Cuando aparece un problema de seguridad en una empresa, lo más peligroso no siempre es el incidente en sí. Muchas veces, lo que más agrava la situación es la reacción inicial: improvisar, correr sin orden, tocar demasiadas cosas a la vez o perder tiempo en discutir qué ha pasado antes de contenerlo.
En una pyme esto es todavía más habitual, porque no suele haber un equipo dedicado solo a seguridad. Lo normal es que el problema aparezca en mitad de la operativa diaria y que alguien tenga que decidir rápido qué hacer, con información incompleta y bastante presión.
En este artículo veremos qué hacer ante un incidente de ciberseguridad en tu empresa, cómo ordenar las primeras horas y qué errores conviene evitar para reducir el impacto real.
Las primeras horas importan más de lo que parece
No todos los incidentes son iguales, pero muchos comparten una misma dificultad: al principio casi nunca se entiende del todo lo que está pasando.
Puede parecer un correo raro, un acceso que no funciona, una web que se comporta de forma extraña, archivos que desaparecen, un usuario que recibe mensajes sospechosos o un dispositivo que empieza a dar problemas sin explicación clara.
En ese punto, lo importante no es tener un diagnóstico perfecto. Lo importante es actuar con criterio para:
- frenar daños innecesarios,
- conservar acceso a lo importante,
- evitar que el incidente se extienda,
- y ganar tiempo para analizar mejor la situación.
En las primeras horas no gana quien toca más cosas. Gana quien consigue contener, priorizar y entender qué está en juego.
❌ Error habitual: querer resolverlo todo antes de controlarlo
Uno de los errores más comunes es intentar arreglar el problema demasiado pronto.
Por ejemplo:
- reiniciar equipos sin pensar,
- borrar correos o archivos sospechosos deprisa,
- cambiar muchas contraseñas a la vez sin priorizar,
- o tocar configuraciones sin tener claro qué se está intentando proteger.
Ese impulso es comprensible, pero a menudo complica más la situación. Antes de resolver, conviene contener. Antes de tocar todo, conviene identificar qué puede estar más expuesto.
✅ Qué hacer durante las primeras horas
No hace falta tener un protocolo espectacular para reaccionar mejor. Hace falta cierto orden.
1. Detecta si el problema puede afectar a algo importante
Lo primero es valorar si el incidente puede comprometer:
- correo corporativo,
- accesos a herramientas clave,
- datos de clientes,
- la web,
- equipos del negocio,
- o cuentas compartidas.
No hace falta tener certeza absoluta. Basta con detectar si el problema puede tener impacto operativo o de seguridad para pasar de la duda a la contención.
2. Corta el alcance cuanto antes
Si sospechas que una cuenta, un dispositivo o un sistema puede estar comprometido, conviene reducir exposición cuanto antes.
Eso puede implicar, según el caso:
- cerrar sesiones activas,
- desconectar temporalmente un equipo de la red,
- bloquear accesos concretos,
- retirar permisos,
- o parar una parte de la operativa hasta entender mejor el problema.
La idea no es paralizar la empresa entera. La idea es evitar que el incidente siga creciendo mientras decides el siguiente paso.
3. Ordena los hechos antes de tocar más cosas
Cuando el problema ya está algo contenido, toca mirar con más calma:
- qué señal hizo saltar la alerta,
- qué usuario o sistema está afectado,
- desde cuándo puede estar ocurriendo,
- y qué accesos o datos podrían haberse visto implicados.
No hace falta montar una investigación forense. Pero sí conviene ordenar hechos básicos antes de seguir tocando cosas.
4. Prioriza las cuentas y accesos críticos
Si hay riesgo de compromiso, no todos los accesos valen lo mismo. Conviene empezar por:
- correo corporativo,
- cuentas de administración,
- banca o herramientas de gestión,
- web y hosting,
- servicios con datos sensibles,
- y cualquier sistema usado para recuperar otras cuentas.
Este punto conecta mucho con revisar qué cuentas siguen abiertas o demasiado expuestas.
5. Comprueba si tienes margen real para recuperar
En algunos incidentes, la diferencia entre un susto serio y una crisis real está en esto: saber si puedes recuperar algo importante sin depender del sistema afectado.
Por eso, en las primeras horas conviene confirmar:
- si existen copias recientes,
- si están fuera del entorno afectado,
- y si realmente servirían para recuperar lo importante.
No es momento de restaurar a ciegas, pero sí de saber con qué margen cuentas.
6. Deja un registro mínimo de lo que ocurre
En una pyme, cuando varias personas intervienen a la vez, es muy fácil perder el hilo. Por eso conviene anotar, aunque sea de forma simple:
- qué se detectó,
- a qué hora,
- qué se ha bloqueado o cambiado,
- quién ha hecho cada acción,
- y qué dudas siguen abiertas.
Ese orden básico ayuda mucho a no duplicar errores y a explicar mejor la situación si luego hace falta apoyo externo.
Si hay presión, el orden vale más que la velocidad aparente.
🚫 Qué no conviene hacer en caliente
No lo minimices demasiado pronto
Pensar que seguro no es nada puede hacer que se pierda el momento de contener un problema que luego crece.
No toques todo a la vez
Cambiar contraseñas, borrar archivos, reiniciar equipos y modificar permisos sin orden solo añade ruido.
No dependas de memoria o mensajes sueltos
Si el incidente afecta a varios accesos o personas, improvisar por chat o de palabra suele dejar huecos.
No olvides los sistemas secundarios
A veces el problema no termina en el usuario inicial. Puede afectar también a correo, web, móviles, accesos compartidos o servicios de terceros.
🧭 Checklist rápida para las primeras horas
Si quieres una referencia simple, revisa estos puntos:
- Impacto: ¿Puede afectar a correo, accesos, web, datos o equipos del negocio?
- Contención: ¿Ya has limitado el alcance o el problema sigue expuesto tal cual?
- Prioridades: ¿Tienes claras las cuentas y sistemas más críticos?
- Recuperación: ¿Sabes si existen copias o formas de recuperar lo importante?
- Registro: ¿Alguien está dejando constancia de lo que se está haciendo?
- Escalado: ¿Está claro cuándo parar y pedir ayuda externa?
Si fallan varios de estos puntos, el incidente no solo es técnico. También es un problema de organización.
📢 ¿Hay que avisar a algún organismo?
En algunos incidentes sí. Y este punto conviene revisarlo pronto, porque no todas las obligaciones son opcionales.
Si el incidente afecta a datos personales, puede tocar notificar a la AEPD
En España, si la brecha de seguridad afecta a datos personales y es probable que implique un riesgo para los derechos y libertades de las personas, el RGPD obliga a notificarla a la AEPD.
Además, si el riesgo es alto, también puede ser necesario comunicarlo a las personas afectadas. El plazo general para notificar a la autoridad de control es de 72 horas desde que la empresa tiene constancia de la brecha.
No todos los incidentes obligan a avisar a la AEPD, pero si hay datos personales comprometidos no conviene dejar esta revisión para el final.
INCIBE no siempre es una obligación legal para una pyme común, pero sí puede ser una vía útil de apoyo
Para una pyme normal, avisar a INCIBE-CERT no suele ser una obligación general automática como la de la AEPD en una brecha de datos personales. Aun así, puede ser muy útil como canal de apoyo y notificación técnica del incidente.
Donde sí puede existir una obligación específica de notificar incidentes es en organizaciones incluidas en normativa concreta, como determinados operadores de servicios esenciales o proveedores de servicios digitales.
Por eso, si el incidente afecta a clientes, empleados, datos personales o servicios críticos, una de las primeras preguntas no debería ser solo cómo contenerlo, sino también si existe alguna obligación de notificación.
🔗 Relación con otros problemas habituales
Un incidente de ciberseguridad rara vez aparece aislado. Muchas veces deja al descubierto debilidades que ya estaban ahí:
- ataques de phishing que entraron por correo,
- accesos que seguían activos sin control,
- contraseñas compartidas o débiles,
- webs mal protegidas,
- o copias de seguridad que nadie había comprobado.
Por eso, gestionar bien las primeras horas no consiste solo en apagar fuegos. También sirve para detectar qué parte del negocio estaba demasiado expuesta antes de que pasara nada.
Para terminar
Saber qué hacer ante un incidente de ciberseguridad en tu empresa no significa tener respuestas perfectas desde el primer minuto. Significa actuar con algo de orden, priorizar bien y evitar decisiones impulsivas que empeoren el problema.
En las primeras horas, la diferencia no suele estar en tener un protocolo espectacular. Suele estar en tener criterio suficiente para contener, proteger lo importante y ganar tiempo para decidir mejor.
Si quieres revisar este punto junto con otros aspectos clave del negocio, puedes apoyarte en nuestra checklist de seguridad para pymes.