Login Probar gratis
Qué hacer tras un ciberataque: guía de respuesta para usuarios

Qué hacer tras un ciberataque: guía de respuesta para usuarios

por MataSpam Guías de Seguridad

Si te han hackeado una cuenta o sospechas que estás dentro de una intrusión activa, la respuesta incidente de las primeras dos horas marca la diferencia entre un susto y un desastre. Los pasos tras hackeo son siempre los mismos: contener, desconectar, cambiar credenciales y revisar accesos. El pánico no ayuda, y abrir un hilo en Twitter preguntando "me han hackeado, qué hago" tampoco. Esta guía te lleva por el protocolo que usan los equipos de respuesta profesionales, adaptado para usuarios y autónomos. Funciona tanto si han entrado por phishing, como por credencial filtrada en una brecha antigua o por malware instalado en el portátil. La idea es simple: actuar rápido, dejar rastro forense y recuperar cuenta sin perder más datos por el camino.

Las primeras dos horas: contención antes que limpieza

La tentación inicial es cambiar todas las contraseñas a la vez. Mal. Si tienes el equipo comprometido con un keylogger, las nuevas contraseñas viajan al atacante en tiempo real. Primero se aísla, después se rota.

El orden correcto de contención sigue una lógica de daños:

  1. Aísla el dispositivo sospechoso: desconecta el WiFi y el cable de red. No apagues el equipo todavía (la memoria RAM contiene evidencias forenses útiles).
  2. Cambia contraseñas desde un dispositivo limpio: el móvil suele ser una buena opción si el ataque viene del portátil, o viceversa.
  3. Empieza por el correo principal: quien controla tu email controla los resets de todo lo demás.
  4. Revisa sesiones activas: Gmail, Outlook, Apple ID, Microsoft 365 y la mayoría de servicios permiten cerrar todas las sesiones abiertas con un clic.
  5. Documenta todo: capturas, horas, direcciones IP sospechosas. Si acaba en denuncia o reclamación al banco, lo agradecerás.

La cuenta de correo es el eslabón crítico. Si el atacante ya está dentro de tu Gmail, puede haber configurado un reenvío automático silencioso o filtros que mueven a la papelera los emails de "actividad sospechosa". Revisa los ajustes de reenvío, filtros, aplicaciones conectadas y dispositivos vinculados antes de dar la cuenta por recuperada. Tenemos una guía detallada con los pasos exactos para recuperar una cuenta hackeada que cubre los servicios más comunes paso a paso.

Cómo saber por dónde han entrado

Sin saber el vector de entrada, todo lo que hagas después es maquillaje. Hay tres orígenes habituales y cada uno requiere acciones distintas.

VectorSíntomas típicosAcción prioritaria
Credencial filtradaLogin desde país extraño, sin malware en el equipoCambiar contraseñas y activar 2FA
PhishingRecuerdas haber introducido datos en un enlace de email/SMSRevisar todos los servicios donde uses esa contraseña
Malware en el equipoLentitud, procesos raros, antivirus desactivado, redireccionesEscaneo completo y considerar reinstalación

Comprueba si tu correo aparece en alguna brecha conocida usando Have I Been Pwned. Si sale, sabrás aproximadamente cuándo se filtró tu contraseña y en qué servicio. Para analizar adjuntos o URLs sospechosas, VirusTotal es la referencia gratuita habitual: agrega más de 70 motores antivirus y servicios de reputación.

Si el ataque vino por phishing tipo "paquete retenido en aduanas, paga 1,99 €", revisa nuestra guía sobre phishing de Correos y paquetería. Es la modalidad más común en España según los avisos del INCIBE durante los últimos años. La técnica suele venir acompañada de URLs con homoglifos (correoss.es, correos-envio.com) y certificados SSL emitidos minutos antes.

Recuperar accesos sin perder datos

Una vez contenido el incidente, toca recuperar lo perdido. El protocolo de recuperar cuenta varía según el proveedor, pero los principios son universales.

  • Google: usa google.com/accounts/recovery con el dispositivo y la red habituales. El sistema evalúa señales de confianza y suele ser más permisivo si pides el reset desde el móvil que normalmente usas.
  • Microsoft: formulario de recuperación en account.live.com/acsr. Pide responder a unas 30 preguntas sobre historial de la cuenta. Cuantas más respondas correctamente, mejor.
  • Apple: si tienes clave de recuperación, úsala. Si no, prepárate para esperar entre algunas horas y varios días según el caso.
  • Instagram / Meta: el flujo de "mi cuenta ha sido comprometida" pide un selfie en vídeo girando la cabeza. Funciona razonablemente bien si la cuenta tiene foto tuya real.
  • Banca: llama directamente al teléfono oficial impreso en el reverso de la tarjeta. No uses el del email que recibiste, ni busques en Google (los anuncios falsos de soporte bancario existen).

Activa 2FA con app autenticadora (Aegis, 2FAS, Authy) en lugar de SMS. El SIM swapping es un riesgo real, especialmente si el atacante ya conoce tus datos personales. Una llave física tipo YubiKey o Google Titan es la opción más robusta si manejas cuentas críticas o gestionas dinero por internet.

Limpieza del equipo: cuando reinstalar es la mejor opción

Si sospechas malware, escanear con un único antivirus no es suficiente. Los backdoors modernos evaden la mayoría de motores genéricos. Te recomendamos leer nuestro artículo sobre qué es un backdoor y cómo detectarlo para entender qué buscar.

Protocolo razonable de limpieza:

  1. Escaneo completo con el antivirus instalado.
  2. Segundo escaneo con Malwarebytes en modo gratuito (especialista en PUPs y adware).
  3. Para usuarios técnicos: Kaspersky Rescue Disk o ESET SysRescue arrancando desde USB, fuera del sistema infectado.
  4. Revisar extensiones del navegador. Eliminar todo lo que no recuerdes haber instalado.
  5. Comprobar tareas programadas y servicios de inicio (msconfig, autoruns de Sysinternals).

Si encuentras señales claras de compromiso profundo (rootkit, mineros, RAT), reinstalar el sistema desde cero es más rápido que perseguir cada artefacto. Conserva los datos importantes en disco externo, formatea, instala el sistema limpio y restaura solo documentos (nada de ejecutables ni instaladores). Para protección continua, herramientas comunitarias como las que describimos en la guía de CrowdSec añaden una capa de reputación colaborativa al firewall del equipo o del servidor.

Aviso a quien corresponda: bancos, empresa, autoridades

La respuesta incidente no termina en el portátil. Hay terceros a los que avisar, y cuanto antes, mejor.

  • Banco: si has compartido datos bancarios o ves cargos no reconocidos, bloquea tarjetas y abre disputa. La directiva PSD2 obliga a los bancos europeos a devolver cargos no autorizados salvo negligencia grave del usuario.
  • Empresa o cliente: si el equipo es de trabajo, avisa al responsable IT antes que a nadie más. Ocultar el incidente lo empeora.
  • INCIBE: el teléfono gratuito 017 ofrece ayuda a ciudadanos y empresas. Útil para orientación y para abrir un registro del incidente.
  • Policía: si hay perjuicio económico, suplantación de identidad o extorsión, denuncia en comisaría o en la sede electrónica de Policía Nacional / Guardia Civil. El atestado es necesario para algunas reclamaciones al banco.
  • AEPD: si eres responsable de tratamiento de datos (autónomo o empresa) y la brecha afecta a clientes, el RGPD obliga a notificarla a la Agencia Española de Protección de Datos en 72 horas.

Las empresas con tratamientos de datos sensibles deberían tener documentado un plan formal. Lo cubrimos con detalle en la guía de continuidad de negocio ante ciberataques y en el artículo sobre cómo auditar la seguridad informática de una empresa.

Después del susto: cómo evitar la segunda ronda

Los atacantes que han tenido éxito una vez vuelven a probar. Asume que tus datos están en alguna lista de "cuentas reactivadas, prueba de nuevo en 6 meses" y actúa en consecuencia.

Medidas mínimas razonables tras un incidente:

  • Gestor de contraseñas con contraseñas únicas por servicio (Bitwarden, 1Password, KeePassXC).
  • 2FA en todo lo que lo permita, priorizando app o llave física sobre SMS.
  • Alertas de inicio de sesión activadas en Google, Microsoft, Apple, banca y redes sociales.
  • Revisión semestral de cuentas conectadas y permisos OAuth.
  • Backups con regla 3-2-1: tres copias, en dos soportes, una de ellas fuera de línea.
  • Endurecimiento del navegador con extensiones razonables, tal como repasamos en la guía de privacidad para Chrome y Firefox.

El correo merece una mención aparte. La mayoría de ataques personales empiezan por un email malicioso que pasa el filtro nativo del proveedor. Reforzar esa capa con filtros adicionales reduce drásticamente la superficie de ataque. Si usas Apple Mail o iCloud, tenemos una guía específica de cómo filtrar spam en el ecosistema Apple.

Preguntas frecuentes

¿Cuánto tiempo tengo para reaccionar tras un hackeo?

Las primeras dos horas son críticas para contener daños. La rotación completa de credenciales y la revisión de accesos debería completarse en las primeras 24 horas. Si hay datos personales de terceros afectados, el RGPD da un máximo de 72 horas para notificar a la AEPD.

¿Debo pagar si me piden un rescate por mi cuenta o mis archivos?

La recomendación oficial de INCIBE, Europol y el FBI es no pagar. Pagar no garantiza recuperar nada, financia más ataques y te marca como objetivo dispuesto a pagar. Conserva el material como evidencia, denuncia y busca soluciones técnicas o backups.

¿Cómo sé si una contraseña que uso está filtrada?

Consulta Have I Been Pwned (haveibeenpwned.com) con tu email o con la contraseña concreta en la sección Passwords. La consulta usa k-anonymity: tu contraseña nunca se envía completa al servidor. Si aparece, cámbiala inmediatamente en cualquier servicio donde la uses.

¿Puedo denunciar un hackeo si el atacante está fuera de España?

Sí. La Policía Nacional y Guardia Civil tramitan denuncias por delitos informáticos aunque el origen sea internacional, a través de unidades especializadas (BCIT y GDT). La cooperación internacional vía Europol e Interpol es habitual en casos con perjuicio económico significativo.

¿Mi seguro cubre incidentes de ciberseguridad?

Algunos seguros de hogar y la mayoría de seguros para autónomos y pymes ya incluyen coberturas de ciberriesgo, normalmente con franquicia. Revisa la póliza o pregunta a tu mediador. Para empresas, los cyber insurance específicos cubren rescate, recuperación, peritaje forense y responsabilidad frente a terceros.

El siguiente paso

Abre ahora Have I Been Pwned, introduce tu correo principal y revisa en qué brechas aparece. Si encuentras alguna que no conocías, esa es tu prioridad absoluta de las próximas dos horas: cambiar la contraseña en ese servicio y en cualquier otro donde la hayas reutilizado.

respuesta incidente me han hackeado qué hacer hackeo recuperar cuenta pasos tras hackeo
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Cómo hacer una auditoría de seguridad informática en tu empresa
Guías de Seguridad

Cómo hacer una auditoría de seguridad informática en tu empresa

Seguridad en el móvil: guía definitiva para proteger tu Android o iPhone
Guías de Seguridad

Seguridad en el móvil: guía definitiva para proteger tu Android o iPhone

Guía para limpiar un PC infectado con malware paso a paso
Guías de Seguridad

Guía para limpiar un PC infectado con malware paso a paso

← Volver al blog