febrero 18, 2026

Qué hacer si su empresa sufre un ciberataque: Guía paso a paso

Son las 3:00 de la madrugada y recibe una llamada: los sistemas de su empresa no responden. Aparece un mensaje exigiendo Bitcoin para recuperar sus archivos. El pánico es comprensible, pero las decisiones que tome en las próximas horas determinarán si su empresa sobrevive o se convierte en otra estadística. Esta guía le muestra exactamente qué hacer.

Primeras 2 horas: Contención

Lo primero es detener la propagación del ataque. No apague los equipos (puede destruir evidencia forense), pero sí aísle los sistemas afectados de la red.

Acciones inmediatas:

  • Desconecte de la red los equipos afectados (desconecte el cable de red o desactive el WiFi, NO apague las máquinas)
  • No pague el rescate. No hay garantía de que recuperará sus datos. Además, pagar financia al crimen organizado y le marca como objetivo que paga
  • Documente todo: tome capturas de pantalla de mensajes de rescate, anote la hora exacta de descubrimiento, qué sistemas están afectados y quién los descubrió
  • Cambie contraseñas de cuentas administrativas y de acceso remoto desde un dispositivo limpio (no desde equipos afectados)
  • Active su equipo de respuesta: si tiene un plan de respuesta a incidentes, ejecútelo. Si no lo tiene, contacte a un proveedor especializado inmediatamente

Línea de emergencia Novigotek 24/7: (+593) 9 5872 3428 — Nuestro equipo de respuesta a incidentes puede estar operando en su caso en menos de 30 minutos si tiene un retainer activo.

Horas 2-24: Evaluación y respuesta

Evalúe el alcance

  • ¿Qué sistemas están comprometidos? (servidores, estaciones de trabajo, email, cloud)
  • ¿Hay datos personales o confidenciales afectados?
  • ¿El atacante sigue teniendo acceso? (busque conexiones activas sospechosas)
  • ¿Los backups están intactos o también fueron cifrados/eliminados?
  • ¿Qué operaciones críticas del negocio están detenidas?

Preserve la evidencia

La evidencia digital es fundamental para la investigación forense y para posibles acciones legales. No intente «limpiar» los sistemas por su cuenta. Un equipo forense certificado puede crear imágenes de los discos afectados manteniendo la cadena de custodia necesaria para que la evidencia tenga validez legal conforme al COIP (Art. 500+).

Horas 24-78: Notificaciones obligatorias

La legislación ecuatoriana establece obligaciones de notificación que debe cumplir:

LOPDP — Si hay datos personales afectados

Si el incidente involucra datos personales, debe notificar a la Superintendencia de Protección de Datos Personales (SPDP) en máximo 5 días. Si el riesgo para los titulares es alto, también debe notificarles directamente.

Ley de Ciberseguridad 2026

La nueva ley establece un plazo de 78 horas para reportar incidentes de ciberseguridad a las autoridades competentes. La notificación debe incluir: naturaleza del incidente, sistemas afectados, impacto estimado y medidas adoptadas.

Denuncia penal

Si el ataque constituye un delito (ransomware, robo de datos, acceso no autorizado), puede presentar denuncia ante la Fiscalía General del Estado. El COIP tipifica los delitos informáticos con penas de 1 a 5 años de prisión. La coordinación con el CSIRT Ecuador y la Policía Nacional facilita la investigación.

Días 2-14: Erradicación y recuperación

Erradicación

Una vez completada la investigación inicial, se procede a eliminar la causa raíz: malware, accesos no autorizados, vulnerabilidades explotadas. Esto puede incluir reinstalación de sistemas operativos, parcheo de vulnerabilidades, revocación de credenciales comprometidas y eliminación de backdoors.

Recuperación

Restaure sistemas desde backups limpios (verificando que no estén comprometidos). Priorice los sistemas críticos para el negocio. Active monitoreo intensivo durante las primeras semanas para detectar cualquier reinfección o acceso residual del atacante.

Después del incidente: Lecciones aprendidas

Todo incidente debe producir mejoras concretas en la seguridad de la organización:

  • Informe ejecutivo con timeline, impacto, causa raíz y acciones tomadas
  • Actualización de políticas y procedimientos basada en las lecciones del incidente
  • Remediación de vulnerabilidades explotadas y fortalecimiento de controles
  • Simulacros periódicos para probar el plan de respuesta actualizado
  • Revisión de la estrategia de backups para asegurar resiliencia

Lo que NO debe hacer

  • No pague el rescate sin asesoría profesional. Puede ser ilegal en algunos contextos y no garantiza recuperación
  • No apague los sistemas afectados — la memoria RAM contiene evidencia valiosa que se pierde al apagar
  • No intente investigar solo si no tiene experiencia forense — puede destruir evidencia o alertar al atacante
  • No oculte el incidente — la ley lo obliga a notificar y la SPDP puede agravar las sanciones por ocultamiento
  • No comunique públicamente sin asesoría legal — lo que diga puede tener implicaciones legales

Conclusión: la preparación es la mejor defensa

El mejor momento para prepararse para un ciberataque es antes de que ocurra. Un plan de respuesta a incidentes documentado y probado, backups verificados, y un equipo — interno o externo — listo para actuar, marcan la diferencia entre una interrupción menor y una catástrofe empresarial.

En Novigotek ofrecemos retainers de Respuesta a Incidentes con SLA de 30 minutos, desarrollo de planes de respuesta personalizados y simulacros tabletop trimestrales. No espere a ser víctima para prepararse.

Activar retainer de Respuesta a Incidentes