Son las 9 de la mañana de un lunes cualquiera. Tu responsable de IT entra en la oficina con cara de pánico: los archivos del servidor están cifrados, en pantalla aparece un mensaje en inglés exigiendo 5.000 € en bitcoin y nadie puede acceder al sistema de gestión de pedidos. Bienvenido al escenario que ninguna pyme quiere vivir, pero que el 60 % de las empresas españolas con menos de 50 empleados ha experimentado o experimentará en los próximos tres años, según datos del INCIBE. Los atacantes lo saben: las pymes tienen activos digitales valiosos —datos de clientes, acceso bancario, contratos— pero raramente cuentan con un equipo de seguridad dedicado. La diferencia entre recuperarte en 24 horas o perder semanas de trabajo (y enfrentarte a sanciones de la AEPD por filtración de datos) depende casi siempre de lo que hagas en los primeros 60 minutos. Esta guía te explica exactamente qué hacer, en qué orden y, sobre todo, qué evitar cuando el pánico se apodera del equipo.

Qué es exactamente un incidente de seguridad (y cómo reconocerlo)

No todos los ataques son tan evidentes como un ransomware con mensaje en pantalla. Muchos incidentes pasan semanas sin detectarse porque las señales son sutiles. Debes levantar la alerta ante cualquiera de estos síntomas:

  • Archivos cifrados o renombrados con extensiones desconocidas (el sello del ransomware).
  • Correos enviados desde tu dominio a contactos que nadie recuerda haber escrito.
  • Accesos a horas inusuales en los registros del servidor o del router.
  • Procesos desconocidos consumiendo CPU o red de forma continuada.
  • Credenciales que ya no funcionan sin que nadie las haya cambiado.
  • Clientes que avisan de haber recibido correos falsos supuestamente tuyos.

Ante cualquiera de estas señales, la regla número uno es no minimizarlo pensando «seguro que es un fallo técnico». En ciberseguridad, el tiempo de respuesta es crítico: cada minuto que el atacante permanece en tu red amplía el daño potencial.

Los primeros 60 minutos: contención sin cometer errores

La primera reacción de la mayoría de los administradores es apagar el equipo comprometido. Error grave. Al apagar el sistema pierdes la memoria RAM, que puede contener claves de cifrado, credenciales del atacante o evidencias forenses irreemplazables. El protocolo correcto en la primera hora es:

  1. Aislar, no apagar. Desconecta el equipo de la red (cable y WiFi) pero déjalo encendido. Si es un servidor virtual, ponlo en modo de red aislada desde el panel del proveedor.
  2. Capturar evidencias inmediatas. Haz capturas de pantalla de cualquier mensaje, anota los procesos activos y guarda los registros de eventos del sistema antes de tocar nada.
  3. Identificar el alcance. ¿Está afectado solo ese equipo o también el servidor de archivos, los ordenadores de otros empleados, el correo corporativo?
  4. Cambiar contraseñas desde un dispositivo limpio. Especialmente las cuentas de administrador, email corporativo y acceso bancario, usando un equipo que no esté en la misma red.
  5. Documentarlo todo con timestamps. Una libreta física es perfectamente válida. «10:23h — desconectado equipo de contabilidad de la red.» Este registro será imprescindible para el informe posterior.

A quién debes notificar y en qué plazo

Si el incidente ha comprometido datos personales de clientes, empleados o proveedores, tienes obligaciones legales concretas bajo el RGPD y la LOPDGDD que la mayoría de las pymes desconoce:

  • AEPD: Tienes 72 horas desde que detectas la brecha para notificarla si supone un riesgo para los derechos de las personas afectadas. No notificar a tiempo puede suponer multas de hasta el 2 % de la facturación anual.
  • INCIBE (017): El Instituto Nacional de Ciberseguridad ofrece ayuda técnica gratuita para pymes durante un incidente activo. Llama al 017. No te cuesta nada y puede ahorrarte miles.
  • Afectados directos: Si los datos filtrados incluyen información sensible (sanitaria, bancaria, contraseñas), debes notificar a las personas afectadas sin dilación indebida.
  • Tu seguro de ciberriesgo: Si tienes póliza, notifica a la aseguradora en las primeras horas. Muchas incluyen asistencia técnica forense y cobertura por lucro cesante.

Recuperación: backups, sistemas y vuelta a la normalidad

Una vez contenido el incidente, comienza la fase de recuperación. El orden importa tanto como en la contención:

  1. Verificar los backups antes de restaurar. ¿Cuándo fue el último backup limpio? ¿Está también cifrado por el ransomware? Un backup comprometido es peor que no tener ninguno.
  2. Reinstalar desde cero cuando sea posible. En equipos críticos es preferible una instalación limpia del sistema operativo a intentar «limpiar» el malware. Los rootkits modernos sobreviven a los antivirus.
  3. Restablecer TODAS las credenciales. No solo las del equipo comprometido. Asume que el atacante ha tenido acceso a todas las contraseñas que pasaron por ese sistema.
  4. Monitorizar durante 72 horas. Muchos ataques tienen una segunda fase. Vigila los registros de acceso, el tráfico de red y el comportamiento de los usuarios durante los tres días posteriores.

El informe post-incidente: la lección que el 80 % ignora

El 80 % de las pymes que sufren un incidente grave no elaboran ningún informe posterior. El informe post-incidente no es burocracia: es la herramienta que te protege de que vuelva a pasar. Debe incluir al menos: línea de tiempo detallada, vector de entrada (¿phishing? ¿contraseña débil? ¿software sin parchear?), alcance real del daño y lista concreta de medidas implementadas para cerrar las vulnerabilidades explotadas. Identificar el origen es imprescindible para no repetir el error.

¿Cómo protegerte antes de que ocurra el incidente?

La mejor respuesta a un incidente es la que no tienes que ejecutar porque lo has prevenido. La mayoría de los ataques a pymes comienzan por credenciales comprometidas: contraseñas reutilizadas, débiles o filtradas en brechas anteriores. Un gestor de contraseñas empresarial es la medida con mejor ratio coste-protección para cualquier empresa pequeña.

1Password for Business permite que cada empleado tenga contraseñas únicas y fuertes sin necesidad de recordarlas, comparte credenciales de equipo de forma cifrada y alerta automáticamente si alguna contraseña aparece en bases de datos de brechas conocidas. Con equipos de hasta 5 personas cuesta menos que un café al día. Prueba 1Password for Business gratis durante 14 días →

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *