Ser víctima d’un hackeig és estressant. Pot semblar una cosa personal, urgent i confusa al mateix temps. Potser reps un avís d’inici de sessió estrany, trobes missatges que no has enviat, perds l’accés a un compte, notes diners desapareguts, o els amics t’adverteixen que han rebut enllaços sospitosos de part teva.
El més important és evitar decisions preses per pànic. Els atacants sovint confien en la rapidesa, la confusió i la pressió. El teu objectiu és alentir la situació, contenir els danys, recuperar el control i després eliminar les debilitats que han permès la compromís.
Aquesta guia et porta pels passos pràctics que has de prendre si un compte personal, compte d’empresa, dispositiu o servei en línia ha estat hackejat.
Si hi ha qualsevol possibilitat que el teu ocupador, client o una altra organització es pugui veure afectada, informa immediatament l’equip d’IT o de seguretat corresponent. No esperis a tenir una prova completa. Això inclou casos en què el dispositiu compromès s’utilitzava per a la feina, estava enrolat com a dispositiu BYOD (porta el teu dispositiu), s’utilitzava per accedir al correu electrònic de l’empresa, per a inici de sessió únic, o per iniciar sessió a gestors de contrasenyes, VPN, panells d’administració, repositoris de codi, consola del núvol o serveis de compartició d’arxius de l’empresa.
Aquesta notificació s’ha de fer abans de provar d’investigar-ho tot pel teu compte. L’organització pot necessitar revocar sessions, girar credencials, revisar registres, aïllar sistemes afectats, o desactivar accessos mentre l’incident encara està en curs.
Retardar aquesta notificació pot agreujar els danys i exposar-te a accions disciplinàries o responsabilitat si l’organització pateix pèrdues que es podrien haver limitat amb un avís ràpid. Si saps segur que cap servei d’empresa, dispositiu, compte o dada pot estar compromesa, continua amb els passos de recuperació personal a continuació.
Si creus que el teu ordinador o telèfon pot estar infectat, no utilitzis aquest dispositiu per restablir contrasenyes ni iniciar sessió a comptes importants. El programari maliciós pot enregistrar les noves contrasenyes, robar galetes de sessió, capturar pantalles o interceptar codis de recuperació.
Utilitza un dispositiu que et mereixi confiança, com ara:
Si no tens accés a un dispositiu net, desconnecta el dispositiu sospitós d’Internet i centra’t en rebre ajuda abans d’entrar noves credencials.
El teu correu electrònic sovint és la clau per a la resta de comptes. Si un atacant controla el teu correu, pot restablir contrasenyes de bancs, compres, emmagatzematge al núvol, xarxes socials, plataformes de desenvolupament i eines empresarials.
Comença pel correu electrònic principal i revisa el següent:
Fes especial atenció a les regles de la bústia. Els atacants a vegades creen filtres per amagar alertes de seguretat, reenviar factures o copiar silenciosament missatges de restabliment de contrasenya a una altra adreça.
Un cop el correu està segur, passa als comptes que poden causar més danys. No perdis els primers minuts crítics en comptes de poc valor mentre l’atacant encara pot accedir a la banca, emmagatzematge al núvol o eines d’administrador.
Prioritza els comptes en aquest ordre:
Cada nova contrasenya ha de ser única. Si reutilitzes la mateixa nova contrasenya en diversos comptes, un sol punt feble pot comprometre-ho tot de nou.
Canviar una contrasenya és fonamental, però pot no fer fora l’atacant si ja té una sessió iniciada. Molts serveis mantenen sessions actives després d’un canvi de contrasenya si no les revocas explícitament.
Busca opcions com ara:
Elimina tot allò que no reconeguis. En comptes empresarials o de desenvolupador, actualitza tokens d’API, claus de desplegament, claus SSH, webhooks i credencials de compte de servei que puguin haver quedat exposats.
L’autenticació en dos factors (MFA/2FA) pot bloquejar molts intents de robatori de compte encara que robin la contrasenya. Si encara no ho tenies activat, activa-ho ara als comptes importants.
Tria opcions més robustes si són disponibles:
Els codis SMS són millor que no tenir un segon factor, però són més febles que les opcions basades en app o hardware. Els números de telèfon es poden transferir amb atacs de duplicat SIM, interceptar en algunes situacions, o vulnerar-se mitjançant processos de recuperació dèbils.
Quan activis MFA, genera codis de reserva i guarda’ls en un lloc segur. Si no, perdre el telèfon o la clau física pot convertir la recuperació en una altra emergència.
Si el compte hackejat té a veure amb diners, documents d’identitat, factures, dades de clients o informació fiscal, assumeix que l’atacant pot haver copiat dades útils encara que recuperis l’accés ràpidament.
Revisa el següent:
Contacta immediatament amb el banc o el proveïdor de pagament si veus activitats sospitoses. Sovint, avisar ràpid millora les teves opcions de revertir transaccions fraudulentes o limitar la responsabilitat.
És normal voler esborrar ràpidament, però eliminar missatges, registres o arxius massa aviat pot dificultar la investigació. Abans d’eliminar elements sospitosos, guarda proves bàsiques. Fes-ho abans de formatar o reinstal·lar un dispositiu, especialment si hi ha diners, dades empresarials, dades de clients, ransomware o obligacions legals implicades.
Proves útils poden ser:
Aquesta informació pot ajudar equips de suport, bancs, policia, asseguradores, departaments d’IT interns o equips de resposta a incidents a entendre què ha passat.
Si es pot, considera treure el disc original i instal·lar un disc o SSD nou per a una instal·lació d’OS neta. Això et dóna un sistema net per treballar i conserva el disc original per si cal per a la investigació. Si és un incident d’empresa, parla amb l’IT o amb l’equip de resposta abans de canviar discos o tornar a engegar l’ordinador.
Si la compromís comença per malware, un fitxer adjunt maliciós, una falsa extensió de navegador, programari piratejat o eines d’accés remot desconegudes, recuperar només el compte no és suficient. El dispositiu pot haver deixat de ser de confiança. L’atacant pot haver-hi instal·lat mecanismes de persistència, modificat configuracions, capturat galetes de sessió, o deixat programari que robarà les noves credencials tan aviat com les introdueixis.
En aquest cas, el més segur no és "netejar" el dispositiu manualment. El més segur és guardar abans tota prova que puguis necessitar, fer còpia només de les dades realment necessàries, formatar el dispositiu i instal·lar de nou el sistema operatiu.
Precaucions importants:
Per a incidents greus (ransomware, compromís d’email d’empresa, presa de comptes d’administrador, sospita de robatori de dades), considera buscar ajuda professional abans d’esborrar els equips. En cas d’empresa, t’hi pots veure obligat per investigació, assegurança, lleis o notificacions a clients.
Si els atacants han fet servir el teu compte per enviar missatges, factures, enllaços o arxius, adverteix ràpidament les persones que n’hagin pogut rebre. Fes-ho curt i clar.
Per exemple:
El meu compte ha estat compromès. Si us plau, no obriu enllaços, arxius adjunts, sol·licituds de pagament o fitxers compartits enviats per mi entre [hora] i [hora]. Ja he recuperat l’accés i estic investigant.
A les empreses, la notificació pot ser exigència legal o contractual. Si s’ha exposat informació de clients, treballadors, pagaments, salut o material confidencial, involucra equips legals, de compliment normatiu i seguretat aviat.
No cal denunciar a la policia cada compte social hackejat, però alguns casos sí cal notificar-los. Especialment en frau financer, robatori d’identitat, ransomware, compromís d’email d’empresa, robatori de dades de clients o amenaces de seguretat personal.
Canals útils per denunciar:
Denunciar també crea un registre. Aquest registre pot ser important més endavant si hi ha més activitat fraudulenta o si cal demostrar que vas actuar amb rapidesa.
En una organització, un compte hackejat rarament és només un problema de compte. Pot ser el primer senyal visible d’un incident més gran. Una bústia d’email compromesa pot exposar converses amb clients. Una contrasenya d’administrador robada pot permetre robatori de dades. Una clau de desplegament exposada pot posar en risc sistemes de producció.
La resposta empresarial ha d’incloure:
Si l’incident afecta dades regulades, de clients, ransomware, infraestructures de producció o accessos privilegiats, busca ajuda professional aviat. Esperar massa fa més difícil contenir i recollir proves.
Algunes accions ben intencionades empitjoren la recuperació o generen nous riscos.
Evita aquests errors:
Un cop la situació immediata estigui sota control, dedica temps a reforçar la teva seguretat. La majoria de compromisos passen per contrasenyes reutilitzades, phishing, opcions de recuperació febles, malware, dispositius exposats o accés vell que ningú ha eliminat.
Una llista pràctica de millores:
La seguretat no ha de ser perfecta per ser molt millor. Uns hàbits consistents eliminen els camins d’atac més senzills i limiten els danys si torna a fallar alguna cosa.
Que t’hagin hackejat no vol dir que hagis comès una ximpleria. Els atacants apunten constantment a persones i empreses, i fins i tot usuaris prudents poden caure davant una pàgina de phishing convincente, una contrasenya reutilitzada d’una filtració antiga o un dispositiu silenciosament compromès.
El més important és la resposta: protegeix el correu primer, canvia contrasenyes des d’un dispositiu segur, revoca sessions, activa MFA avançat, revisa riscos econòmics, preserva proves i avisa qui pugui estar afectat. Després, millora sistemes i hàbits per reduir la probabilitat d’un nou èxit d’atac.