Cómo actuar frente a un ataque o sospecha de ataque informático

martes 21 de octubre de 2025 - 11:12 GMT+0000

En el caso de cualquier sospecha de ataque en cualquier equipo conectado a la red de la Universidad de La Laguna, se establecen estas pautas, con el fin de prevenir la propagación, preservar evidencias y notificar correctamente al equipo de seguridad.

El usuario debe sospechar de un posible incidente si observa alguno de los siguientes comportamientos:

1. Identificar señales de alerta

• El equipo se vuelve inusualmente lento o se bloquea sin razón aparente.
• Aparecen mensajes de error, ventanas emergentes o programas desconocidos.
• Se modifican o desaparecen archivos sin haberlos tocado.
• Se abren conexiones de red extrañas, o el ventilador del equipo funciona al máximo sin actividad aparente.
• El navegador redirige a páginas no solicitadas.
• El antivirus o el EDR lanza una alerta.
• Se reciben correos sospechosos o con enlaces/adjuntos inusuales.
• Cualquier actividad no iniciada por el usuario (reinicios, sesiones abiertas, conexiones remotas, etc.).

2. Qué hacer de inmediato

1. No intentar solucionar el problema por cuenta propia.
   No eliminar archivos, ni reiniciar, ni desconectar memorias USB sin indicación del personal técnico.
2. Desconectar el equipo de la red, si se sospecha de infección:
   • Desconectar el cable de red o desactivar Wi-Fi.
   • Mantener el equipo encendido (para conservar evidencias).
3. No usar contraseñas ni acceder a servicios corporativos desde ese equipo.
4. Anotar toda la información posible, como:
   • Hora y tipo de comportamiento observado.
   • Mensajes o nombres de archivos sospechosos.
   • Dirección IP o nombre del equipo

3. Notificar inmediatamente

Comunicar el incidente al Servicio de Seguridad o al SOC institucional, indicando:

• Nombre usuario.
• Equipo o servicio afectado.
• Descripción del comportamiento observado.
• Hora aproximada de detección.

📧 Correo de contacto: stic.soc@ull.edu.es
📞 Teléfono de atención SOC: 922 31 9180

4. Qué no debe hacerse

🚫 No conectar dispositivos externos al equipo afectado.
🚫 No copiar archivos sospechosos a otras ubicaciones.
🚫 No reenviar correos sospechosos a otros compañeros.
🚫 No ignorar alertas o mensajes del sistema de seguridad.
🚫 No instalar ni desinstalar software sin indicación del personal técnico.

5. Buenas prácticas preventivas

• Mantener el equipo actualizado (sistema operativo y aplicaciones).
• No usar contraseñas débiles o repetidas.
• No abrir archivos adjuntos o enlaces desconocidos.
• Bloquear el equipo al ausentarse del puesto.
• Reportar cualquier anomalía, por mínima que parezca.
• Leer este artículo «La seguridad informática en la Universidad de La Laguna, desde el Firewall perimetral hasta el usuario final. «