Mi Empresa Fue Hackeada: Guía de Respuesta Inmediata
Tu empresa acaba de ser hackeada. El pánico es normal, pero tienes 24 horas cruciales. Aquí está exactamente qué hacer en los primeros pasos.
Te llamas. Tu computadora se congela. Un mensaje aparece en la pantalla: "Tus archivos han sido encriptados. Paga o pierdes todo."
O peor: Descubres que alguien accedió a la información de tus clientes.
El pánico es comprensible. Pero en los próximos minutos y horas, cada acción que tomas importa. Aquí está la guía paso a paso para sobrevivir a un ataque.
Minutos 1-15: Detén la propagación
Paso 1: Desconecta todo
Si ve un mensaje de ransomware o sospecha que está comprometido:
1. Desenchufa la computadora de la red — literalmente. Apágala o desconecta el ethernet/wifi
2. Hazlo en TODAS las máquinas afectadas — No esperes, no investigues, desconecta ahora
3. Si es servidor, desconecta la máquina física del switch de red
4. No reinicies — Un reinicio puede activar malware durmiente
¿Por qué? Los atacantes a menudo instalan malware secundario que se propaga automáticamente a otras máquinas en la red. Cada minuto conectado es otro dispositivo comprometido.
Paso 2: Aísla el problema
- Si solo una persona ve el malware, puede ser su máquina
- Si varias personas reportan lo mismo, es una infección de red
- Si hay un archivo sospechoso (.exe, .zip, .scr), quién lo recibió o descaró
Documenta todo: Hora exacta, quién vio qué, qué sucedió antes (correo sospechoso, instalación rara, etc.)
Paso 3: Llama a los expertos
AHORA, no mañana. Llama a:
- Tu proveedor de IT (si tienes uno)
- Un especialista en respuesta ante incidentes
- En México: Simiriki o un laboratorio forense certificado
Ellos necesitan ver la máquina lo antes posible, mientras el malware aún está activo en la memoria.
Horas 1-4: Preserva evidencia y comunica
Paso 4: Preserva la escena del crimen
Mientras esperas a los expertos:
- NO toques las máquinas afectadas — Si lo hacías, detente. Apágalas y espera
- Toma notas: Qué viste exactamente, qué hora, quién estaba en la máquina, qué correos o archivos se veían
- Busca evidencia visual: Toma fotos de cualquier mensaje, búsqueda de pantalla, cambios obvios
- Revisa backups: ¿Cuándo fueron los últimos backups? ¿Están accesibles? (No los toques aún, solo confirma que existen)
Paso 5: Notifica a tu equipo de liderazgo
Reúnete (en persona o videollamada segura, NO por el correo comprometido) con:
- Tu CEO/dueño
- Tu contador o responsable financiero
- Tu responsable legal (si tienes)
Qué decir: "Detectamos [tipo de problema: malware/acceso no autorizado/robo de datos]. Hemos aislado los sistemas. Especialistas están investigando. Aquí está lo que sabemos y lo que haremos."
Lo que NO digas: Especulaciones, números de víctimas aún sin confirmar, o promesas que no puedas mantener.
Paso 6: Avisa a tus clientes (si es necesario)
¿Fue comprometida información de clientes (nombres, correos, números de teléfono, direcciones)?
- Sí: Debes notificar. La ley LFPDPPP lo exige en México
- No: Aún así, prepárate por si la investigación lo revela
Notificación efectiva:
- Sé honesto
- Explica qué pasó en términos simples
- Di qué información fue comprometida específicamente
- Explica qué estás haciendo
- Ofrece soporte (línea de atención, monitoreo de crédito si es necesario)
No esperes semanas. Notifica en 72 horas si fue personal data.
Horas 4-24: Evaluación y contención
Paso 7: Deja que los expertos hagan su trabajo
La investigación forense toma tiempo. Ellos van a:
1. Hacer una imagen del disco duro de máquinas afectadas (antes de hacer cualquier cambio)
2. Revisar logs: Cuándo el atacante entró, qué accedieron, cómo se movieron por tu red
3. Buscar back doors: Métodos que dejaron para volver a entrar
4. Recolectar evidencia: Para policía, si lo reportas
Tu trabajo: Responder preguntas. ¿Quién tenía acceso a esta máquina? ¿Qué datos está aquí? ¿Cuándo se hizo el último backup?
Paso 8: Evalúa el daño real
Con los expertos, determina:
- Qué datos fueron accedidos (aunque no encriptados)
- Si hay evidencia de robo de información
- El alcance: ¿Una máquina? ¿Toda la red?
- El tipo de ataque: ¿Ransomware? ¿Roba datos? ¿Ambos?
Paso 9: Decide sobre el pago (si es ransomware)
Si los atacantes piden dinero:
Recomendación: NO PAGUES
Razones:
- 43% de empresas que pagan aún no recuperan sus datos
- Refuerza a los atacantes a seguir atacando
- Es posiblemente ilegal si los atacantes están en lista negra
Mejor:
- Recupera desde backups (si tienes)
- Acepta la pérdida de datos y reconstruye
- Reporta a la policía (Fiscalía Especializada en Ciberdelitos en México)
Si absolutamente debes pagar (único cliente crítico, datos sin backup):
- Negocia con los expertos
- Involve a policía/seguros
- Sigue exactamente las instrucciones del atacante
Horas 24-72: Plan de recuperación
Paso 10: Reconstruye de forma segura
Con expertos:
1. Limpia todas las máquinas desde backup limpio o instalación fresca
2. Cambia TODAS las contraseñas (inicio con administrador)
3. Revisa permisos de acceso: ¿Quién tiene qué? Reduce a lo mínimo necesario
4. Implementa MFA: En todo acceso crítico (email, admin, VPN)
5. Reinstala sistemas uno a uno, probando en aislamiento
Paso 11: Cierra las puertas
Ahora que sabes cómo entraron:
- Patch críticos: Actualiza Windows y software inmediatamente
- Firewall: Configura reglas para bloquear acceso no autorizado
- Antivirus/EDR: Instala protección en todos los endpoints
- Monitoreo: Considera un SOC (Security Operations Center) gestionado 24/7
Esto no se trata solo de reparar daño. Se trata de que no vuelva a pasar.
Paso 12: Reporta formalmente
- Policía: Presenta denuncia en Fiscalía Especializada en Ciberdelitos
- Seguros: Si tienes póliza de cyber, avisale formalmente
- Clientes/proveedores clave: Algunos tendrán requisitos de notificación
Tener un informe forense es crucial aquí.
Lo que aprendiste (aunque duela)
Un ataque cibernético no es un "error técnico". Es una brecha en tu defensa.
En los próximos meses:
- Auditoría completa de seguridad
- Entrenamiento de empleados en phishing
- Política de backup automático
- MFA en todo
- Monitoreo 24/7
En Simiriki ayudamos empresas como la tuya a responder rápidamente a ataques y, más importante, a prevenirlos. Hacemos auditorías especializadas en encontrar exactamente cómo alguien habría entrado, y cerramos esas puertas.
Si tu empresa fue hackeada, no estás solo. Contáctanos para una auditoría de respuesta ante incidentes — te ayudaremos a asegurar que esto no vuelva a pasar.
¿Tu empresa está protegida?
Diagnóstico gratuito de madurez digital en 5 minutos. Identifica riesgos antes de que se conviertan en incidentes.