Cuando hablamos de una computadora infectada dentro de una red debemos de asumir que toda ella se encuentra comprometida. Un programa maligno en una red privada sin que se sepa su origen puede generar pánico interno. Es aquí donde vemos la importancia de realizar un examen forense digital a las máquinas con el fin de identificar el punto cero del programa maligno.
También someter a análisis el programa maligno para identificar qué tipo de malware es; si es algún tipo de gusano se debe saber que estos programas malignos pueden replicarse por sí mismo dentro de la red.
Una vez que el ciberdelincuente compromete una computadora dentro de una red privada, sin importar cuál es el vector de ataque, obtiene acceso a la infraestructura. Procederá a endurecer la máquina vulnerable, porque debe mantener el acceso a esta máquina en sí.
Luego que obtiene su puerta de acceso asegurada es cuando empieza a descargar sus herramientas para realizar el ataque a la infraestructura. Es por esta razón que debemos asumir que la red está comprometida en su totalidad, dado que no podemos identificar si la máquina que fue detectada es o no la máquina cero, o es la segunda victima del ataque del ciberdelincuente.
Toda alerta de un programa maligno dado al tipo de categoría del identificado debemos tomarlo con cautela. Nunca eliminar el programa maligno identificado y a la vez formatear el disco duro. Eliminar la evidencia de este programa maligno puede ayudar al atacante a esconder sus rastros. Una máquina formateada por miedo a esconder estas alertas de un ataque es la decisión incorrecta en una situación así.
Al final, siempre debemos analizar cada máquina comprometida con el fin de identificar cuál fue el vector de ataque del ciberdelincuente; también, identificar todas las máquinas comprometidas para luego desinfectarlas.