Qué hacer tras un ciberataque en tu empresa: guía completa para minimizar los daños

Un lunes por la mañana, enciendes el ordenador y ves que los archivos tienen extensiones extrañas. O recibes un mensaje diciéndote que tus datos han sido cifrados y que debes pagar un rescate. O, simplemente, el sistema de gestión de tu empresa deja de responder sin motivo aparente.

En ese momento, el reloj empieza a correr.

Lo que hagas durante los primeros minutos y las primeras 72 horas determinará en gran medida si tu empresa se recupera rápido o si el daño se extiende durante semanas, incluso meses.

Por este motivo, hemos preparado esta guía, pensada para que sepas exactamente qué hacer, en qué orden y sin perder la cabeza.

Antes de entrar en el protocolo de actuación, conviene reconocer las señales más habituales de este tipo de ataques informáticos:

Si identificas dos o más de estas señales simultáneamente, no lo dudes: actúa como si fuera un ciberataque mientras se descarta.

El marco de respuesta a incidentes promovido por organismos como el INCIBE y alineado con estándares internacionales como NIST, establece un ciclo completo de gestión estructurado en seis fases: Preparación, Identificación, Contención, Erradicación, Recuperación y Lecciones Aprendidas.

Este enfoque funciona igual que los primeros auxilios ante una emergencia médica: no resuelve el problema al instante, pero evita que empeore, permite una respuesta ordenada y garantiza el aprendizaje para fortalecer las defensas futuras.

PREPARACIÓN → IDENTIFICACIÓN → CONTENCIÓN → ERRADICACIÓN → RECUPERACIÓN → LECCIONES APRENDIDAS

Cada fase tiene objetivos concretos y acciones específicas. Las vemos en detalle a continuación.

El objetivo en esta primera fase es establecer las capacidades, procedimientos y recursos necesarios antes de que ocurra un incidente, minimizando el tiempo de reacción y el impacto cuando este se produzca.

Esta fase es la inversión que determina la eficacia de todas las demás. Una organización preparada puede detectar un ataque en minutos y contenerlo en horas; una organización sin preparación puede tardar semanas en darse cuenta de que ha sido comprometida.

Acciones clave:

• Plan de respuesta a incidentes documentado: define roles, responsabilidades, canales de comunicación y escalado. Debe incluir contactos del equipo de respuesta (CSIRT interno o externo), proveedores críticos, aseguradoras y, si procede, autoridades (INCIBE, Fuerzas y Cuerpos de Seguridad).
• Equipo de respuesta designado: identifica quién lidera la respuesta, quién ejecuta acciones técnicas, quién comunica con dirección y stakeholders. Incluye suplentes para garantizar disponibilidad 24/7.
• Inventario de activos actualizado: mantén un registro completo de sistemas, aplicaciones, datos críticos y sus dependencias. No se puede proteger lo que no conoces.
• Infraestructura de seguridad operativa: implementa sistemas de detección (SIEM, IDS/IPS, EDR), capacidades de monitorización continua, backups testados y aislados, y entornos de análisis forense.
• Simulacros y ejercicios de mesa (tabletop exercises): practica escenarios de ransomware, exfiltración de datos o caída de servicios críticos para identificar gaps antes de que el incidente sea real.
• Documentación técnica accesible: diagramas de red, credenciales de emergencia en bóveda segura, procedimientos de aislamiento de sistemas, contactos de proveedores críticos.

El primer error que cometen muchas empresas es reaccionar sin entender primero qué tipo de incidente tienen entre manos. Apagar todo sin un criterio claro puede destruir evidencias críticas en memoria RAM, interrumpir logs activos o alertar al atacante de que ha sido detectado.

Acciones clave:

• Análisis inicial de indicadores: revisa logs y alertas de sistemas de seguridad (EDR, SIEM, firewall, proxy web, autenticación). Busca patrones anómalos: conexiones a IPs sospechosas, ejecuciones de procesos no habituales, accesos fuera de horario.
• Identificación de sistemas afectados: determina qué dispositivos, cuentas de usuario o servicios muestran comportamiento irregular. Mapea las relaciones entre sistemas comprometidos para entender vectores de propagación.
• Línea temporal del incidente: establece desde cuándo puede estar activo el ataque. El malware suele permanecer latente días o semanas antes de ejecutar su payload. Identifica el punto de entrada inicial si es posible.
• Clasificación del tipo de incidente: ¿ransomware?, ¿exfiltración de datos?, ¿acceso no autorizado persistente?, ¿compromiso de correo corporativo (BEC)?, ¿DDoS?, ¿cryptojacking? Cada tipo requiere una estrategia de contención diferente.
• Documentación forense inmediata: registra todas las observaciones con marca temporal precisa. Captura pantallazos, hashes de archivos sospechosos, volcados de memoria si es posible. Esta información será clave para la investigación y posibles acciones legales.

Pregunta clave en esta fase: ¿está el ataque en curso todavía o ya ha concluido?

La contención es urgente, pero debe ejecutarse con método. El objetivo de esta fase no es resolver el problema de raíz, sino aislar la amenaza e impedir que el incidente se extienda a más sistemas o cause mayor daño, mientras se preservan las evidencias para la investigación posterior.

Acciones inmediatas (primeros 30-60 minutos):

• Aislamiento de red de sistemas afectados: desconecta físicamente del switch o desactiva interfaces de red (cable ethernet fuera, WiFi desactivado). Prioriza el aislamiento sobre el apagado completo.
• Preservación de evidencias volátiles: evita apagar equipos comprometidos a menos que sea absolutamente necesario. Los datos en memoria RAM son críticos para el análisis forense y se pierden con el apagado.
• Contención preventiva de activos críticos: aísla servidores de bases de datos, controladores de dominio, sistemas de backup y servicios esenciales aunque no muestren síntomas. El atacante puede tener acceso latente sin actividad visible.
• Revocación de credenciales comprometidas: bloquea cuentas afectadas, fuerza el cierre de sesiones activas y cambia contraseñas críticas desde un dispositivo verificado como limpio.
• Suspensión temporal de vectores de entrada: deshabilita accesos remotos (VPN, RDP, SSH externo) hasta verificar su integridad. Revisa reglas de firewall y cierra puertos innecesarios.
• Control de dispositivos externos: no conectes memorias USB, discos externos ni dispositivos móviles a sistemas potencialmente comprometidos. Pueden convertirse en vectores de propagación o contaminar backups.

Antes de restaurar nada, hay que asegurarse de que el atacante ya no está en tus sistemas. Este es el paso que más empresas se saltan por las prisas de volver a la normalidad, y el que más caro les acaba saliendo, pues una erradicación incompleta significa que el atacante puede volver, a menudo en cuestión de horas o días.

El objetivo es eliminar por completo la presencia del atacante en la infraestructura, cerrando todos los vectores de acceso y asegurando que no quedan mecanismos de persistencia activos.

Acciones clave:

• Análisis forense completo: examina todos los dispositivos de la red, no solo los que mostraron síntomas evidentes. Busca indicadores de compromiso (IoC): hashes de malware conocido, persistencia en registro, tareas programadas sospechosas o cuentas de usuario no autorizadas.
• Eliminación de mecanismos de persistencia: verifica y elimina backdoors, webshells en servidores, claves SSH no autorizadas, certificados digitales fraudulentos, cuentas ocultas de administrador o servicios maliciosos ejecutándose como procesos del sistema.
• Renovación completa de credenciales: cambia contraseñas de todas las cuentas con privilegios (administradores, cuentas de servicio, accesos a aplicaciones críticas).
• Cierre de vulnerabilidades explotadas: aplica parches de seguridad pendientes que puedan haber sido el vector inicial. Actualiza sistemas operativos, aplicaciones, plugins, firmware de dispositivos de red.
• Reconstrucción de sistemas críticos: en compromisos graves, puede ser necesario formatear equipos y llevar a cabo una reinstalación completa desde medios verificados.
• Validación de integridad: verifica hashes de archivos del sistema contra valores conocidos buenos, revisa logs de auditoría para detectar modificaciones no autorizadas y comprueba la integridad de backups antes de usarlos para restauración.

Es importante no dar por terminada esta fase hasta que un análisis de seguridad independiente confirme la ausencia de actividad maliciosa tras una monitorización continua. En esta fase es esencial la intervención de un especialista en ciberseguridad, por lo que si tu equipo no tiene experiencia en la gestión de incidentes complejos, es momento de llamar a un servicio externo como el de Lunia. El coste de una erradicación profesional es insignificante comparado con el de una reinfección que obligue a repetir todo el proceso.

La recuperación no significa encender los equipos y rezar para que todo funcione. Significa restaurar la actividad con garantías técnicas verificables, en un orden planificado y bajo monitorización estricta. Para ello, hay que seguir un protocolo de restauración segura:

Acciones clave:

1. Verifica la integridad de las copias de seguridad antes de restaurarlas: escanea con antimalware actualizado antes de usar cualquier backup, pues una copia infectada restaurará también el malware.
2. Análisis temporal de compromiso: si el ransomware llevaba semanas en tu sistema antes de activarse, tus backups recientes también pueden estar comprometidos. Identifica el punto temporal anterior al compromiso inicial y restaura desde ahí cuando sea posible.
3. Restaura en entorno aislado primero: levanta sistemas restaurados en una red aislada y, una vez validado su funcionamiento, reincorpora a producción.
4. Priorización por criticidad: restaura primero los sistemas esenciales para la continuidad del negocio según tu plan de continuidad.
5. Endurecimiento durante la recuperación: aprovecha la restauración para implementar mejoras de seguridad, como principio de mínimo privilegio o MFA en accesos críticos.
6. Monitorización intensiva: implementa una monitorización reforzada durante las primeras semanas que incluya alertas en tiempo real, ya que es muy común que los atacantes dejen puertas traseras para volver.

Esta fase aporta un valor significativo a largo plazo a las empresas, aunque es la fase que más organizaciones omiten. El objetivo es analizar el incidente de forma que nos permita identificar fallos y documentar el conocimiento adquirido para implementar las mejoras necesarias. Las empresas que documentan y actúan sobre las lecciones aprendidas reducen significativamente el riesgo de reincidencia.

Acciones clave:

• Reunión del equipo de respuesta: convoca una sesión de análisis con todos los implicados en las 1-2 semanas siguientes al cierre del incidente. El objetivo no es buscar culpables, sino entender qué funcionó y qué no.
• Documentación completa del incidente: elabora un informe detallado que incluya: cronología completa desde el punto de entrada hasta la recuperación final, vector de ataque y técnicas utilizadas por el atacante, acciones de respuesta ejecutadas y su efectividad.
• Análisis de causas raíz: intenta identificar los fallos de una forma profunda. Hazte preguntas como ¿por qué no se detectó antes? ¿Qué control de seguridad ha fallado?
• Evaluación de la respuesta: analiza si el plan de respuesta ha sido efectivo. Para ello, analiza los tiempos de detección, contención y recuperación, la comunicación interna y externa, la disponibilidad de herramientas y recursos necesarios, y la claridad de roles y responsabilidades.
• Plan de acción correctivo: define medidas específicas, asignadas y con plazos concretos, así como los controles técnicos a implementar.
• Actualización del plan de respuesta a incidentes: modifica el plan de respuesta a incidentes si es necesario con la nueva información y el aprendizaje adquiridos.

Mientras gestionas la crisis técnica, hay obligaciones legales con plazos muy concretos que no puedes ignorar. A continuación mencionamos algunas de ellas:

Si el ciberataque ha comprometido datos personales de clientes, empleados o proveedores, es importante notificar a la AEPD en un plazo de 72 horas desde que tienes conocimiento de la brecha de seguridad. No todos los ciberataques requieren notificación a la AEPD. Si solo afecta a sistemas sin datos personales o el riesgo es mínimo, puede no ser obligatorio.

La notificación debe incluir:

• Naturaleza de la brecha (qué tipo de datos y cuántos afectados).
• Consecuencias probables del incidente.
• Medidas adoptadas o propuestas para solucionar la brecha.

No notificar en plazo puede conllevar sanciones de hasta 10 millones de euros o el 2% de la facturación global anual, dependiendo del caso, gravedad, diligencia, impacto, reincidencia, etc.

Paralelamente, es recomendable (y en muchos casos obligatorio) denunciar el incidente ante:

• Policía Nacional — Brigada de Investigación Tecnológica (BIT)
• Guardia Civil — Grupo de Delitos Telemáticos (GDT)

Esta denuncia tiene valor legal y puede ser necesaria para reclamar a un seguro o para acciones civiles posteriores.

Otra medida recomendada es contactar con INCIBE-CERT a través de su servicio de respuesta a incidentes (para empresas: incibe.es o teléfono 017) para contar con su orientación y apoyo.

Aunque siempre es recomendable, el RGPD también obliga a informar a las personas cuyos datos hayan sido comprometidos cuando el riesgo para ellas sea alto (por ejemplo, datos bancarios o credenciales comprometidas). Esta comunicación debe ser:

• Clara, sin tecnicismos.
• Específica sobre qué datos pueden haber quedado expuestos.
• Orientativa: qué pueden hacer ellos para protegerse (cambiar contraseñas, activar doble factor, estar alerta ante phishing).
• Transparente sobre las medidas que tu empresa está adoptando.

Mientras el equipo técnico trabaja en la contención, el resto de la organización necesita saber qué está pasando y cómo actuar. El vacío de información genera rumores, acciones no coordinadas y filtraciones no controladas a clientes o en redes sociales.

Regla de oro: un único portavoz, un único mensaje. Prohíbe expresamente que empleados compartan información no verificada.

Muchas pymes subestiman el coste total de un incidente porque solo contabilizan el rescate o la reparación técnica inmediata. La realidad es que el impacto económico tiene múltiples capas:

Las empresas que actúan sin un plan de respuesta previo pueden enfrentar costes de recuperación hasta un 40% más elevados que aquellas que tienen protocolos establecidos.

Si el ataque es de tipo ransomware y los atacantes piden un rescate a cambio de descifrar tus datos, la posición de todos los organismos de seguridad —INCIBE, Europol, FBI— es clara: no pagues. Las razones para ello son sólidas:

• Pagar no garantiza recuperar los datos. Entre el 40% y el 60% de las empresas que pagan no llegan a recuperar toda su información.
• Pagar te convierte en objetivo recurrente: demuestra que estás dispuesto a pagar.
• En algunos casos, el pago puede tener implicaciones legales si el grupo atacante está en una lista de sanciones internacionales.
• Financia la actividad criminal y financia futuros ataques.

La alternativa es siempre intentar recuperar desde copias de seguridad limpias y recurrir a servicios especializados como No More Ransom (nomoreransom.org), que ofrece herramientas de descifrado gratuitas para ciertos tipos de ransomware.

Una vez estabilizada la situación, el trabajo preventivo es igual de importante que la respuesta. Un ciberataque bien gestionado puede ser el punto de inflexión que lleve a tu empresa a un nivel de seguridad mucho más robusto.

Como hemos mencionado anteriormente, una de las acciones clave en las semanas siguientes al ataque es realizar un análisis lo más honesto posible. Hazte preguntas como:

• ¿Por dónde entró el atacante?
• ¿Cuánto tiempo llevaba activo antes de ser detectado?
• ¿Qué medidas habrían evitado el incidente?
• ¿El plan de respuesta funcionó o hubo improvisación?

El 85% de los ciberataques exitosos empiezan con un error humano: un clic en un phishing, una contraseña reutilizada, un archivo adjunto abierto sin verificar. La tecnología por sí sola no es suficiente.

Un programa de formación en ciberseguridad debe incluir:

• Cómo identificar correos de phishing y smishing.
• Gestión segura de contraseñas (uso de gestores de contraseñas).
• Procedimiento ante sospechas: a quién avisar y cómo.
• Simulacros periódicos de phishing para evaluar la concienciación real.
• Protocolo de actuación ante incidentes para cada rol de la empresa.

En Lunia acompañamos a empresas de todos los tamaños, desde pymes hasta organizaciones con infraestructura compleja, tanto en la prevención como en la respuesta a incidentes de ciberseguridad. Nuestro equipo puede ayudarte a:

• Diseñar e implementar un plan de respuesta a incidentes adaptado a tu empresa.
• Realizar auditorías de seguridad y tests de penetración para detectar vulnerabilidades antes que los atacantes.
• Gestionar la respuesta técnica durante y después de un ataque.
• Cumplir con los requisitos legales del RGPD y la normativa española.
• Formar a tu equipo en concienciación y cultura de ciberseguridad.

Si has sufrido un incidente o quieres preparar a tu empresa para uno, contacta con nosotros. La preparación siempre resulta más económica que la improvisación.