SECURALIX
← Volver al blog
Ciberseguridad 12 abr 2026

Qué hacer si hackean mi empresa: Guía de respuesta ante incidentes

Un ciberataque no espera. Cuando descubres que tu empresa ha sido hackeada, las primeras horas son decisivas. Esta guía te muestra exactamente qué hacer, a quién llamar y cómo minimizar el daño — sin necesidad de ser un experto en tecnología.

¿Cómo saber si te han hackeado?

El primer paso es reconocer las señales. Un ciberataque no siempre es obvio — a veces los ataques son silenciosos y pueden llevar semanas o meses sin ser detectados. Pero hay indicadores que deberían poner en alerta a tu equipo:

  • Pérdida de acceso: No puedes entrar en tus sistemas o aplicaciones habituales.
  • Mensajes de rescate (ransomware): Aparece un mensaje en pantalla diciendo que tus datos están cifrados y exigiendo dinero.
  • Funcionamiento anómalo: Los sistemas van muy lentamente, se cuelgan con frecuencia o comportarse de forma extraña.
  • Archivos desaparecidos o extraños: Faltan archivos críticos o aparecen directorios con nombres raros que no creaste.
  • Alertas de seguridad inusuales: Antivirus o cortafuegos muestran alertas nuevas o bloqueos inesperados.
  • Cambios en cuentas: Empleados reportan que sus contraseñas no funcionan o que se han accedido a sus cuentas sin su autorización.
  • Movimiento de dinero inexplicable: Desapariciones sospechosas de fondos o intentos de transferencia no autorizados.
  • Avisos de terceros: Tus clientes o proveedores te contactan diciendo que recibieron un email sospechoso desde tu dominio.

Si observas cualquiera de estos indicadores, no ignores tu intuición. Mejor actuar «por si acaso» que descubrir semanas después que fuiste hackeado y que el daño se ha propagado.

Primeros pasos inmediatos (las primeras 2 horas)

Los primeros 120 minutos después de detectar un ataque son críticos. Las decisiones que tomes en este tiempo determinarán cuánto daño sufres y qué tan fácil será la recuperación.

1. Reconoce que hay un problema y actúa

No entres en pánico, pero sí en modo de acción inmediato. Llama al responsable técnico o a tu proveedor de IT. Si no tienes ninguno interno, contacta a Incibe (teléfono 017) o a una empresa de ciberseguridad especializada en respuesta a incidentes. No es tiempo para ahorrar dinero: los primeros pasos correctos te ahorrarán decenas de miles de euros después.

2. Aísla los sistemas infectados (sin apagarlos)

Este es un punto crítico que muchos empresarios no entienden: NO apagues los servidores ni los ordenadores afectados de golpe. Aunque parezca lógico, hacerlo puede eliminar evidencias valiosas que necesitarán los expertos para investigar qué ocurrió. En su lugar:

  • Desconecta el cable de red (ethernet) o desactiva la conexión Wi-Fi del equipo infectado.
  • Si es posible, deja el ordenador encendido para que los expertos puedan investigar.
  • Si es un servidor crítico y no puedes dejarlo sin desconectar, apunta la hora exacta a la que lo apagas — esto puede ser importante después.

3. Notifica a tu equipo (sin crear pánico)

Comunica a tu equipo de inmediato de forma directa: reunión presencial, llamada de conferencia o mensaje en un canal que sabes que es seguro. Sé breve, honesto y claro: «Hemos detectado un incidente de seguridad. Estamos investigando con el equipo técnico. Si algo se ve raro en vuestro ordenador o cuenta, avisad inmediatamente. No hagáis click en links o descargas sospechosas.»

4. Cambia contraseñas de administrador desde otro ordenador

Si tienes acceso a un ordenador que confías que NO ha sido comprometido, cambia las contraseñas de las cuentas críticas (correo de administrador, sistemas bancarios, etc.) desde ese equipo, usando una red diferente si es posible (por ejemplo, desde tu móvil con datos 4G, no desde la Wi-Fi de la oficina). Esto bloquea a los atacantes de volver a entrar incluso si aún tienen una parte del sistema.

5. Documenta todo lo que observas

Apunta la hora exacta en que notaste algo raro, qué ordenadores o servicios se ven afectados, qué archivos faltan, qué mensajes aparecen. Haz capturas de pantalla si es posible (desde otro dispositivo si necesitas evitar comprometer el equipo infectado). Esta información será valiosa para los investigadores.

A quién avisar: autoridades, clientes y tu equipo

Un incidente de seguridad no es un problema que puedas resolver solo. Hay obligaciones legales y prácticas que implican avisar a determinadas personas.

Organismos oficiales

INCIBE (Instituto Nacional de Ciberseguridad de España) es tu primer punto de contacto oficial. Ofrece ayuda gratuita:

  • Teléfono: 017 (línea de ayuda en ciberseguridad, disponible 24/7)
  • Web: incibe.es
  • Centro de denuncias: Puedes reportar el incidente a través de INCIBE-CERT si es grave.

También puedes interponer denuncia ante la Guardia Civil (Cuerpo Nacional de Policía) si sospechas que hay delito. No necesitas pruebas irrefutables — simplemente reporta lo que observas.

Autoridades de Protección de Datos

Si los datos hackeados incluyen información personal de clientes, empleados o terceros (correos, DNI, datos bancarios, históriales médicos, etc.), estás obligado por ley a notificar a la Autoridad de Protección de Datos en plazo de 72 horas desde que detectas la brecha. En España, esto significa la AEPD (Agencia Española de Protección de Datos). No cumplir puede resultar en multas de hasta 10 millones de euros.

Tus clientes

Si los datos de tus clientes han sido comprometidos, tienes la obligación legal de informarles. La comunicación debe ser:

  • Honesta: Explica qué pasó sin tecnicismos exagerados.
  • Rápida: Avísales cuanto antes, sin esperar a saberlo todo.
  • Constructiva: Cuéntales qué estás haciendo para arreglarlo y qué pasos pueden tomar ellos para protegerse.
  • Formal: Por escrito (email, carta, SMS según corresponda), no por teléfono ni redes sociales.

Tu aseguradora

Si tienes póliza de ciberseguridad, notifica al asegurador cuanto antes. Muchas aseguradoras requieren avisos formales en un plazo específico. El seguro puede cubrir parte de los costos de investigación, recuperación e incluso responsabilidad civil.

Cómo contener el daño y preservar evidencias

Mientras tu equipo técnico (interno o externo) investiga, hay acciones que puedes tomar para evitar que el problema empeore:

Aísla sin eliminar

Como dijimos, desconecta los sistemas comprometidos pero no los borres. Los investigadores necesitarán acceso a esos datos para:

  • Determinar exactamente cómo entraron los atacantes.
  • Descubrir qué datos fueron robados o modificados.
  • Identificar si aún quedan «puertas traseras» que usa el atacante para volver a entrar.

Revisa los logs (si alguien puede hacerlo)

Si tienes un administrador técnico disponible, que mire los registros de acceso a los sistemas (logs) para ver cuándo entró el atacante y qué hizo. Esto ayuda a saber si necesitas restaurar datos de una copia de seguridad anterior al ataque.

Comprueba tus copias de seguridad

Este es un momento crítico: ¿tienes copias de seguridad (backups) de tus datos? ¿Están limpias (sin malware)? ¿Son accesibles? Si descubriste el ataque rápido, puede que tus copias de seguridad de ayer o hace una semana estén sin infectar. Si tienes, esto es una luz al final del túnel: podrías recuperarte restaurando desde esa copia limpia.

Vigila tu cuenta bancaria y sistemas de pago

Si el atacante tuvo acceso a sistemas que controlan dinero (software de facturación, sistemas bancarios, etc.), estate atento a movimientos sospechosos. Algunas empresas descubren después que el atacante aprovechó para desviar dinero mientras estaban ocupadas con el incidente. Revisa transacciones, comprueba que no hay órdenes de pago extrañas y considera contactar a tu banco para alertarles.

Comunicación de la crisis: qué decir y qué no decir

La forma en que comuniques el incidente puede hacer o deshacer la confianza de tus clientes y empleados. Hay un equilibrio entre ser honesto y no dramatizar.

Mensajes correctos

  • ✅ «Detectamos un incidente de seguridad. Estamos investigando con especialistas.»
  • ✅ «Algunos de vuestros datos pueden haber sido afectados. Aquí están los detalles y qué hacer.»
  • ✅ «Hemos aislado los sistemas, estamos recuperando datos y reforzando la seguridad.»
  • ✅ «Lamentamos lo ocurrido. Tomaremos medidas para que no vuelva a pasar.»

Lo que NUNCA debes decir

  • ❌ «No sabemos lo que pasó.» (suena a incompetencia — di «estamos investigando»)
  • ❌ «Garantizamos que esto no volverá a ocurrir.» (nadie puede garantizar eso — di «hemos tomado medidas»)
  • ❌ «Fue un error de un empleado.» (aumenta el pánico — enfócate en soluciones)
  • ❌ «Hemos pagado el rescate.» (incentiva más ataques — y probablemente sea ilegal según jurisdicción)
  • ❌ «Esto es sin importancia, no os preocupéis.» (mina la confianza si después sale en las noticias)

Canales de comunicación seguros

No comuniques un incidente por redes sociales, por teléfono no verificado o por canales que sepas que están comprometidos. Usa:

  • Email oficial desde un ordenador que no esté infectado.
  • Conferencia de prensa o comunicado de prensa escrito para medios.
  • Comunicación directa a través de líneas internas verificadas.
  • Carta certificada a clientes si es necesario documentación formal.

Cómo evitar que vuelva a pasar

Una vez que hayas sobrevivido al incidente y recuperado tus sistemas, es momento de asegurarte de que no vuelva a ocurrir (o al menos, que sea mucho más difícil).

Medidas inmediatas después del incidente

  • Actualiza sistemas: Instala todos los parches de seguridad pendientes en servidores, ordenadores y aplicaciones. Muchos ataques explotan vulnerabilidades conocidas que podrían haberse parchado hace meses.
  • Refuerza contraseñas: Establece una política de contraseñas más fuertes (no 123456 ni «empresa» en la contraseña). Considera autenticación multifactor (una segunda verificación, como SMS o app).
  • Revisa permisos de acceso: ¿Quién tiene acceso a qué sistemas? ¿Alguien tiene permisos que ya no necesita? Reduce permisos al mínimo necesario.
  • Mejora backups: Si el incidente te enseñó que no tenías backups, cómo. Implementa copias de seguridad automáticas, diarias, de tus datos críticos en un lugar diferente (nube, servidor remoto, etc.).

Plan de respuesta ante incidentes

Crea un documento escrito que diga qué hacer la próxima vez. Incluye:

  • Contactos de emergencia (INCIBE, policía, asegurador, tu proveedor de IT)
  • Quién toma decisiones en una crisis (CEO, gestor de TI, asesor legal)
  • Checklist de primeros pasos (similar a esta guía)
  • Plantillas de comunicación a clientes
  • Ubicación de backups y cómo acceder a ellos

Capacitación de tu equipo

La mayoría de ataques comienzan con un empleado haciendo click en un link malicioso (phishing). Entrena a tu equipo a:

  • Reconocer emails sospechosos (remitentes raros, urgencia artificial, pedidos de datos).
  • Verificar antes de descargar archivos o hacer click en enlaces (llamar al remitente para confirmar).
  • Reportar actividad sospechosa sin miedo a ser regañados.

Auditoría externa

Considera contratar a una empresa especializada en ciberseguridad para hacer una auditoría de tu infraestructura. Te mostrarán vulnerabilidades antes de que un atacante las encuentre. Es una inversión que puede salvarte decenas de miles de euros evitando el próximo ataque.

Por qué las pymes necesitan un plan de respuesta antes de que ocurra un incidente

Esperar a sufrir un ataque para decidir qué hacer es como esperar a un incendio para decidir dónde está la salida de emergencia. Un ataque cibernético es como un incendio: sucede en cuestión de minutos, y las decisiones que tomas cuando está ocurriendo determinan si la empresa sobrevive.

Las empresas que tienen un plan de respuesta ante incidentes preparado:

  • Contienen el daño mucho más rápido.
  • Pierden menos datos y menos dinero.
  • Recuperan operaciones en horas o días, no en semanas.
  • Mantienen mejor la confianza de clientes porque actúan con profesionalidad.
  • Tienen una investigación forense más limpia para saber exactamente qué pasó.

Para una pyme sin CISO (Chief Information Security Officer), tener un plan no significa ser un experto en ciberseguridad. Significa tener documentado:

  • Quiénes son tus puntos de contacto (técnico, legal, asegurador).
  • Qué haces en la primera hora.
  • A quién avisas y cuándo.
  • Cómo comunicas sin destruir la confianza de clientes.

Esto se puede escribir en un documento de 2-3 páginas en una tarde. Pero puede salvarte meses de problemas si algún día lo necesitas.

El rol de una evaluación previa: estar preparado sin esperar

El mejor momento para construir defensas es antes de ser atacado. Una evaluación de ciberseguridad es un ejercicio en el que especialistas revisan tu infraestructura, tus procesos y tus datos críticos para identificar dónde estás vulnerable.

Con una evaluación sabes:

  • Exactamente qué datos críticos tienes y dónde están.
  • Qué sistemas necesitarían protección urgente.
  • Cuál es el riesgo real (no el pánico exagerado).
  • Qué pasos tomar para reducir riesgo sin gastar dinero en defensa innecesaria.

Esto es especialmente valioso para pymes que no tienen un CISO. No necesitas saber de ciberseguridad para entender un reporte que te diga: «tienes 3 riesgos críticos, 8 riesgos medios, y aquí están los pasos para arreglar cada uno.»

¿Quieres evaluar el riesgo de tu empresa?

Descubre cómo funciona SECURALIX en una demo de 20 minutos. Te mostramos exactamente qué datos tienes, dónde están vulnerables y qué prioritizar sin necesitar un CISO. Todo en 30 días.

Pedir demo gratuita