Un lunes a primera hora, varios empleados no pueden abrir sus archivos y aparece una nota exigiendo un pago. O quizá un proveedor recibe un correo sospechoso enviado desde la cuenta de su empresa. Saber qué hacer ante un ciberataque empresarial en esos primeros minutos puede marcar la diferencia entre una interrupción controlada y varios días de parálisis, pérdida de datos y daño reputacional.
La prioridad no es encontrar inmediatamente al culpable ni restaurar todos los sistemas a toda velocidad. Es contener el incidente, preservar información útil para investigarlo y recuperar la operación de forma segura. Para una pyme, donde cada equipo y cada hora de actividad cuentan, improvisar suele salir mucho más caro que seguir un plan.
Qué hacer ante un ciberataque empresarial: actuar en la primera hora
El primer objetivo es evitar que el ataque se extienda. Un ransomware puede propagarse por carpetas compartidas; unas credenciales robadas pueden servir para acceder al correo, a aplicaciones en la nube o a cuentas bancarias. La rapidez importa, pero también la calma: borrar archivos, reiniciar servidores o pagar un rescate sin evaluar la situación puede destruir evidencias y complicar la recuperación.
Active a la persona o equipo responsable de gestionar incidentes, aunque sea un proveedor externo de TI. Debe existir una única vía de coordinación para que dirección, administración y usuarios no tomen decisiones contradictorias. Documente desde el principio qué se ha detectado, a qué hora, en qué equipos y quién ha intervenido.
En esa primera hora, conviene ejecutar estas acciones:
- Desconectar de la red los equipos afectados, retirando cable de red o desactivando la conexión inalámbrica. No los formatee ni elimine archivos.
- Bloquear o restablecer las contraseñas de cuentas potencialmente comprometidas, empezando por administradores, correo corporativo y servicios financieros.
- Suspender accesos remotos, VPN o cuentas externas que puedan estar relacionadas con el incidente hasta revisar su seguridad.
- Comprobar si las copias de seguridad siguen accesibles y aislarlas para evitar que también sean cifradas o alteradas.
- Registrar capturas de pantalla, mensajes de error, direcciones de correo, archivos sospechosos y cualquier dato que ayude a reconstruir lo ocurrido.
No todos los incidentes requieren apagar la infraestructura completa. Si el problema parece limitado a un dispositivo, aislarlo puede ser suficiente mientras se investiga. Si hay señales de propagación, actividad anómala en varias cuentas o cifrado de recursos compartidos, puede ser necesario segmentar áreas de la red o detener servicios concretos. La decisión depende del alcance y de la criticidad de cada sistema.
Determine el alcance antes de restaurar
Contener no equivale a resolver. Antes de recuperar archivos o volver a conectar equipos, hay que saber qué ha sido comprometido. Esta fase exige revisar registros de actividad, alertas de antivirus o EDR, accesos al correo, conexiones remotas, cambios de privilegios y movimientos inusuales de información.
Preguntas que deben tener respuesta
¿El atacante ha accedido a un único ordenador o a varias cuentas? ¿Se han cifrado datos, extraído documentos o ambas cosas? ¿Hay indicios de acceso a datos personales de clientes, nóminas, facturas o información bancaria? ¿Desde cuándo existe actividad sospechosa?
Estas respuestas permiten priorizar. Una caída del sistema de facturación puede afectar a la tesorería. Un acceso no autorizado al correo de dirección puede derivar en fraude por suplantación de identidad. La pérdida de datos personales obliga además a evaluar las obligaciones legales de notificación y protección de la privacidad con asesoramiento especializado.
También conviene revisar los equipos que no muestran síntomas. En muchos ataques, el dispositivo visible es solo el punto de entrada. Las credenciales pueden haberse utilizado días antes para crear cuentas nuevas, configurar reglas de reenvío de correo o desactivar defensas. Restaurar un servidor sin cerrar esa puerta es devolver el entorno al mismo riesgo.
Comunique con precisión, no con improvisación
El silencio interno genera rumores y los mensajes precipitados pueden crear problemas adicionales. La empresa necesita comunicar lo necesario a cada grupo, sin divulgar detalles técnicos que faciliten nuevos ataques ni afirmar hechos que aún no se han confirmado.
A los empleados, indíqueles qué deben hacer de inmediato: no abrir correos o adjuntos sospechosos, no conectar dispositivos externos, utilizar un canal alternativo para tareas urgentes y avisar de cualquier comportamiento extraño. Si existe la posibilidad de que sus credenciales hayan sido expuestas, pídales que cambien sus contraseñas desde un dispositivo seguro y que activen la autenticación multifactor donde esté disponible.
Los clientes y proveedores solo deben ser informados cuando el incidente afecte a un servicio, a una comunicación o a sus datos. El mensaje debe ser claro: qué ha ocurrido según la información disponible, qué medidas se han tomado, qué impacto pueden experimentar y dónde obtener ayuda. En casos con posible afectación a datos personales, la organización debe valorar los plazos y requisitos aplicables con sus responsables legales y de protección de datos.
Una buena comunicación protege la confianza, pero no sustituye a la investigación. Evite prometer una fecha de recuperación si todavía no se ha validado el entorno ni se conocen las dependencias entre sistemas.
Recupere los sistemas desde un entorno limpio
La presión por volver a operar puede llevar a restaurar la última copia disponible sin comprobarla. Es un error frecuente. Las copias de seguridad deben analizarse antes para confirmar que no contienen archivos cifrados, malware o configuraciones alteradas. Cuando sea posible, restaure primero en un entorno aislado y valide aplicaciones, permisos y datos antes de devolverlos a producción.
El orden de recuperación debe responder al impacto de negocio. Habitualmente se empieza por identidad y acceso, comunicaciones seguras, sistemas de facturación o ventas, archivos operativos y el resto de servicios. Sin embargo, una clínica, un despacho o una empresa logística pueden tener prioridades diferentes. El plan debe reflejar qué procesos no pueden detenerse y cuánto tiempo puede permanecer cada uno sin servicio.
Antes de reactivar los equipos, elimine la causa de entrada. Esto puede implicar parchear sistemas, actualizar aplicaciones, retirar software sin soporte, cerrar accesos remotos inseguros, cambiar credenciales, revisar permisos administrativos y reforzar la autenticación multifactor. Si no se puede asegurar que un equipo está limpio, es preferible reconstruirlo desde una imagen fiable que intentar conservar una instalación comprometida.
Pagar un rescate merece una evaluación muy prudente. No garantiza recuperar los datos, puede convertir a la empresa en un objetivo recurrente y no elimina la necesidad de investigar el acceso inicial. La existencia de copias verificadas, segmentación y un plan de continuidad reduce de forma significativa esa presión.
Convierta el incidente en una mejora medible
Cuando la actividad se estabiliza, empieza una fase que muchas empresas omiten: analizar lo sucedido sin buscar culpables internos. El objetivo es identificar el fallo técnico, organizativo o humano que permitió el ataque y corregirlo con prioridades y responsables concretos.
El informe posterior debe responder qué ocurrió, cómo se detectó, cuánto tardó la respuesta, qué sistemas y datos se vieron afectados, qué decisiones funcionaron y qué controles faltaban. Puede revelar, por ejemplo, que las copias existían pero nunca se habían probado, que un proveedor conservaba privilegios excesivos o que los empleados no tenían un canal sencillo para reportar un phishing.
A partir de ahí, el plan de mejora debe ser realista. No todas las pymes necesitan las mismas herramientas ni pueden ejecutar todos los cambios a la vez. Lo razonable es priorizar medidas con mayor impacto: inventario de activos, actualizaciones gestionadas, copias 3-2-1 probadas, segmentación de red, autenticación multifactor, formación periódica y monitorización de eventos relevantes.
LaNet acompaña a empresas que necesitan convertir esta respuesta en un proceso continuo, combinando soporte técnico, protección de la infraestructura y criterios de negocio. Externalizar parte de esta función puede ser especialmente útil cuando no existe un equipo interno dedicado a ciberseguridad.
Un ciberataque no se controla con una sola herramienta ni con un documento guardado en una carpeta. Se controla cuando las personas saben a quién avisar, los sistemas permiten aislar el daño y la empresa ha ensayado cómo seguir trabajando. Ese nivel de preparación no elimina el riesgo, pero devuelve a la dirección algo esencial durante una crisis: capacidad de decisión.