Muchas pymes y profesionales no tienen un plan claro ante un incidente de seguridad. Lo habitual es que no se haga nada… hasta que algo grave ocurre. Un hackeo, una web caída o un acceso no autorizado pueden generar pérdidas económicas, de reputación y legales. Este artículo te da una guía para actuar si ya has sufrido un ataque, y una lista de control para revisar si estás preparado.
¿Qué hacer si tu web o tus sistemas han sido hackeados?
1. Mantén la calma y no tomes decisiones apresuradas
Lo primero es no entrar en pánico. Cortar todo de golpe o restaurar sin revisar puede empeorar las cosas o borrar evidencias importantes. Respira, evalúa, documenta y actúa con método.
2. Aísla el sistema afectado
Si es una web, desconéctala temporalmente (modo mantenimiento o desactivar acceso público). Si es un equipo o red interna, aísla el dispositivo del resto. Esto evita que el ataque se propague o que el atacante siga dentro.
3. Cambia todas las contraseñas
Desde el acceso al hosting o servidor, hasta el CMS, correos, FTP, y usuarios con permisos de administración. Usa contraseñas fuertes y únicas. Este paso es urgente.
4. Contacta con tu proveedor de hosting
Muchos hostings tienen protocolos para este tipo de incidentes. Algunos incluso cuentan con copias de seguridad limpias o escaneos automáticos de malware. Además, pueden ayudarte a revisar logs de acceso y errores.
5. Revisa logs y busca rastros del ataque
Accede al panel del servidor o al administrador del CMS para ver si hay accesos extraños, archivos nuevos, cambios no realizados por ti o comportamientos inusuales. Documenta todo lo que encuentres.
6. Restaura desde una copia de seguridad limpia
Siempre que sea posible, recupera una versión anterior no comprometida. Si no la tienes o no estás seguro de cuándo comenzó el ataque, no restaures sin hacer primero una limpieza completa.
7. Escanea y limpia archivos infectados
Usa herramientas como Wordfence, Sucuri o ImunifyAV para revisar la instalación de WordPress o tus archivos del servidor. A veces se insertan scripts ocultos, backdoors o redirecciones invisibles.
8. Revisa usuarios y permisos
Elimina cualquier usuario desconocido o sospechoso del CMS, el servidor o cualquier plataforma conectada. Asegúrate de que no hay accesos con privilegios innecesarios.
9. Comunica el incidente si es necesario
Si gestionas datos personales y ha habido una filtración, estás legalmente obligado a notificarlo a la AEPD en menos de 72 horas. También deberías informar a tus clientes de forma transparente si hay riesgos para ellos.
10. Aprende y documenta
El objetivo no es solo limpiar el desastre, sino evitar que vuelva a pasar. Documenta lo ocurrido, cuándo lo detectaste, cómo lo resolviste, y qué medidas tomarás a partir de ahora. Este aprendizaje es clave.
Lista de chequeo para saber si tu empresa está expuesta a un ataque
Este checklist no es técnico en exceso. Está pensado para pymes y autónomos que quieran hacer una revisión básica pero efectiva de su seguridad digital actual.
1. ¿Tienes un sistema de copias de seguridad automatizado y regular?
Idealmente diarias y almacenadas en un lugar externo al servidor principal.
2. ¿Tu web y tus plugins están actualizados?
WordPress, plugins y temas deben estar siempre en su última versión estable. Ya hemos hablado de esto de forma repetitiva, pero siempre me encuentro grandes sorpresas. La ultima: ¡Mi web está actualizada! Pero nadie ha revisado los plugins descontinuados que han dejado de mantener (y por lo tanto de notificar nuevas actualizaciones) y claro, a la vista está como actualizado, pero en realidad lleva 4 años sin mantenimiento y con problemas de seguridad.
3. ¿Tienes activado algún firewall o sistema de seguridad web?
Plugins como Wordfence o servicios externos como Cloudflare pueden reducir drásticamente el riesgo.
4. ¿Utilizas contraseñas seguras y únicas para cada servicio?
Nada de “123456” ni repetir contraseñas para todas las plataformas. Usa gestores como Bitwarden o 1Password. En otro post, conté lo que me ocurrió con un cliente y la frase que le decía su IPhone: «Esta contraseña se está utilizando 145 veces»
5. ¿Has activado autenticación en dos pasos (2FA) donde sea posible?
Esto aplica para hosting, acceso al CMS, email, y cualquier otra herramienta crítica. ¡Esto es un rollo! Es lo que me responden algunos clientes, pero gracias a esto, alguno se ha salvado de un problema mayor.
6. ¿Tienes usuarios con más permisos de los necesarios?
En WordPress, evita dar permisos de administrador a perfiles que solo escriben o editan. Y esto es algo que me encuentro de forma constante. ¡Todos son Administradores! Y eso no puede ser, salvo raras excepciones.
7. ¿Tu hosting tiene medidas activas de protección contra malware?
Muchos servicios incluyen protección activa, escaneo diario y aislamiento de cuentas. Esto es complicado saberlo si tu empresa no es del todo transparente. Consulta siempre las condiciones reales.
8. ¿Revisas logs de acceso, avisos de actividad sospechosa o notificaciones de seguridad?
No se trata de hacerlo cada día, pero sí tener una rutina básica o alertas activadas. Esto normalmente lo debería hacer la empresa que contratas, junto con las actualizaciones rutinarias y de seguridad.
9. ¿Sabes cómo actuar si algo falla o alguien accede sin permiso?
Tener un documento con pasos claros para actuar ante incidentes marca la diferencia. Sobre todo, porque de esa forma tanto el gerente de la empresa, como cualquier persona, podrá detectar fácilmente qué hacer en cada caso.
Cuántas veces me encontré con: el ordenador hace cosas raras y borra cosas sin yo hacer nada. Vale, sí, muchas veces culpa del usuario, pero otras no y pasamos por alto.
10. ¿Tienes una persona o empresa responsable de la seguridad digital?
Ya sea interna o externa. Si nadie está al tanto, es probable que no detectes problemas hasta que sea demasiado tarde. Aunque sí es cierto, que en muchos de los casos en los que sucede, la empresa tenía un «responsable/informático» que tiene más voluntad (y no siempre) que preparación y dedicación.
Aún recuerdo cuando a la gerente de una empresa con más de una decena de empleados le propuse una jornada «simple» de ciberseguridad para su empresa, donde hablamos de seguridad, emails que reciben y como detectar el fraude,… y me miró con cara de: menuda chorrada. La misma persona que tiene licencias de dudosa procedencia. Hace poco se nos fue la luz en toda España, pero tener luz y no poder acceder a ningún equipo de la empresa, es una autentica locura.
