Redicom
Abrir menú
Inicio
Marcas
ESET Sophos Kaspersky Bitdefender Trellix Ridge Security Acronis Safetica GreenRocket Security Microsoft Veeam
Servicios
Soporte Redicom Migración a Microsoft 365 Capacitación Técnica Cyber Health Check Autenticación Multifactor (MFA) Backup Microsoft 365 Consultoría en Seguridad TI Ethical Hacking Concientización en Seguridad Servicios ESET
Soluciones
Ciberseguridad empresarial Protección y recuperación de datos Productividad y colaboración Cumplimiento Ley Marco Ciberseguridad
Blog FAQ Casos de Éxito Nuestra Empresa Contáctanos
Inicio / Blog / ¿Qué hacer si hackean su empresa? Guía de respuesta en 24 horas (2026)
¿Qué hacer si hackean su empresa? Guía de respuesta en 24 horas (2026)
Gestión de Riesgos y Estrategia

¿Qué hacer si hackean su empresa? Guía de respuesta en 24 horas (2026)

Por Germán Carrasco — CEO de Redicom, con 18 años de experiencia en Ciberseguridad
LinkedIn · Última actualización: Junio de 2026

Introducción: El momento en que todo se detiene

Llega un lunes por la mañana. Los equipos no responden, los archivos están cifrados, el correo no funciona y en la pantalla aparece un mensaje que exige un pago en criptomonedas. O peor: no hay ningún mensaje visible, pero los sistemas llevan semanas comprometidos sin que nadie lo haya notado.

Ese momento — cuando una empresa descubre que fue atacada — es el punto donde la preparación marca la diferencia entre una crisis contenida y un desastre financiero. Y la realidad es que la mayoría de las PyMEs no está preparada: según Guardz (2025), solo el 34% de las pequeñas y medianas empresas cuenta con un plan formal de respuesta desarrollado con apoyo profesional. Cerca de dos tercios enfrenta un incidente sin preparación.

Las primeras 24 horas después de detectar un ciberataque son las más críticas. Cada decisión que se toma — o que se deja de tomar — en ese período determina cuánto costará el incidente, cuánto tiempo estará paralizada la operación y cuántas consecuencias legales enfrentará la empresa.

En las primeras 24 horas tras un ciberataque, una PyME debe ejecutar cuatro acciones en secuencia: confirmar y contener el incidente aislando los sistemas afectados, evitando apagarlos salvo que sea necesario para detener daño activo, evaluar el alcance y documentar cada acción con marca de tiempo, activar las notificaciones legales exigidas por la Ley 21.663 dentro de las primeras 3 horas desde la detección, y comenzar la erradicación y restauración desde backups verificados. Según IBM (2025), las organizaciones con un plan de respuesta probado y un equipo definido reducen en torno a un 60% el costo de una brecha. Para una PyME, esa diferencia se traduce en menos horas detenida, menos datos perdidos y mayor probabilidad de seguir operando.

¿Por qué las primeras horas son tan decisivas?

Hay una relación directa entre velocidad de respuesta y costo del incidente. Según el Cost of a Data Breach Report de IBM (2025), el ciclo promedio de una brecha — desde la intrusión hasta la contención completa — es de 241 días, el más bajo en nueve años. La mayor parte de ese tiempo se consume en la detección; la contención posterior agrega semanas adicionales. Cada día que pasa sin contención, el daño se expande.

Las organizaciones que logran identificar y contener una brecha más rápido reducen significativamente el costo total del incidente. Y las que utilizan automatización e inteligencia artificial en sus operaciones de seguridad reducen el costo total en USD 1,9 millones por brecha.

Para una PyME sin equipo de seguridad dedicado, estas cifras tienen una lectura clara: las primeras horas no son para improvisar. Son para ejecutar un plan que ya debería existir.

Hay otro factor que hace urgentes las primeras horas: la regulación. La Ley 21.663 de Ciberseguridad y su Reglamento de Reporte de Incidentes (Decreto Supremo N° 295/2024, vigente desde el 1 de marzo de 2025) exigen que las organizaciones que operan servicios esenciales emitan una alerta temprana al CSIRT Nacional en un máximo de 3 horas desde que detectan un incidente significativo. El reloj comienza cuando se detecta el incidente, no cuando se confirma. Demorar la notificación puede sumar multas que van desde 5.000 UTM para infracciones leves hasta 40.000 UTM para infracciones gravísimas en Operadores de Importancia Vital — un costo que se agrega a una factura que ya era difícil de absorber.

¿Qué debe hacer su empresa en las primeras 24 horas?

Esta guía sigue los principios del marco NIST SP 800-61 Revisión 3 (2025), simplificados para la realidad de una PyME con equipo de TI reducido. No es un protocolo exhaustivo — es el mínimo viable para las primeras 24 horas.

Hora 0-1: Confirmar y contener

Lo primero es confirmar que efectivamente hay un incidente de seguridad y no una falla técnica común. Una vez confirmado:

Aislar, no apagar. Como regla general, desconecte los equipos afectados de la red (cable y WiFi), pero no los apague. Apagar un equipo destruye la memoria RAM, que contiene evidencia forense valiosa: procesos activos del atacante, conexiones abiertas y malware en ejecución. Esa evidencia puede ser la diferencia entre entender qué pasó y no saberlo nunca. Excepción: si hay cifrado activo en curso, exfiltración visible o propagación agresiva que no puede detenerse aislando de la red, priorice detener el daño y documente la acción tomada.

Cortar la propagación. Si no puede identificar qué equipos están comprometidos, aísle segmentos completos de la red. Es preferible una interrupción controlada que dejar que el atacante se mueva lateralmente hacia servidores críticos o backups.

Preservar lo que funciona. Identifique inmediatamente qué sistemas no están afectados y protéjalos. Si sus backups están en un segmento separado o en la nube, verifique que no hayan sido comprometidos antes de tocarlos.

Hora 1-4: Evaluar el alcance y activar el equipo

Documentar todo. Desde este momento, cada acción, decisión y hallazgo debe registrarse con fecha y hora. Un registro de incidentes bien documentado es esencial para el análisis posterior, para los reportes regulatory y, si tiene ciberseguro, para el reclamo a la aseguradora. Use lo que tenga disponible: un documento compartido, un correo a un grupo específico, incluso notas de voz. Lo importante es que quede registro.

Responder las preguntas clave:

  • ¿Qué sistemas están comprometidos?
  • ¿Hay datos sensibles involucrados (datos personales de clientes, información financiera)?
  • ¿El atacante sigue activo en la red?
  • ¿Los backups están intactos?

Activar su equipo de respuesta. En una PyME, esto probablemente no es un “equipo” formal sino las personas clave que deben participar: el responsable de TI, la gerencia, el contacto legal y su proveedor de servicios de seguridad si tiene uno. Si no tiene proveedor, este es el momento de buscar ayuda externa especializada en respuesta a incidentes.

Hora 4-8: Notificar y comunicar

Notificaciones legales. Si su empresa opera servicios esenciales o es un Operador de Importancia Vital (OIV) bajo la Ley 21.663 y su Reglamento de Reporte (DS 295/2024), el plazo para la alerta temprana al CSIRT Nacional es de 3 horas desde la detección. El reporte completo debe entregarse en 72 horas (24 horas si es OIV y el incidente afecta la provisión del servicio esencial). El informe final tiene plazo de 15 días.

Aunque su empresa no califique formalmente como sujeto obligado, en incidentes relevantes — especialmente si involucran datos de terceros o afectan la continuidad del servicio — conviene evaluar con asesoría técnica y legal si corresponde reportar al CSIRT u otras autoridades. Hacerlo puede dar acceso a orientación técnica y demostrar buena fe regulatoria.

Comunicación interna. Informe a su equipo lo que está pasando y lo que se espera de ellos. Instrucciones claras: no conectar equipos personales a la red, no intentar “arreglar” cosas por cuenta propia, cambiar contraseñas cuando se indique.

Comunicación externa. Si hay datos de clientes comprometidos, consulte con su asesor legal sobre las obligaciones de notificación bajo la Ley 21.719 de Protección de Datos Personales. La transparencia oportuna protege la reputación; el silencio que se descubre después la destruye.

Hora 8-24: Erradicar y restaurar

Erradicar la amenaza. Con el alcance ya mapeado, elimine el malware, cierre las puertas traseras y revoque los accesos comprometidos. Esto incluye cambiar todas las contraseñas administrativas, revocar tokens de sesión activos y verificar que no haya tareas programadas o scripts que permitan al atacante regresar.

Restaurar desde backups verificados. Restaure sistemas y datos desde copias de respaldo que haya confirmado como limpias. Si sus backups también están comprometidos, la reconstrucción será significativamente más larga y costosa — razón por la cual el backup aislado e independiente es una inversión, no un gasto.

Monitorear la reinfección. Las primeras 48-72 horas post-restauración son críticas. Un atacante sofisticado puede haber dejado mecanismos de persistencia que sobrevivan la limpieza inicial. Monitoree activamente los sistemas restaurados.

¿Está su empresa preparada para responder en las primeras horas?

Una evaluación inicial de Redicom permite revisar vulnerabilidades críticas, estado de respaldos, contactos de emergencia y brechas en su capacidad de respuesta — antes de que el reloj de las 24 horas empiece a correr.

Solicite su evaluación →

¿Qué errores comunes agravan un ciberataque?

Tan importante como saber qué hacer es saber qué no hacer. Estos son los errores más frecuentes que convierten un incidente manejable en una crisis:

Pagar el rescate de inmediato. La presión del momento empuja a muchas empresas a pagar para “resolver rápido”. Pero según el CyberEdge Cyberthreat Defense Report (2025), solo la mitad de las organizaciones que pagan logra recuperar sus datos. Pagar financia al atacante, no garantiza la recuperación y, en algunos casos, marca a la empresa como “pagadora” para futuros ataques.

Apagar los servidores. Es el instinto natural, pero es contraproducente. Apagar destruye la evidencia volátil en memoria RAM que un equipo forense necesita para entender el vector de ataque, el alcance de la intrusión y los datos exfiltrados. La acción correcta es aislar de la red, no apagar.

No documentar. En el caos del momento, documentar parece una prioridad menor. Pero sin un registro detallado con marcas de tiempo, el análisis posterior es imposible, los reportes regulatorios quedan incompletos y el reclamo al ciberseguro pierde sustento.

Intentar resolverlo internamente sin ayuda. Muchas PyMEs intentan manejar el incidente solo con su equipo de TI interno por vergüenza, por costo percibido o por creer que pueden solucionarlo. Un incidente de seguridad requiere capacidades específicas de respuesta forense que rara vez existen en un equipo de TI generalista de dos o tres personas.

Demorar la notificación. Pensar que “si lo resolvemos rápido, no es necesario notificar” es un error regulatorio y reputacional. Las multas por notificación tardía bajo la Ley 21.663 pueden incrementarse significativamente, y según IBM (2025), una de cada cuatro organizaciones que sufre una brecha termina pagando multas regulatorias superiores a USD 250.000.

¿Cómo prepararse antes de que ocurra?

La mejor respuesta a un incidente es la que se planificó antes de que ocurriera. Estas son las cuatro medidas que toda PyME debería tener implementadas:

  1. Un plan de respuesta escrito y probado. No necesita ser un documento de 50 páginas. Un plan básico de 2-3 páginas que defina quién hace qué, en qué orden y con qué contactos de emergencia es infinitamente mejor que no tener nada. Lo crítico es que esté probado: un plan que nadie ha ensayado es solo un documento. El NIST recomienda realizar simulacros al menos una vez al año.
  2. Backups verificados y aislados. Los backups que no se prueban regularmente no son backups — son esperanza. Verifique que sus copias de respaldo se pueden restaurar efectivamente, que están aisladas de la red principal (para que un ransomware no las cifre también) y que cubren los datos críticos del negocio. La regla 3-2-1 sigue siendo el estándar: 3 copias, en 2 medios diferentes, con 1 copia fuera del sitio.
  3. Lista de contactos de emergencia actualizada. Cuando el incidente ocurre, no es momento de buscar números de teléfono. Tenga lista y accesible (incluso impresa) la información de contacto de: su proveedor de TI o seguridad, su asesor legal, su compañía de ciberseguros (si tiene), el CSIRT Nacional y los responsables internos de la empresa.
  4. Roles asignados. Defina con anticipación quién toma las decisiones críticas (generalmente gerencia), quién lidera la respuesta técnica (TI o proveedor externo), quién maneja la comunicación (interna y externa) y quién se encarga de la documentación. En una PyME, una misma persona puede cubrir más de un rol, pero los roles deben estar asignados antes del incidente.

Cómo Redicom Puede Ayudar

En Redicom trabajamos con PyMEs que quieren estar preparadas antes de que suene la alarma, no después.

Antes del incidente, el Cyber Health Check (CHC) evalúa su postura de seguridad real: identifica las vulnerabilidades que un atacante explotaría, verifica el estado de sus backups y detecta los gaps en su capacidad de respuesta. La Evaluación Recurrente de Exposición con RidgeBot automatiza pruebas de penetración periódicas, validando que las defensas funcionen de forma continua — no solo el día de la auditoría.

Cuando el incidente ya ocurrió, el Soporte Gestionado de nivel avanzado proporciona capacidad de respuesta coordinada con prioridad, sin que su equipo de TI tenga que enfrentar la crisis solo. Y el Backup Gestionado Microsoft 365 asegura que sus datos en la nube tengan copias independientes y verificadas, listas para restaurar cuando más importa.

La inversión en preparación es una fracción del costo de improvisar. Un plan de respuesta probado, respaldos verificados y un proveedor de seguridad que responda cuando usted lo necesita pueden convertir un incidente grave en una interrupción manejable.

Conclusión: El plan más caro es el que se escribe después del ataque

Los datos son consistentes: según datos de la industria, las empresas que tienen un plan de respuesta probado se recuperan significativamente más rápido y gastan menos en remediación — según IBM (2025), un plan probado y un equipo definido reducen en torno a un 60% el costo de una brecha. Las que no lo tienen, improvisan — y la improvisación en las primeras 24 horas de un ciberataque sale muy cara.

No se trata de convertir a su PyME en un centro de operaciones de seguridad. Se trata de tener las cuatro piezas mínimas: un plan escrito, backups verificados, contactos de emergencia y roles asignados. Eso puede prepararse en una tarde. Y puede hacer la diferencia entre una empresa que se recupera y una que no.

La pregunta no es si su empresa será atacada. La pregunta es si cuando ocurra, su equipo sabrá qué hacer en las primeras 24 horas — o si empezará a buscar respuestas en Google con los servidores cifrados.

¿Su empresa tiene un plan para las primeras 24 horas?

Si la respuesta es no, o si no está seguro de que funcione, conversemos. Una evaluación inicial con Redicom le dará claridad sobre su capacidad real de respuesta y las acciones prioritarias para estar preparado.

Agende una conversación →

Preguntas frecuentes

¿Cuánto tarda una PyME en recuperarse de un ciberataque?
Según IBM (2025), el ciclo promedio de identificación y contención de una brecha es de 241 días. Las organizaciones que cuentan con un plan de respuesta probado y un equipo dedicado reducen en torno a un 60% el costo de una brecha respecto a las que no lo tienen, según el mismo reporte.
¿Estoy legalmente obligado a notificar un ciberataque en Chile?
Si su empresa opera servicios esenciales o es Operador de Importancia Vital bajo la Ley 21.663, sí: debe emitir una alerta temprana al CSIRT Nacional en 3 horas, un reporte completo en 72 horas (24 horas para OIV) y un informe final en 15 días. El plazo cuenta desde la detección, no desde la confirmación del incidente.
¿Debo pagar el rescate en un ataque de ransomware?
Los expertos y las autoridades recomiendan no pagar. Según el CyberEdge Cyberthreat Defense Report (2025), solo el 50% de las organizaciones que pagan logra recuperar sus datos. Pagar no garantiza la recuperación, financia al atacante y puede marcar a su empresa como objetivo para futuros ataques.
¿Qué debe incluir un plan de respuesta a incidentes básico para una PyME?
Un plan mínimo viable debe definir: roles y responsabilidades (quién decide, quién ejecuta, quién comunica), procedimientos de contención inicial (aislar equipos, preservar evidencia), lista de contactos de emergencia (proveedor TI, legal, aseguradora, CSIRT), procedimientos de restauración desde backups, y un protocolo de comunicación interna y externa.
¿Por qué no debo apagar los servidores durante un ciberataque?
Apagar un equipo destruye la memoria RAM, que contiene evidencia forense crítica: procesos activos del atacante, conexiones abiertas, malware en ejecución y datos de sesión. Esta información es esencial para entender el vector de ataque y el alcance de la intrusión. La acción correcta es desconectar el equipo de la red, no apagarlo.
Germán Carrasco

Escrito por Germán Carrasco

CEO de Redicom, con 18 años de experiencia en Ciberseguridad

LinkedIn
← Volver al blog

Artículos relacionados

¿Cuánto le costaría a su PyME un ciberataque? La cuenta que nadie hace
Gestión de Riesgos y Estrategia

¿Cuánto le costaría a su PyME un ciberataque? La cuenta que nadie hace

Un ciberataque cuesta a una PyME entre USD 120.000 y USD 1,24 millones. Conozca las 5 capas de costo y calcule su exposición real.

Leer el articulo
¿Cómo validar la seguridad de su empresa sin sobrecargar al equipo técnico?
Gestión de Riesgos y Estrategia

¿Cómo validar la seguridad de su empresa sin sobrecargar al equipo técnico?

Introducción: El desafío de la seguridad continua ¿Su empresa podría detectar una vulnerabilidad crítica antes de que sea explotada por un atacante? Si solo evalúa su seguridad una o dos veces al año, la respuesta probablemente es no. En un panorama donde distintos estudios en Latinoamérica muestran que alrededor de 6 de cada 10 empresas […]

Leer el articulo