La preservación de registros es la práctica de mantener intactos los registros de autenticación, acceso y sistema después de un incidente de seguridad. Estos registros pueden provenir de proveedores de identidad, VPN, servidores, servicios en la nube, pasarelas de correo electrónico y herramientas de endpoint. Ayudan a los investigadores a reconstruir quién inició sesión, desde dónde, qué cambió y qué sistemas fueron tocados.
En ciberseguridad, preservar los registros es importante porque los atacantes a menudo intentan eliminar, rotar o alterar evidencias para ocultar su actividad. Una buena preservación significa recopilar los registros con rapidez, copiarlos a una ubicación protegida, mantener la sincronización horaria y evitar manipulaciones posteriores. En un reclamo de filtración o una sospecha de intrusión, los registros preservados pueden confirmar si se usaron credenciales, si se accedió a paneles de administración y si los datos se movieron fuera del entorno. Sin ellos, los defensores pueden saber que ocurrió un incidente, pero no cómo, cuándo ni por quién.