whitepapers y legislación oficial. Conoce nuestro proceso →

⚠️ Disclaimer: Este artículo es informativo y educativo. No constituye asesoramiento de seguridad profesional ni garantía de recuperación de fondos. La respuesta a incidentes puede variar según tu jurisdicción y las políticas de cada exchange. Siempre consulta con expertos en ciberseguridad y asesores legales para situaciones de alto riesgo.

📅 Actualizado: Marzo 2026
📖 Categoría: Seguridad y Riesgos / Auditoría y Smart Contracts

« Volver al Glosario