mayo 7, 2026

Qué hacer durante las primeras 24 horas tras un ciberataque

Cuando una empresa sufre un ciberataque, las primeras horas son decisivas.

Puede tratarse de un ransomware, una cuenta de correo comprometida, una fuga de información, una intrusión en la red, un fraude por suplantación de identidad o un equipo infectado por malware.

En ese momento, lo más importante es no actuar con prisas sin criterio. Apagar equipos, borrar archivos, reinstalar sistemas o responder a los atacantes sin asesoramiento puede empeorar la situación y dificultar la recuperación.

Saber qué hacer tras un ciberataque ayuda a contener el problema, proteger la información, conservar evidencias y recuperar la actividad de la empresa de forma más segura.

En 2024, INCIBE gestionó 97.348 incidentes de ciberseguridad, un 16,6% más que en 2023. De ellos, 31.540 afectaron a empresas, incluyendo pymes, micropymes y autónomos. También detectó y notificó más de 183.000 sistemas vulnerables susceptibles de ser explotados.

Por qué las primeras 24 horas son tan importantes

Un ciberataque no siempre se detecta en el momento exacto en el que empieza. A veces la empresa se da cuenta cuando un equipo ya está cifrado, cuando un cliente avisa de un correo extraño o cuando alguien detecta accesos sospechosos.

Por eso, las primeras 24 horas deben servir para responder con orden.

Durante ese tiempo, la empresa debería centrarse en cinco objetivos:

contener el incidente
proteger los datos
evitar que el ataque se propague
conservar evidencias
recuperar la actividad sin reactivar el problema

La clave no es actuar rápido sin pensar, sino actuar rápido con método.

Mini diagnóstico: ¿tu empresa está preparada para responder a un ciberataque?

Marca las opciones que se parezcan a la situación actual de tu empresa:

No tenemos un protocolo claro para actuar ante un incidente
No sabemos a quién llamar si sufrimos un ciberataque
Las copias de seguridad no se revisan con frecuencia
No tenemos claro qué sistemas son críticos
El equipo no sabe cómo actuar ante correos sospechosos
No tenemos documentados usuarios, accesos y proveedores clave

Primera hora: contener el incidente sin destruir evidencias

La primera hora tras detectar un ciberataque debe centrarse en contener el problema.

Esto no significa borrar todo ni reinstalar equipos de inmediato. En muchos casos, esas acciones eliminan información necesaria para saber qué ha pasado.

Lo recomendable es actuar con calma y seguir estos pasos.

1. Aislar los equipos afectados

Si un ordenador, servidor o dispositivo parece comprometido, conviene aislarlo de la red.

Esto puede implicar desconectar el cable de red o desactivar la conexión WiFi del equipo afectado. La idea es evitar que el ataque se propague a otros sistemas.

No siempre es recomendable apagar el equipo directamente, porque puede perderse información útil para el análisis técnico. La decisión dependerá del tipo de incidente.

2. No borrar archivos ni mensajes sospechosos

Los correos fraudulentos, capturas de pantalla, notas de rescate, registros de acceso o archivos afectados pueden ser evidencias importantes.

Antes de eliminar nada, es mejor guardar la información relevante y comunicar el incidente al equipo técnico.

INCIBE recomienda aportar una descripción detallada del incidente, datos de contacto y, en casos como fraude o ransomware, elementos como correos sospechosos, cabeceras, adjuntos, nota de rescate o archivos cifrados cuando proceda.

3. Avisar al responsable interno o proveedor informático

Una empresa debe saber a quién avisar en caso de incidente.

Puede ser el responsable de IT, el proveedor de mantenimiento informático, el equipo de ciberseguridad o la persona encargada de coordinar proveedores.

Lo importante es que no haya dudas en el momento crítico.

Qué hacer

Aislar equipos afectados
Guardar evidencias
Registrar hora y síntomas
Avisar al equipo técnico
Revisar accesos sospechosos
Comprobar copias de seguridad

Qué evitar

Borrar archivos sin revisión
Reinstalar equipos sin analizar
Pagar rescates sin asesoramiento
Responder al atacante por impulso
Ocultar el incidente internamente
Restaurar copias sin verificar

Primeras 4 horas: entender el alcance del ataque

Después de contener la situación inicial, el siguiente paso es entender qué ha ocurrido y hasta dónde ha llegado el incidente.

No todos los ciberataques tienen el mismo impacto.

Puede haber un único equipo afectado, varias cuentas comprometidas, un servidor cifrado, una filtración de datos o una campaña de phishing enviada desde una cuenta corporativa.

Durante estas primeras horas conviene responder a preguntas como:

¿Cuándo se detectó el problema?
¿Qué equipo, cuenta o sistema está afectado?
¿Hay otros usuarios con síntomas similares?
¿Se han cifrado archivos?
¿Hay accesos sospechosos?
¿Se ha enviado correo desde una cuenta comprometida?
¿Hay datos personales afectados?
¿El servicio sigue operativo?
¿Qué sistemas son prioritarios para mantener la actividad?

El objetivo es pasar de “tenemos un problema” a “sabemos qué parte de la empresa está afectada”.

Dato clave

En 2024, más de 31.000 incidentes gestionados por INCIBE afectaron a empresas, pymes, micropymes y autónomos.

Este dato demuestra que la respuesta ante incidentes no es algo reservado a grandes compañías. Cualquier empresa necesita saber cómo actuar.

Primeras 8 horas: proteger cuentas, accesos y sistemas críticos

Muchos incidentes empiezan por una cuenta comprometida.

Puede ser una cuenta de correo, un usuario de Microsoft 365, un acceso remoto, una contraseña reutilizada o una cuenta antigua que seguía activa.

Por eso, una vez contenido el incidente, conviene revisar accesos.

1. Cambiar contraseñas críticas

Deben priorizarse las cuentas con mayor impacto:

administradores
correo corporativo
accesos remotos
ERP
CRM
cuentas de dirección
cuentas financieras
usuarios con permisos elevados

El cambio debe hacerse desde equipos seguros, no desde dispositivos sospechosos.

2. Revisar sesiones abiertas

En herramientas como Microsoft 365, correo corporativo, VPN o aplicaciones cloud, es importante cerrar sesiones activas y revisar accesos recientes.

Esto ayuda a evitar que el atacante siga conectado aunque se cambie la contraseña.

3. Activar o revisar el doble factor de autenticación

Si la empresa no tiene doble factor de autenticación en cuentas críticas, el incidente puede ser una señal clara para implantarlo.

El doble factor no elimina todos los riesgos, pero dificulta mucho el acceso no autorizado con una contraseña robada.

4. Revisar reglas de correo sospechosas

En ataques sobre cuentas de correo, los ciberdelincuentes pueden crear reglas ocultas para reenviar mensajes, borrar avisos o mantener el control de la comunicación.

Revisar reglas de bandeja de entrada, reenvíos automáticos y permisos delegados es fundamental.

Tipo de incidente	Primer paso recomendado	Qué revisar después
Ransomware	Aislar equipos afectados y conservar la nota de rescate	Copias de seguridad, propagación y posibles accesos iniciales
Cuenta de correo comprometida	Cambiar contraseña y cerrar sesiones	Reglas de correo, reenvíos, mensajes enviados y MFA
Phishing recibido	No abrir adjuntos y reportar el correo sospechoso	Usuarios que hicieron clic, contraseñas introducidas y accesos
Fuga de información	Identificar qué datos pueden haberse visto afectados	Obligaciones legales, permisos y trazabilidad de accesos
Equipo infectado	Aislar el equipo de la red	Origen de la infección, malware y otros equipos relacionados

Primeras 12 horas: comunicar internamente sin generar caos

La comunicación interna es una parte importante de la respuesta.

Si no se informa correctamente, pueden aparecer rumores, duplicidad de acciones o errores que empeoren el incidente.

El equipo debe saber qué está pasando, pero sin recibir información confusa o alarmista.

Una comunicación interna básica debería incluir:

qué se ha detectado
qué sistemas no deben utilizarse temporalmente
qué acciones debe evitar el equipo
a quién deben reportar síntomas
si deben cambiar contraseñas
si deben ignorar correos sospechosos
cuándo recibirán nuevas instrucciones

No todas las personas necesitan conocer todos los detalles técnicos. Pero sí deben saber cómo actuar para no aumentar el riesgo.

Plan de actuación tras un ciberataque

0-1 horas: contener

Aislar equipos afectados, no borrar evidencias, registrar hora de detección y avisar al responsable técnico.

1-4 horas: evaluar alcance

Identificar sistemas afectados, usuarios implicados, accesos sospechosos, datos comprometidos y servicios críticos.

4-8 horas: proteger accesos

Cambiar contraseñas críticas, cerrar sesiones activas, revisar MFA, analizar reglas de correo y bloquear accesos sospechosos.

8-12 horas: comunicar

Informar al equipo de forma clara, indicar qué no debe hacerse y establecer un canal único de coordinación.

12-24 horas: recuperar con control

Verificar copias de seguridad, restaurar sistemas prioritarios y monitorizar para comprobar que el incidente no continúa.

Primeras 24 horas: recuperar la actividad con seguridad

Una empresa necesita volver a trabajar cuanto antes, pero recuperar sistemas sin comprobarlos puede reactivar el problema.

Antes de restaurar equipos, servidores o archivos, conviene revisar:

si la copia de seguridad está limpia
si el origen del ataque sigue activo
si las credenciales comprometidas ya se han cambiado
si hay equipos aún infectados
si existen accesos remotos abiertos
si los sistemas restaurados funcionan correctamente
si se han aplicado medidas para evitar una repetición

INCIBE-CERT ofrece soporte técnico para ayudar en la resolución de incidentes y está disponible como servicio de respuesta 24x7x365 para empresas, ciudadanos y otros colectivos dentro de su ámbito de actuación.

Qué hacer si hay datos personales afectados

Si el incidente afecta a datos personales, la empresa debe prestar especial atención a sus obligaciones legales.

No todos los incidentes implican una brecha de datos personales, pero cuando existe riesgo para la información de clientes, empleados, proveedores u otras personas, hay que analizarlo correctamente.

INCIBE indica que, si una incidencia afecta a datos de carácter personal, debe notificarse antes de 72 horas por parte del responsable del tratamiento a la autoridad de control competente.

En estos casos, es recomendable coordinar la parte técnica con asesoramiento legal o de protección de datos.

Checklist de evidencias tras un ciberataque

Fecha y hora en la que se detectó el incidente
Equipos, usuarios o sistemas afectados
Capturas de pantalla de mensajes sospechosos
Correos electrónicos originales con cabeceras, si aplica
Nota de rescate, si existe ransomware
Archivos cifrados o modificados, si procede
Registros de acceso o actividad sospechosa
Acciones realizadas por el equipo desde la detección
Personas y proveedores contactados

Errores comunes tras sufrir un ciberataque

Uno de los errores más habituales es actuar sin un responsable claro. Si varias personas toman decisiones al mismo tiempo, puede haber duplicidad, pérdida de información o decisiones contradictorias.

Otro error frecuente es restaurar una copia de seguridad demasiado rápido. Si no se comprueba que la copia está limpia, el problema puede volver.

También es un error ocultar el incidente al equipo. Las personas necesitan instrucciones para no abrir correos, no usar determinados sistemas o reportar síntomas.

Otro fallo habitual es centrarse solo en recuperar el servicio y no analizar el origen. Si no se corrige la causa, el ataque puede repetirse.

Por último, muchas empresas no documentan lo ocurrido. Registrar las acciones tomadas permite aprender, reforzar la seguridad y responder mejor en el futuro.

Después del incidente: aprender y mejorar

Un ciberataque no termina cuando la empresa vuelve a trabajar.

Después de recuperar la actividad, conviene hacer una revisión completa:

qué ocurrió
cómo se detectó
qué sistemas se vieron afectados
cuánto tiempo estuvo parada la actividad
qué datos pudieron verse comprometidos
qué medidas funcionaron
qué falló
qué debe cambiarse

ENISA señala en su informe Threat Landscape 2024 que las amenazas contra la disponibilidad, el ransomware y las amenazas contra los datos se encuentran entre los principales riesgos de ciberseguridad analizados en Europa. Esto refuerza la importancia de no limitarse a reaccionar, sino de preparar planes de respuesta y continuidad.

Ibis Computer: IA práctica para mejorar la productividad de tu empresa

En Ibis Computer ayudamos a las empresas a proteger su infraestructura tecnológica, mejorar su seguridad y prepararse ante incidentes de ciberseguridad.

Saber qué hacer tras un ciberataque es importante, pero también lo es contar con una estrategia previa: copias de seguridad revisadas, accesos bien configurados, sistemas actualizados, protección de correo, monitorización y un plan de respuesta claro.

Si tu empresa ha sufrido un incidente o quiere prepararse antes de que ocurra, podemos ayudarte a revisar tu situación actual, detectar riesgos y definir medidas prácticas para proteger la actividad del negocio.

Cómo detectar una infraestructura informática obsoleta antes de que afecte a tu empresa

Cuentas compartidas y permisos olvidados: riesgos para la seguridad de tu empresa