Hackearon tu empresa: primeros 5 pasos antes de que sea peor

Paso 1 Aislar, no destruir

El instinto universal es desconectar todo, apagar servidores, formatear y reinstalar. Esos son exactamente los errores que convierten un incidente serio en uno catastrófico. Cuando apagás un equipo, perdés la memoria volátil: conexiones activas del atacante, procesos en ejecución, archivos temporales, claves de cifrado en RAM. Sin eso, no podés saber cómo entraron, qué se llevaron, ni si siguen adentro.

Qué hacer:

• Desconectar de la red el equipo comprometido (cable de red, no WiFi). No lo apagues. Solo aislalo.
• Cortar TODO acceso remoto: VPN, RDP, TeamViewer, AnyDesk, Escritorio Remoto de Chrome. Todo. Ya.
• Desconectar el servidor de backups de la red inmediatamente. Si el atacante no llegó a los backups, todavía podés salvar la empresa.
• Cambiar contraseñas de firewalls, switches, y controladores de dominio desde un equipo que estés seguro que no está comprometido.

NO hacer: Apagar servidores. Formatear nada. Restaurar backups encima del sistema comprometido. Intentar negociar con el atacante sin asesoría.

Paso 2 Llamar a quien sabe

Si tenés la posibilidad de contratar un equipo de respuesta a incidentes (CSIRT) externo, este es el momento. No mañana. No cuando «veamos qué tan grave es». Un IR team profesional llega, contiene, preserva evidencia, identifica el vector de entrada y te dice exactamente qué restaurar y en qué orden. Si no tenés presupuesto para un IR team externo, estos son los contactos mínimos que necesitás hacer en la primera hora:

• Tu abogado. Dependiendo de qué datos se comprometieron, podés tener obligaciones legales de notificación a clientes, empleados y autoridades (INAI en México). Un abogado te dice qué estás obligado a reportar y qué no. No improvisés comunicación legal.
• Tu banco. Si hay posibilidad de que los atacantes hayan accedido a cuentas bancarias o hecho transferencias, las primeras 4 horas son críticas para revertirlas.
• Tu aseguradora, si tenés seguro de ciberseguridad. Muchas pólizas cubren los costos de un IR team externo, pero solo si lo activás correctamente y a tiempo. No contrates a nadie sin hablar primero con la aseguradora — podrían no cubrir costos si no seguís su procedimiento.

Paso 3 Preservar evidencia

Sin evidencia, todo es especulación. Y la especulación no sirve para cerrar el vector de entrada, para el seguro, ni para la denuncia. En las primeras horas, antes de que nadie toque nada:

• Copiá los logs del firewall, servidor de Active Directory, VPN, EDR/SIEM si tenés, y cualquier sistema que registre accesos. Mínimo 30 días hacia atrás. Guardalos en un disco externo limpio, fuera de la red comprometida.
• Tomá capturas de pantalla de lo que se ve en las máquinas afectadas. Incluyendo la fecha y hora del sistema. Suena obvio, pero en medio del pánico nadie lo hace y después la evidencia se pierde cuando alguien reinicia.
• No toques los archivos cifrados. No intentes abrirlos, renombrarlos ni moverlos. Cada acción modifica metadatos y hace más difícil el análisis forense posterior.

NO hacer: Dejar que «el sobrino que sabe de computadoras» investigue. Ejecutar antivirus en modo escaneo completo — puede destruir artefactos forenses. Borrar archivos cifrados. Restaurar el sistema operativo.

Paso 4 Comunicación de crisis

El peor momento para decidir quién habla con quién es cuando los clientes están llamando, los empleados están en pánico y algún periodista tuiteó sobre el incidente. Tres reglas:

• Un solo vocero. Una persona autorizada para hablar. Nadie más. Si empleados, socios o proveedores empiezan a dar versiones distintas, el daño reputacional se multiplica.
• Avisar a los empleados primero. Un mensaje corto, directo, sin tecnicismos: «Detectamos un incidente de seguridad. El equipo de TI ya está trabajando en contenerlo. No usen sus equipos hasta nuevo aviso. No compartan información fuera de la empresa. Tendrán actualización en 2 horas.»
• No mentir. No digas «no pasó nada» si no sabés si pasó algo. No prometas plazos de recuperación si no tenés certeza. Decí lo que sabés. Si no sabés, decí «estamos investigando». Mentir en una comunicación de incidente destruye más confianza que el incidente mismo.

Paso 5 Recuperar sin repetir el error

No restaures tus backups en el mismo entorno sin antes cerrar el vector de entrada. Si el atacante entró por RDP con una contraseña débil y vos restaurás todo sin arreglar eso, el atacante va a volver a entrar. Literalmente, hemos visto casos donde el mismo atacante volvió a cifrar los mismos servidores restaurados 48 horas después. Porque la puerta seguía abierta.

Secuencia correcta de recuperación:

1. Identificar y cerrar el vector de entrada (esto requiere análisis forense).
2. Rotar TODAS las credenciales: usuarios, servicio, API keys, VPN, banca electrónica. Desde un equipo limpio.
3. Reconstruir sistemas desde cero — no restaurar encima del sistema comprometido. El atacante pudo haber dejado persistencia que sobrevive a una restauración de archivos.
4. Restaurar datos desde backups verificados (los probaste antes, ¿verdad?).
5. Monitorear activamente durante al menos 2 semanas después del incidente buscando señales de que el atacante intenta volver a entrar.