¿Qué hacer si te hackean?: Guía de respuesta ante incidentes paso a paso.

Son las nueve de la mañana. Llegas a la oficina, enciendes el ordenador y algo no funciona. Los archivos aparecen con una extensión extraña. O quizás recibes un correo de un cliente que dice haber recibido un mensaje raro desde tu cuenta. O simplemente la web de tu empresa redirige a una página desconocida.

Da igual el síntoma: en ese momento el estómago se te encoge y la mente se dispara. ¿Me han hackeado? ¿Qué hago ahora?

Lo primero que debes saber es que no estás solo. El INCIBE (Instituto Nacional de Ciberseguridad) registra más de 80.000 incidentes de ciberseguridad al año en España, y la mayoría afectan a pymes exactamente como la tuya.

Aprovechamos para informarte que el INCIBE tiene habilitada la Línea de Ayuda en Ciberseguridad: 017. Es un número gratuito, confidencial y funciona los 365 días del año.

Lo segundo, y más importante: lo que hagas en las próximas horas determinará si esto es un simple incidente o un desastre mayor.

Te indicamos paso a paso por el proceso de respuesta que deberías hacer ante un incidente informático, desde el momento en que te das cuenta del incidente hasta que vuelves a operar con normalidad.

Paso 1: Mantén la calma y no “toques” nada todavía

El instinto más habitual cuando algo va mal es apagarlo todo o intentar «arreglarlo» sobre la marcha. Resiste a ese impulso.

Apagar un sistema comprometido a la carrera puede:

  • Destruir evidencias que necesitarías para entender qué ocurrió y para una posible denuncia.
  • Interrumpir procesos de recuperación automática que podrían estar ejecutándose.
  • En ataques de ransomware, acelerar el cifrado si hay procesos todavía en curso.

Lo primero es parar y observar. ¿Qué es lo que ves exactamente? Haz una foto con el móvil a las pantallas afectadas, por ejemplo. Anota la hora exacta a la que detectaste el problema. Esa documentación inicial será muy valiosa más adelante.

Síntomas habituales y tipos de incidentes

Uno de los indicios más claros de un ataque por Ransomware es la aparición de archivos con extensiones desconocidas o extrañas, acompañados generalmente de una nota de rescate que exige un pago para recuperar la información.

Por otro lado, si detectas que se están enviando correos electrónicos desde tu cuenta que tú no has escrito, es una señal inequívoca de que tu cuenta de correo ha sido comprometida por un tercero.

En casos donde intentas acceder a tus servicios habituales y te encuentras con una contraseña incorrecta, lo más probable es que hayas sufrido un robo de credenciales, permitiendo que un atacante cambie tus claves de acceso.

Si el problema afecta a la presencia digital de tu negocio y la web corporativa redirige a otros sitios o muestra contenido extraño, te encuentras ante un hackeo del servidor web, lo que pone en riesgo la reputación de tu empresa.

A nivel económico, cualquier movimiento o transferencia no autorizada en tus cuentas bancarias suele ser síntoma de un fraude financiero o un ataque de tipo BEC (Business Email Compromise), donde los delincuentes interceptan comunicaciones para desviar fondos.

Finalmente, si notas que los ordenadores funcionan con lentitud extrema o que la conexión a internet está saturada sin una causa aparente, es muy posible que tengas malware activo en segundo plano o un programa de cryptomining utilizando tus recursos para obtener criptomonedas.

¿Cuál es el siguiente paso según el síntoma?

  • Si es un virus/malware: Desconecta el dispositivo de internet inmediatamente y pasa un antivirus actualizado (o formatea si es persistente).
  • Si es robo de cuenta: Intenta la opción de «He olvidado mi contraseña» de inmediato. Si ya cambiaron el email de recuperación, contacta con el soporte oficial de la plataforma y avisa a tus contactos para que no pinchen en ningún enlace que «tú» les envíes.
  • Si es un fraude bancario: Llama a tu banco para bloquear tarjetas y accesos. Después, es fundamental denunciar ante las autoridades (Policía Nacional o Guardia Civil).
  • Si es Ransomware: No pagues nunca. Reporta el incidente al INCIBE; ellos tienen herramientas y guías para intentar recuperar archivos sin alimentar el negocio de los cibercriminales.

Identificar el tipo de incidente te ayuda a priorizar los pasos siguientes.

Si tienes dudas sobre lo que estás viendo, no improvises: un técnico especializado puede hacer ese diagnóstico inicial en minutos y evitar que tomes decisiones equivocadas bajo presión.

Paso 2: Aisla el sistema afectado de la red

Una vez tienes una idea de lo que está pasando, corta la conexión del equipo o equipos afectados sin necesidad de apagarlos.

¿Cómo aislar un equipo?:

  • Desconecta el cable de red (Ethernet).
  • Desactiva el Wi-Fi desde la configuración del sistema o, si no puedes acceder, desde el router.
  • Si usas switches gestionables, desactiva el puerto correspondiente.

¿Por qué no apagarlo todavía?

Muchos tipos de malware dejan rastros en la memoria RAM que desaparecen al apagar. Sólo apaga el equipo si el técnico te lo indica expresamente o si no tienes ninguna otra opción para contener la propagación.

Si el ataque afecta a varios equipos o parece estar propagándose, la prioridad cambia: en ese caso sí puede tener sentido desconectar el segmento de red completo o incluso el router principal, asumiendo que la continuidad operativa se verá afectada temporalmente.

Si tienes un servidor NAS, un servidor de ficheros o un sistema de backup en red, desconéctalo también inmediatamente. El ransomware cifra primero las unidades de red compartidas.

Paso 3: Cambia las contraseñas desde un dispositivo limpio

Mientras el equipo comprometido está aislado, actúa sobre las cuentas que puedan haberse visto afectadas. Utiliza siempre un dispositivo que no haya estado en contacto con el problema: el móvil personal, un portátil de otro empleado que no estuviera conectado, o un equipo de casa. 

Contraseñas para cambiar con carácter urgente:

  • Correo electrónico corporativo — es la llave maestra de casi todo lo demás.
  • Cuentas de Microsoft 365 o Google Workspace.
  • Acceso al panel de control de tu web y dominio (cPanel, Plesk, Cloudflare, tu registrador de dominio).
  • Banca online y plataformas de pago — avisa también a tu banco de que ha habido un incidente.
  • CRM, ERP y cualquier software con datos de clientes.
  • Acceso remoto VPN o escritorio remoto (RDP), si lo tienes.

Activa el doble factor de autenticación (MFA) en todas las cuentas donde aún no lo tengas. Si el atacante robó tu contraseña, pero no tiene acceso a tu teléfono, quedará bloqueado, aunque intente entrar de nuevo. Si necesitas ayuda para implantarlo en toda la organización, desde Mantenimiento Informático podemos hacerlo por ti en una sola sesión.

Paso 4: Evalúa el alcance real del daño

Una vez contenido el incidente, es el momento de entender bien qué ha pasado. Esta evaluación la puedes hacer tú con apoyo de tu proveedor de soporte informático.

Preguntas clave que debes responder:

  • ¿Qué sistemas están afectados?

Revisa qué equipos, servidores, cuentas o servicios cloud muestran anomalías. El equipo que detectaste primero puede no ser el único comprometido.

  • ¿Desde cuándo lleva activo el ataque?

Muchos ataques se detectan días o semanas después de producirse. Revisa logs de acceso, registros de actividad de correo y eventos del sistema. La fecha en que se instaló el malware puede ser muy diferente a la fecha en que lo detectaste.

  • ¿Se han filtrado datos?

Esta es la pregunta más delicada. Comprueba si hay accesos a carpetas con información sensible, exportaciones inusuales de datos, transferencias de ficheros al exterior o correos con adjuntos enviados desde cuentas comprometidas.

  • ¿Qué datos pueden estar afectados?

Clasifica: datos de clientes, datos financieros, información de empleados, propiedad intelectual, contratos… La respuesta a esta pregunta condiciona directamente el paso siguiente.

Paso 5: Notifica a quien corresponde

Este es el paso que más pymes omiten por miedo o desconocimiento. Es un error. En muchos casos, la notificación es una obligación legal, y no hacerla puede acarrear sanciones adicionales a las del propio ataque.

Notifica a la AEPD si hay datos personales afectados

Si en el incidente se han podido ver comprometidos datos de personas físicas (clientes, empleados, proveedores), el Reglamento General de Protección de Datos (RGPD) obliga a notificarlo a la Agencia Española de Protección de Datos en un máximo de 72 horas desde que tienes conocimiento de la brecha.

Puedes hacerlo a través de la sede electrónica de la AEPD en aepd.es. La notificación debe incluir la naturaleza de la brecha, las categorías de datos afectados, el número aproximado de personas implicadas y las medidas adoptadas.

Si determinas que la brecha no supone un riesgo para los derechos de las personas (por ejemplo, porque los datos estaban cifrados o el acceso fue muy limitado), puede no ser necesaria la notificación, pero deberás documentar ese análisis de riesgo igualmente.

Denuncia ante las Fuerzas y Cuerpos de Seguridad

Interponer una denuncia ante la Policía Nacional o la Guardia Civil (Unidad de Delitos Telemáticos) es importante por dos motivos: es necesaria para cualquier reclamación a un seguro de ciberriesgo, y contribuye a que las autoridades puedan investigar y perseguir a los atacantes.

Puedes hacer la denuncia de forma presencial o, en muchos casos, online en la web de la Policía Nacional.

Informa a tus clientes y proveedores si es necesario

Si existe riesgo de que datos de terceros se hayan visto comprometidos, debes comunicarlo. Sé honesto, directo y concreto: explica qué ocurrió, qué datos podrían estar afectados y qué medidas estás tomando. Una comunicación transparente preserva la confianza mucho mejor que el silencio, que casi siempre acaba siendo descubierto.

Contacta con tu aseguradora si tienes seguro de ciber riesgo

Si tu empresa tiene contratado un seguro de ciber riesgo, notifícalo cuanto antes. Estas pólizas suelen cubrir costes de recuperación, asistencia legal, gestión de la comunicación de crisis e incluso parte del pago a extorsionadores en casos de ransomware. El plazo de notificación al seguro es habitualmente corto, así que no lo demores.

Paso 6: Limpia, recupera y vuelve a operar (horas o días)

Una vez contenido y documentado el incidente, llega el proceso de recuperación. La rapidez de este paso depende directamente de lo bien preparada que estaba tu empresa antes del ataque.

No restaures sin limpiar primero

El error más frecuente es restaurar una copia de seguridad sin haber eliminado el malware del sistema. Si el vector de entrada sigue activo, el atacante volverá a entrar en horas o días.

El proceso correcto es:

  • Analizar el sistema afectado con herramientas forenses para identificar el malware y el punto de entrada.
  • Eliminar completamente el malware — en muchos casos esto implica formatear y reinstalar el sistema desde cero.
  • Cerrar la vulnerabilidad que permitió el acceso (parche de seguridad, cambio de configuración, revocación de accesos comprometidos).
  • Restaurar los datos desde la copia de seguridad más reciente que sea anterior al ataque.
  • Verificar la integridad de los datos restaurados antes de volver a poner el sistema en producción.

Comprueba tus copias de seguridad antes de necesitarlas

Aquí es donde muchas pymes descubren, en el peor momento posible, que sus backups no funcionan o que la última copia válida tiene semanas de antigüedad. Si tienes copias de seguridad, este es el momento de verificar cuándo fue la última copia exitosa y si los datos se restauran correctamente.

Si no tienes backups o los que tienes están también cifrados, la situación es más compleja.

Sobre pagar el rescate: Las autoridades europeas y el INCIBE desaconsejan pagar. No garantiza recuperar los datos, financia a grupos criminales y puede incluso hacerte objetivo de ataques repetidos. Si estás ante esa disyuntiva, consúltanos antes de decidir.

Documenta cada paso de la recuperación

Mantén un registro detallado de todas las acciones tomadas durante la recuperación: qué sistemas se afectaron, qué se hizo, cuándo y quién lo hizo. Esta documentación es imprescindible para:

  • La reclamación al seguro.
  • El informe a la AEPD.
  • El análisis post-incidente.
  • Una posible investigación judicial.

Paso 7: Análisis post-incidente y lecciones aprendidas (semanas después)

Una vez que todo vuelve a funcionar, la empresa se suele olvidar de lo ocurrido, es un error. El análisis post-incidente es la inversión más valiosa que puedes hacer para que no se repita.

Preguntas que debes responder:

  • ¿Cómo entró el atacante? ¿Phishing, contraseña débil, software sin parchear, puerto RDP expuesto, proveedor externo comprometido?
  • ¿Cuánto tiempo estuvo dentro antes de que lo detectáramos? Cuanto mayor sea este tiempo, más daño potencial.
  • ¿Qué medidas habrían evitado el ataque o reducido su impacto? Backups offline, MFA, segmentación de red, formación de empleados…
  • ¿Cómo podemos detectar esto antes la próxima vez? Monitorización, alertas, auditorías periódicas.

Traduce las respuestas en un plan de acción concreto con responsables y fechas. Si no sabes por dónde empezar, una auditoría informática es el punto de partida más efectivo: te da un mapa claro de qué está expuesto y qué hay que corregir primero.

Después del incidente: cómo evitar que vuelva a ocurrir

El mejor momento para reforzar la seguridad de tu empresa es inmediatamente después de un ataque, cuando todos son conscientes de lo que está en juego. Estas son las medidas con mayor impacto:

  • Backups con la regla 3-2-1: tres copias, en dos soportes distintos, una de ellas fuera de las instalaciones (o en la nube). Verifica que funcionan cada mes.
  • MFA en todas las cuentas clave: el doble factor bloquea más del 99% de los intentos de acceso con credenciales robadas.
  • Actualizaciones al día: la gran mayoría de los ataques exitosos explotan vulnerabilidades para las que ya existe parche. Un sistema actualizado es un sistema mucho más seguro.
  • Formación del equipo: el 90% de los incidentes comienza con un error humano. Enseña a tu equipo a identificar correos de phishing y a gestionar las contraseñas de forma segura.
  • Segmentación de red: separa la red de trabajo de la de invitados y de los dispositivos IoT. Si un equipo se compromete, el daño queda contenido.
  • Plan de respuesta documentado: no esperes a que ocurra para pensar qué vas a hacer. Tener un procedimiento escrito, aunque sea básico, reduce el tiempo de respuesta a la mitad.

¿Tu empresa está realmente preparada para un ciberataque?

La mayoría de las pymes creen que sí hasta que ocurre.

La realidad es que en España el tiempo medio entre que un atacante entra en un sistema y que la empresa lo detecta supera los 200 días. Doscientos días en los que alguien puede estar leyendo tus correos, copiando tus ficheros o preparando un golpe más grave. Así que la pregunta no es si tu empresa puede sobrevivir a un ataque: es si tiene lo necesario para detectarlo antes de que sea demasiado tarde, para contenerlo en horas en lugar de en semanas, y para volver a operar sin perder datos ni clientes por el camino. Si la respuesta a alguna de esas tres preguntas es «no lo sé», ya tienes esta hoja de ruta para poder ayudarte.

No obstante, si en cualquier punto te sientes superado, recuerda que puedes contactar con nuestro equipo y te atendemos con la mayor brevedad posible.

Te ayudamos

Mantenimiento informático en Alcorcón.

Mantenimiento informático en Leganés.

Mantenimiento informático en Getafe.

Mantenimiento informático en Fuenlabrada.

También te podría interesar…

Ciberseguridad para empresas: guía definitiva contra ataques ransomware

Variantes del phishing: cómo protegerte de esta amenaza digital

Copias de seguridad: anticípate y ten un plan de recuperación ante desastres

Auditoría informática en Madrid: checklist completa para detectar riesgos en 60 minutos

10 fallos de seguridad que cometen las pymes sin darse cuenta (y cómo evitarlos)

Checklist de ciberseguridad para oficinas en Madrid