El peor día de tu negocio digital
Llegas al trabajo y algo no funciona. Los archivos están cifrados, o el sistema muestra mensajes extraños, o tus clientes están recibiendo correos que tú nunca enviaste. Se te congela el estómago.
Las primeras 24 horas después de un ciberataque son las más críticas. Lo que hagas (o dejes de hacer) en ese lapso decide si tu negocio sobrevive con daño controlado o si se convierte en crisis mayor.
Esta guía no es teoría. Es lo que aplicamos con clientes reales en LATAM y España cuando llaman en pánico.
Primeras 2 horas: contener y evaluar
1. NO apagues los equipos, desconéctalos de la red
El error más común es apagar todo por pánico. Al apagar destruyes evidencia en memoria RAM que puede ser clave para entender qué pasó.
Lo correcto:
- Desconecta el cable de red o desactiva el WiFi de cada equipo afectado.
- Deja las computadoras encendidas pero aisladas.
- Si el ataque se propaga activamente, apaga el switch o router principal.
2. Identifica el alcance real
Rápidamente evalúa:
- ¿Cuántos equipos están afectados?
- ¿Los servidores fueron comprometidos?
- ¿La nube (Google Drive, OneDrive, correo) está sincronizando datos maliciosos?
- ¿Los backups están intactos y separados de la red afectada?
Pausa la sincronización de servicios en la nube inmediatamente para evitar que archivos comprometidos sobrescriban los buenos.
3. Toma fotografías con tu celular
Documenta pantallas de rescate, mensajes de error, comportamientos anómalos. Estas imágenes servirán para análisis forense y eventualmente para denuncia policial.
Horas 2 a 6: comunicar internamente y preservar evidencia
4. Convoca solo a las personas clave
No al equipo completo. Solo:
- Dueño o director general.
- Responsable de TI (interno o externo).
- Contador si hay implicancias financieras.
- Abogado si hay datos personales de clientes involucrados.
Usa WhatsApp o Signal desde líneas personales. NO uses el correo corporativo: puede estar comprometido y el atacante leerá tu coordinación.
5. Documenta todo en un cuaderno físico
Anota hora exacta de cada acción, quién la ejecutó, qué observaste. Esto es crítico si más adelante hay que reportar a autoridades o demostrar diligencia debida.
6. Preserva la evidencia digital
- Deja equipos afectados encendidos, desconectados y bajo custodia.
- No borres nada aunque parezca basura.
- No conectes memorias USB a los equipos comprometidos.
- Guarda una copia del mensaje de rescate en un dispositivo limpio.
Horas 6 a 12: decidir el camino de recuperación
7. Evalúa opciones sin pagar impulsivamente
Tienes tres rutas posibles:
Ruta A: Recuperación desde backups limpios. Si tienes backups inmutables o offline previos al ataque, es tu mejor opción. Verifica que los backups NO estén cifrados antes de proceder.
Ruta B: Descifrado gratuito. Sitios como No More Ransom (nomoreransom.org) tienen descifradores gratuitos para muchas familias de ransomware. Identifica la variante primero.
Ruta C: Respuesta profesional. Si el ataque es sofisticado o los datos son críticos y no hay backup, contrata una empresa especializada en respuesta a incidentes. Pueden negociar, analizar y en casos recuperar sin pagar.
8. NO pagues el rescate sin evaluación
Estadísticamente, pagar tiene menos del 65% de éxito de recuperación completa según reportes de la industria. Además:
- Marcas tu empresa como pagadora (te atacarán de nuevo).
- En muchos países pagar a grupos sancionados es delito.
- Alimentas al ecosistema criminal.
Horas 12 a 24: comunicación y notificaciones legales
9. Notifica a autoridades si corresponde
Según tu país:
- Perú: División de Investigación de Delitos de Alta Tecnología (DIVINDAT).
- España: INCIBE-CERT y policía nacional.
- México: Policía Cibernética.
- Colombia: CAI Virtual de la Policía.
En países con leyes de protección de datos (RGPD en España, Ley 29733 en Perú, LFPDPPP en México), si hay datos personales de clientes comprometidos, hay obligación legal de notificar en plazos definidos (72 horas en RGPD).
10. Comunica a clientes cuando tengas certeza técnica
No prometas nada sin información verificada. Un comunicado prematuro puede empeorar la crisis. Cuando comuniques:
- Qué pasó (sin detalles técnicos sensibles).
- Qué datos pueden estar afectados.
- Qué medidas están tomando.
- Cómo pueden protegerse (cambiar contraseñas, revisar cuentas).
11. Prepara continuidad operativa
Mientras se investiga, tu negocio necesita seguir funcionando:
- ¿Tienes equipos limpios para operaciones críticas?
- ¿Puedes trabajar temporalmente con lápiz y papel para pedidos básicos?
- ¿Tus proveedores y clientes clave saben cómo contactarte alternativamente?
Errores fatales a evitar
- Reiniciar equipos sin preservar evidencia primero.
- Pagar rescate impulsivamente en las primeras horas.
- Ocultar el incidente al equipo interno relevante.
- Comunicar públicamente antes de tener información verificada.
- Restaurar backups sin analizar si están limpios.
- Volver a usar contraseñas comprometidas en otros sistemas.
- Cambiar contraseñas desde equipos comprometidos (usa uno limpio).
Después de las 24 horas: los siguientes pasos
Una vez pasada la fase crítica, viene la recuperación que puede tomar días o semanas:
- Análisis forense para entender cómo entraron.
- Reconstrucción de sistemas en equipos limpios.
- Cambio de TODAS las contraseñas de la empresa.
- Auditoría de seguridad completa.
- Implementación de medidas para que no vuelva a pasar.
- Reportes ejecutivos y documentación para seguros y auditorías.
Cómo prevenir el próximo ataque
Todo lo anterior se evita drásticamente con:
- Backups inmutables: copias que no se pueden modificar aunque tengan credenciales de admin.
- EDR moderno en todos los equipos (no solo antivirus tradicional).
- Autenticación multi-factor obligatoria en correo, VPN, sistemas críticos.
- Actualizaciones automáticas activas para sistemas y aplicaciones.
- Capacitación al equipo sobre phishing y buenas prácticas.
- Plan de respuesta documentado para no improvisar en el peor momento.
- Simulacros anuales de respuesta a incidentes.
Preguntas frecuentes
¿Cuánto cuesta una respuesta profesional a incidentes?
Para empresas pequeñas y medianas, entre 2,000 y 15,000 dólares según alcance. Suele ser menor al rescate solicitado y con mejores garantías.
¿Cuánto tiempo toma recuperar operaciones normales?
Casos simples con backups limpios: 2-5 días. Casos complejos sin backup: 2-8 semanas. Cierres definitivos por mala respuesta: pueden ocurrir en semanas.
¿Es obligatorio denunciar el ataque?
Depende del país y del tipo de datos afectados. En países con leyes de datos personales, si hay clientes involucrados, hay obligaciones legales de notificación con plazos específicos.
¿Puedo demandar al atacante?
Técnicamente sí, pero rara vez es viable porque los atacantes suelen operar desde jurisdicciones donde es difícil enjuiciarlos. La denuncia sirve más para investigación general que para recuperación directa.
¿Mi seguro cubre ciberataques?
Solo si tienes póliza específica de ciberriesgo. Los seguros tradicionales no cubren estos casos. Consulta con tu bróker antes del incidente, no después.
Conclusión
Un ciberataque no es solo problema técnico, es crisis empresarial completa. Las primeras 24 horas definen el desenlace. Actuar rápido pero sin pánico, contener sin destruir evidencia, comunicar sin improvisar, y decidir con información marca la diferencia entre pérdida controlada y cierre del negocio.
Tener un plan documentado antes del ataque vale 100 veces más que improvisar durante el ataque.
En FDev ayudamos a empresas a implementar defensas modernas y planes de respuesta a incidentes. Si quieres una evaluación de tu preparación actual o necesitas respuesta urgente ante un incidente en curso, escríbenos por WhatsApp.
