Portátil robado: los primeros 30 minutos

Te llaman: han robado un portátil del coche. El reloj corre. Aquí los 10 pasos que DEBES seguir en los primeros 30 minutos, en orden.

Cada minuto que un portátil perdido o robado puede estar en línea es un riesgo. Estos 10 pasos deben completarse en los primeros 30 minutos.

Minuto 0-10: contención

\n
1. Notifica a IT / al responsable de seguridad. Registra día y hora.
\n
2. Lanza el borrado remoto desde Intune / Jamf / Kandji. Ahora, sin esperar.
\n
3. Bloquea la cuenta del usuario en M365 / Entra. Cierra todas las sesiones activas.
\n
4. Revoca los tokens MFA — el dispositivo ya no es de confianza.
\n
5. Cambia las contraseñas de las cuentas que este usuario utilizaba principalmente.
\n

Minuto 10-20: alcance

\n
6. ¿Qué contenía? Revisa la sincronización de OneDrive, archivos locales y caché del gestor de contraseñas.
\n
7. ¿Había datos de clientes? Si es así: posible brecha de datos — consulta la notificación de brecha de datos.
\n
8. Mitigación de cifrado: ¿estaba activo el cifrado de disco? Normalmente sí (BitLocker / FileVault) — en ese caso el dispositivo físico resulta inaccesible.
\n

Minuto 20-30: denuncia y comunicación

\n
9. Denuncia ante la policía para el seguro y una posible recuperación.
\n
10. Entrada en el registro del registro de incidentes. Actualízala a medida que surja nueva información.
\n

Prevención (medidas previas)

\n
• Cifrado de disco obligatorio en todos los dispositivos (política de cumplimiento de Intune).
\n
• Inscripción MDM para habilitar el borrado remoto.
\n
• Sin contraseñas en texto plano en el portátil.
\n
• Gestor de contraseñas dedicado, no el almacén del navegador.
\n
• Mínimo de datos en el dispositivo — trabajar con OneDrive y la nube como primera opción.
\n

Ver también: pilar de seguridad, conceptos básicos de Intune.