32blogby StudioMitsu

¿Tu empresa fue hackeada? Guía de respuesta a incidentes para pymes

Ransomware, filtraciones de datos, accesos no autorizados: qué debe hacer una pyme inmediatamente después de un ciberataque, desglosado por tipo de incidente.

10 min read
securityincident-responseSMBNordPassNordVPNdata-breach

This article contains affiliate links.

Contenido

"Todos nuestros archivos están bloqueados." "Es posible que se hayan filtrado datos de clientes." Cuando recibes esa llamada, ¿sabes exactamente qué hacer?

Según la Agencia Nacional de Policía de Japón (NPA), los ataques de ransomware a pequeñas y medianas empresas (pymes) aumentaron un 37% interanual en 2024. Aproximadamente el 49% de las empresas afectadas tardaron más de un mes en recuperarse, y el 50% gastaron más de 70.000 dólares solo en costos de recuperación. La tendencia es global: el Verizon DBIR 2025 confirma que las pymes de todo el mundo enfrentan un riesgo desproporcionado de ransomware.

Este artículo no trata sobre prevención, sino sobre qué hacer después de ser atacado. Cubrimos tres tipos de incidentes: ransomware, filtraciones de datos y DDoS/accesos no autorizados, con instrucciones paso a paso que funcionan incluso sin un equipo de TI dedicado.

Incidente ocurreRansomware / FiltraciónAtaque detectadoDetectarIdentificar y preservar evidenciaIniciar respuestaResponderAislar / Reportar / Ejecutar planRestaurar el negocioRecuperarReanudar operaciones / Prevenir recurrencia

Las pymes son objetivos principales — los números no mienten

"Somos demasiado pequeños para ser un objetivo" es un mito peligroso.

Según el Verizon DBIR 2025, el 88% de las brechas en pymes involucraron ransomware — más del doble del promedio general del 39%. La razón es simple: las pequeñas empresas invierten menos en seguridad, lo que las convierte en objetivos fáciles.

Los dos principales métodos de intrusión hablan por sí solos (encuesta Sophos 2025):

PosiciónPunto de entradaPorcentaje
1.°Explotación de vulnerabilidades (software sin parches)32%
2.°Credenciales comprometidas (contraseñas filtradas/reutilizadas)23%

El segundo punto de entrada — credenciales comprometidas — se debe directamente a la reutilización de contraseñas y contraseñas filtradas que nadie revisó. Ejecutar una verificación de filtraciones con el Data Breach Scanner de NordPass en el dominio de tu empresa puede reducir significativamente este riesgo.

La primera hora: qué hacer inmediatamente después de un ataque

Tus acciones en los primeros 60 minutos determinan la magnitud del daño. Basándonos en NIST SP 800-61 y las guías de CISA, esto es lo que debes hacer — incluso sin un equipo de TI dedicado.

1. Desconectar de la red

Desconecta el cable Ethernet. Desactiva el Wi-Fi. No apagues el equipo — perderás evidencia almacenada en la memoria.

bash
# Windows (Símbolo del sistema como administrador)
netsh interface set interface "Wi-Fi" disable
netsh interface set interface "Ethernet" disable
bash
# Mac/Linux
sudo ifconfig en0 down  # Wi-Fi
sudo ifconfig en1 down  # LAN por cable

2. Preservar la evidencia

Toma capturas de pantalla de todo: notas de rescate, mensajes de error, correos sospechosos. Una foto con el móvil de la pantalla también sirve como evidencia.

Documenta lo siguiente:

  • Marca de tiempo (cuándo se descubrió, cómo se encontró)
  • Alcance (qué equipos, qué sistemas)
  • Acciones realizadas (qué se hizo antes y después del descubrimiento)

3. Notificar a los contactos clave

ContactoPropósitoInformación
DirecciónToma de decisiones (respuesta al rescate, etc.)Interno
INCIBE-CERT (España)Orientación técnicahttps://www.incibe.es/incibe-cert
Policía/Guardia CivilDenunciaComisaría local o denuncia online
Asesor legalObligaciones regulatoriasTu abogado
Clientes/sociosPrevenir daños secundariosDespués de confirmar el alcance

Respuesta al ransomware: recuperación paso a paso sin pagar

Cuando tu pantalla muestra "Tus archivos han sido cifrados. Paga Bitcoin para descifrarlos" — sigue estos pasos.

Lo que NO debes hacer

  • No pagues el rescate. Según la investigación de Veeam en 2025, el 36% de las organizaciones se negaron a pagar, y el 25% recuperaron sus datos sin pagar. El pago no garantiza el descifrado
  • No reinicies el equipo infectado. Las claves de descifrado en memoria podrían perderse
  • No crees copias de seguridad después de la infección. El destino del backup también puede infectarse

Paso 1: Identificar el ransomware

Verifica la extensión de los archivos cifrados (.locked, .crypt, etc.). Sube una muestra a ID Ransomware (https://id-ransomware.malwarehunterteam.com/) para identificar la variante específica.

Paso 2: Buscar herramientas de descifrado

Consulta No More Ransom (https://www.nomoreransom.org/) para herramientas de descifrado gratuitas. Este proyecto respaldado por Europol cubre más de 200 familias de ransomware.

Paso 3: Restaurar desde la copia de seguridad

Si tienes copias de seguridad offline (no conectadas a la red infectada):

  1. Instala el sistema operativo limpio en los equipos infectados
  2. Restaura los datos desde la copia de seguridad
  3. Cambia todas las contraseñas de todas las cuentas

Si no existe copia de seguridad, contacta con una empresa de análisis forense digital. Es caro, pero más barato que la pérdida total de datos.

Paso 4: Restablecer todas las contraseñas de la empresa

Independientemente de si la intrusión fue por credenciales comprometidas, restablece todas las contraseñas como precaución. Un gestor de contraseñas te permite desplegar contraseñas fuertes y únicas a todos los empleados de forma instantánea.

Respuesta a filtraciones de datos: obligaciones legales y pasos de notificación

Datos personales de clientes, registros de empleados, información confidencial de socios — lo que se filtró determina tu respuesta.

Los requisitos de notificación varían según la jurisdicción

JurisdicciónPlazoAutoridad
RGPD (UE)72 horasAutoridad de Supervisión (AEPD en España)
Japón3-5 días (preliminar), 30 días (completo)Comisión de Protección de Información Personal
EE. UU. (varía por estado)30-90 días (mayoría de estados)Fiscal General del estado
LATAM (varía por país)15-30 días (Argentina, Colombia, México)Autoridad de protección de datos local

Paso 1: Determinar el alcance

  • ¿Qué bases de datos/archivos fueron accedidos?
  • ¿Cuántos registros están afectados?
  • ¿Cuánto tiempo estuvo activa la brecha? (Revisa los registros de acceso)

Paso 2: Detener la hemorragia

  • Cierra el vector de la brecha (desactiva cuentas comprometidas, parchea la vulnerabilidad, desconecta la aplicación)
  • Monitorea si los datos filtrados aparecen en mercados de la dark web

Paso 3: Notificar e informar

  1. Presenta el informe regulatorio requerido
  2. Notifica a los individuos afectados (correo electrónico/carta)
  3. Emite un comunicado de prensa si la magnitud lo justifica
  4. Informa a los socios comerciales

Paso 4: Prevenir la recurrencia

  • Corrige la causa raíz (parche, revisión de controles de acceso)
  • Restablece todas las contraseñas de la empresa
  • Configura monitoreo continuo con el Data Breach Scanner de NordPass en el dominio de tu empresa

DDoS y accesos no autorizados: guía de contención

"El sitio web se puso lento de repente." "Alguien inició sesión desde una IP desconocida." Estos también son incidentes.

Ataques DDoS

  1. Verifica tu CDN/WAF: Si usas Cloudflare, activa el "Modo Bajo Ataque"
  2. Contacta a tu ISP: Solicita filtrado upstream
  3. Preserva los registros de acceso: Registra las IPs atacantes (necesario como evidencia)
  4. Denuncia a las autoridades: Los DDoS pueden constituir un delito en tu jurisdicción

Accesos no autorizados

  1. Desactiva la cuenta comprometida inmediatamente
  2. Termina todas las sesiones activas
  3. Identifica el punto de entrada desde los registros de acceso (¿SSH? ¿Panel de administración? ¿API?)
  4. Cierra el punto de entrada (cierra puertos, añade restricciones de IP, exige MFA)
  5. Verifica el movimiento lateral hacia otros sistemas

Cinco cosas que hacer después de que el incidente termine

El ataque se detuvo, pero tu trabajo apenas comienza.

1. Escribir un informe del incidente

Documenta todo:

  • Cronología (detección, respuesta, resolución)
  • Alcance (sistemas afectados, datos, duración)
  • Causa raíz
  • Acciones de remediación tomadas
  • Lecciones aprendidas

Este informe es esencial para la comunicación con clientes, reclamaciones de seguros y procedimientos legales.

2. Corregir la causa raíz

"Fortalecimos nuestro firewall" no es suficiente. Si la causa fue la reutilización de contraseñas, despliega un gestor de contraseñas en toda la empresa. Si fue un servidor sin parches, establece un proceso de gestión de parches.

3. Considerar un seguro cibernético

Con el 50% de los costos de recuperación de pymes superando los 70.000 dólares, el seguro cibernético es una decisión empresarial racional. Muchas pólizas cubren análisis forense, honorarios legales y costos de notificación.

4. Capacitar a los empleados

Mientras el incidente aún está fresco en la memoria de todos, realiza una sesión de formación en seguridad para toda la empresa. Los recursos gratuitos de CISA para pequeñas empresas son un excelente punto de partida.

5. Actualizar el plan de respuesta

Incorpora las lecciones de este incidente en el plan de respuesta de la siguiente sección. Documenta mejoras específicas para estar mejor preparado la próxima vez.

Crea tu plan de respuesta a incidentes hoy (checklist gratuito)

Según la encuesta de Sophos 2025, la mayoría de las pequeñas empresas carecen de un plan formal de respuesta a incidentes. Crear uno hoy te pone por delante de la gran mayoría de las empresas.

Como mínimo, anota lo siguiente en una sola hoja de papel:

Lista de contactos

RolNombreTeléfonoCorreo
Responsable de incidentes
Soporte TI (interno/externo)
Asesor legal
Aseguradora cibernética
INCIBE-CERThttps://www.incibe.es/incibe-cert
Policía/Guardia CivilComisaría local

Checklist de respuesta inmediata

  • Desconectar de la red (desenchufar Ethernet / desactivar Wi-Fi)
  • Capturar pantalla de todo lo visible
  • Notificar al responsable de incidentes
  • Evaluación inicial del alcance (qué equipos, qué datos)
  • Preservar evidencia (registros, correos, capturas)
  • Decidir si reportar a INCIBE-CERT / autoridades
  • Si puede haber datos personales involucrados → preparar notificación de brecha

Checklist de prevención

  • Copias de seguridad offline periódicas (al menos semanales)
  • Gestor de contraseñas desplegado en toda la empresa
  • VPN para todo acceso remoto
  • Actualizaciones automáticas de SO y software habilitadas
  • MFA habilitado en todas las cuentas
NordPass Business

Gestión de contraseñas para pymes — prueba gratuita de 14 días

  • Cifrado xChaCha20 con arquitectura de conocimiento cero
  • Certificación ISO 27001 / SOC 2 Type 2
  • Consola de administración para gestión empresarial

Conclusión

Los ciberataques no son una cuestión de "si" sino de "cuándo". Los incidentes en pymes siguen aumentando, con 116 casos de ransomware reportados a la NPA de Japón solo en el primer semestre de 2025 — un récord para cualquier semestre.

El factor más crítico es lo que haces en la primera hora. Aislamiento de red, preservación de evidencia y contactar a las personas correctas — ejecutar estos tres pasos inmediatamente puede reducir el daño en órdenes de magnitud.

Imprime el checklist de este artículo y pégalo en la pared de tu oficina. Esa simple hoja de papel podría salvar tu empresa algún día.

Artículos relacionados: