Ser hackeado es estresante. Puede sentirse personal, urgente y confuso todo al mismo tiempo. Puedes recibir una alerta de inicio de sesión extraña, encontrar mensajes que no enviaste, perder el acceso a una cuenta, notar dinero faltante o escuchar de amigos que recibieron enlaces sospechosos de tu parte.
Lo más importante es evitar tomar decisiones precipitadas por el pánico. Los atacantes suelen depender de la velocidad, la confusión y la presión. Tu objetivo es ralentizar la situación, contener el daño, recuperar el control y luego eliminar las debilidades que hicieron posible el compromiso.
Esta guía te acompaña por los pasos prácticos que debes seguir si una cuenta personal, cuenta de negocio, dispositivo o servicio en línea ha sido hackeado.
Si existe alguna posibilidad de que tu empleador, cliente u otra organización pueda verse afectada, notifica al equipo de IT o seguridad correspondiente de inmediato. No esperes a tener pruebas completas. Esto incluye casos en los que el dispositivo comprometido se usó para trabajar, está registrado como BYOD, se usó para acceder al correo de la empresa, para acceso único (SSO) o para ingresar a un gestor de contraseñas de la empresa, VPN, panel de administración, repositorio de código fuente, consola en la nube o servicio para compartir archivos.
Esto debe hacerse antes de intentar investigar todo por ti mismo. La organización puede necesitar revocar sesiones, rotar credenciales, revisar registros, aislar sistemas afectados o deshabilitar el acceso mientras el incidente aún está ocurriendo.
Retrasar la notificación puede empeorar el daño y puede exponerte a acciones disciplinarias o responsabilidades si la organización sufre pérdidas que podrían haberse limitado mediante un informe oportuno. Si no hay servicios, dispositivos, cuentas o datos del negocio que puedan verse afectados, continúa con los pasos de recuperación personal a continuación.
Si piensas que tu computadora o teléfono pueden estar infectados, no uses ese mismo dispositivo para restablecer contraseñas o ingresar a cuentas importantes. El malware puede registrar nuevas contraseñas, robar cookies de sesión, capturar pantallas o interceptar códigos de recuperación.
Utiliza un dispositivo en el que confíes, como:
Si no tienes acceso a un dispositivo limpio, desconecta el dispositivo sospechoso de internet y enfócate en conseguir ayuda antes de ingresar nuevas credenciales.
Tu cuenta de correo suele ser la llave de todo lo demás. Si un atacante controla tu email, puede restablecer contraseñas de bancos, compras, almacenamiento en la nube, redes sociales, plataformas de desarrollo y herramientas de negocio.
Comienza con tu cuenta principal de correo electrónico y revisa lo siguiente:
Presta especial atención a las reglas de bandeja de entrada. Los atacantes a veces crean filtros para ocultar alertas de seguridad, reenviar facturas o copiar silenciosamente mensajes de restablecimiento de contraseña a otra dirección.
Después de asegurar el correo, sigue con las cuentas que pueden causar más daño. No pierdas los minutos más críticos en cuentas de bajo valor mientras el atacante aún tiene acceso a banco, almacenamiento en la nube o herramientas de administrador.
Prioriza las cuentas en este orden:
Cada nueva contraseña debe ser única. Si reutilizas la misma nueva contraseña en varias cuentas, un único punto débil restante puede comprometerlo todo de nuevo.
Cambiar la contraseña es importante, pero puede no eliminar a un atacante que ya haya iniciado sesión. Muchos servicios mantienen sesiones activas después de un cambio de contraseña, salvo que las revoques explícitamente.
Busca configuraciones como:
Elimina todo lo que no reconozcas. Para cuentas de negocio o desarrollador, rota tokens de API, claves de despliegue, claves SSH, webhooks y credenciales de cuentas de servicio que puedan haber sido expuestas.
La autenticación multifactor, también llamada MFA o 2FA, puede detener muchos intentos de secuestro de cuenta incluso cuando se roba una contraseña. Si no estaba habilitada antes, actívala ahora en tus cuentas importantes.
Prefiere opciones más fuertes cuando estén disponibles:
Los códigos por SMS son mejores que no tener un segundo factor, pero son más débiles que aplicaciones de autenticación o llaves físicas. Los números de teléfono pueden ser transferidos mediante ataques de SIM swap, interceptados en algunas situaciones o abusados a través de procesos de recuperación de cuenta débiles.
Cuando habilites MFA, genera códigos de respaldo y guárdalos en un lugar seguro. Si no, perder un teléfono o una llave de seguridad puede convertir la recuperación en una emergencia aparte.
Si la cuenta comprometida tiene relación con dinero, documentos de identidad, facturas, datos de clientes o información fiscal, asume que el atacante pudo haber copiado datos útiles incluso si recuperas el acceso rápidamente.
Verifica lo siguiente:
Contacta a tu banco o proveedor de pagos de inmediato si ves actividad sospechosa. En muchos casos, reportar antes mejora tus posibilidades de revertir transacciones fraudulentas o limitar tu responsabilidad.
Es natural querer limpiar rápidamente, pero borrar mensajes, registros o archivos demasiado pronto puede dificultar la investigación. Antes de eliminar elementos sospechosos, conserva las evidencias básicas. Haz esto antes de formatear o reinstalar un dispositivo, especialmente si hay dinero, datos de empresa, de clientes, ransomware o posibles obligaciones legales involucradas.
Evidencias útiles incluyen:
Esta información puede ayudar a equipos de soporte, bancos, autoridades, aseguradoras, equipos de IT internos o respondedores de incidentes a entender lo ocurrido.
Si el portátil o computadora lo permite, considera retirar el disco original e instalar un nuevo disco duro o SSD para la instalación limpia del sistema operativo. Así tendrás un sistema limpio desde el que trabajar mientras preservas el disco original en caso de necesitarlo para una investigación. Si el incidente es empresarial, consulta a IT o a un especialista en incidentes antes de cambiar discos o encender el dispositivo de nuevo.
Si el compromiso pudo haber comenzado con malware, un archivo adjunto malicioso, una extensión falsa del navegador, software pirata o herramientas de acceso remoto desconocidas, solo recuperar la cuenta no es suficiente. El dispositivo podría no ser de confianza. Un atacante pudo haber instalado persistencia, modificado configuraciones del sistema, capturado cookies de sesión o dejado software malicioso para robar credenciales nuevas apenas las ingresas.
En esa situación, el enfoque más seguro NO es intentar "limpiar" el dispositivo manualmente. Lo más seguro es primero conservar evidencias necesarias, respaldar solo los datos que realmente necesitas, limpiar el dispositivo e instalar el sistema operativo desde cero.
Precauciones importantes:
Para compromisos de alto riesgo, especialmente ransomware, compromiso de correo empresarial, toma de cuenta de administrador o sospecha de robo de datos, considera ayuda profesional antes de borrar sistemas. En empresas, podrían requerirse evidencias para investigaciones, seguros, obligaciones legales o notificación a clientes.
Si los atacantes usaron tu cuenta para enviar mensajes, facturas, enlaces o archivos, advierte a quienes puedan haberlos recibido. Haz la advertencia breve y específica.
Por ejemplo:
Mi cuenta fue comprometida. Por favor, no abran enlaces, archivos adjuntos, solicitudes de pago o archivos compartidos enviados por mí entre [hora] y [hora]. Ya recuperé el acceso y estoy investigando.
Para negocios, la notificación también puede ser un requisito legal o contractual. Si hay exposición de datos de clientes, empleados, pagos, salud o información confidencial de un cliente, involucra cuanto antes a los equipos legales, de cumplimiento y de seguridad.
No toda cuenta social hackeada requiere una denuncia policial, pero ciertos incidentes deben ser reportados. Esto es especialmente cierto para fraudes financieros, robo de identidad, ransomware, compromiso de correo empresarial, robo de datos de clientes o amenazas a tu seguridad personal.
Canales útiles para reportar pueden ser:
El reporte también genera un registro. Ese registro puede ser importante si la actividad fraudulenta continúa o si necesitas probar que actuaste rápidamente.
Para las organizaciones, que hackeen una cuenta raramente es solo un problema de cuenta. Puede ser la primera señal visible de un incidente mayor. Una bandeja de correo comprometida puede exponer conversaciones con clientes. Una contraseña de administrador robada puede llevar a extracciones de datos. Una clave de despliegue filtrada puede afectar sistemas en producción.
La respuesta empresarial debe incluir:
Si el incidente involucra datos regulados, de clientes, ransomware, infraestructura de producción o acceso privilegiado, consigue ayuda profesional cuanto antes. Esperar demasiado puede dificultar la contención y la recolección de evidencias.
Algunas acciones bien intencionadas pueden dificultar la recuperación o crear nuevos riesgos.
Evita estos errores:
Cuando controles la situación inmediata, dedica tiempo a fortalecer tu entorno. La mayoría de los compromisos de cuentas no son resultado de ataques avanzados. Provienen de contraseñas reutilizadas, phishing, opciones de recuperación débiles, malware, dispositivos expuestos o accesos antiguos nunca retirados.
Lista práctica de endurecimiento:
La seguridad no necesita ser perfecta para ser mucho mejor. Unos pocos hábitos constantes pueden eliminar los caminos de ataque más fáciles y limitar el daño si algo vuelve a salir mal.
Que te hackeen no siempre significa que hiciste algo tonto. Los atacantes dirigen sus esfuerzos a personas y empresas constantemente, y hasta los usuarios cuidadosos pueden caer ante una página de phishing convincente, una contraseña reutilizada de una vieja filtración o un dispositivo comprometido silenciosamente.
Lo más importante es la respuesta: asegura el correo primero, cambia contraseñas desde un dispositivo de confianza, revoca sesiones, activa MFA fuerte, revisa riesgos financieros, conserva evidencia y notifica a quienes puedan verse afectados. Después, mejora los sistemas y hábitos para que el próximo ataque tenga menos posibilidad de tener éxito.