Cómo reducir los daños cuando hackean una compañía y tus datos: guía completa para actuar

  • Reacciona rápido: aísla equipos, cambia contraseñas y activa 2FA desde un dispositivo limpio.
  • Minimiza el impacto: copias 3-2-1, parches al día, mínimo privilegio y monitorización.
  • Cumple y comunica: notifica a AEPD en 72 h si procede e informa a afectados con transparencia.
  • Refuerza tu postura: análisis forense, cierre de brechas y formación continua contra phishing.
Emmanuel JiménezActualizado el

15 minutos

Seguridad digital y reducción de daños

Antes uno podía tener en casa su documentación y sus archivos, y estaba segura siempre y cuando no se perdiera, ni nadie nos robara nada. Hoy en día, nuestros datos están registrados en cientos de sitios web, y algunos de ellos son considerados de confianza por muchos de nosotros. ¿Qué hacer cuando estos sitios son hackeados? ¿Cómo reducir los daños que causan estos problemas de seguridad?

Compañías ya hackeadas, ¿qué hacer?

Son muchos los casos de grandes compañías que han tenido ataques de hackers y que han visto como los datos que almacenaban de los usuarios podían haber pasado a ser de hackers que tuvieran intención de utilizarlos para ganar dinero, como con nuestros datos bancarios, o simplemente haciéndose pasar por nosotros cuando consiguen nuestra contraseña, que podría ser la misma que utilizamos en entidades bancarias, o en servicios donde sí están nuestros datos de pago. Los incidentes afectan tanto a usuarios como a empresas y abarcan desde filtraciones de credenciales hasta robos de información de pago.

Algunos ejemplos podrían ser el de Sony con PlayStation Network, en el cual hasta los datos de cuenta bancaria salieron a la luz; el de eBay, que es relativamente grave, al tratarse de una web en la que se pueden comprar productos a nuestra cuenta; o el de Spotify, que permitiría a hackers acceder a nuestra cuenta del servicio musical, realizar regalos a otros usuarios de suscripciones a Spotify o, como mínimo, conocer nuestros credenciales de acceso al servicio. No es que esto sea un problema de Android, porque no tiene la culpa el sistema operativo, ni Google. Pero muchos de los usuarios de Android se tienen que enfrentar a estos problemas por utilizar servicios con aplicación de Android, como son eBay, Spotify, o muchísimas otras opciones. La clave es reaccionar con rapidez y método.

Reacción ante brechas de datos

¿Qué debemos hacer si contamos con una cuenta de uno de los servicios hackeados? En primer lugar, estar atentos a cualquier comunicación oficial de dicho servicio. Lo más probable es que si han atacado Spotify, eBay, o cualquier servicio, recibamos un email en el que se nos diga que dichos hackers podrían haber tenido acceso a credenciales o datos bancarios. En casos de ese tipo, no hay duda alguna de que debemos cambiar la contraseña de dicho servicio, así como también cambiar las contraseñas de todos los servicios en los que tuviéramos la misma contraseña. Evita reutilizar claves y, si hay 2FA disponible, actívalo inmediatamente.

Puede parecer una tarea compleja si utilizamos siempre la misma contraseña, pero desgraciadamente no hay ninguna otra opción. Supongamos que los hackers hubieran conseguido nuestro correo electrónico y nuestra contraseña de un servicio como Spotify, en el cual no hemos contratado ninguna cuenta Premium, ni tampoco están registrados nuestros datos bancarios. A priori, no hay problema ninguno. Sin embargo, esos hackers podrían utilizar nuestros credenciales para acceder a eBay, para acceder a tiendas online, o para acceder a cuentas bancarias. En todas ellas contamos con datos que permiten realizar compras. Por eso no solo valdría con cambiar la contraseña a Spotify, sino que habría que cambiar todas las contraseñas de aquellos lugares en los que utilizamos la misma.

Y cuidado, si tenemos datos en sitios como Evernote, de acceso a otras cuentas, y lo que han hackeado es Evernote, entonces también tendríamos que ser conscientes de que podrían haber tenido acceso a los datos del servicio de notas. Por tanto, también habría que hacer lo posible por impedir que puedan ser utilizados esos datos. Si guardamos números PIN del banco, o números de tarjeta de crédito, que nunca debería hacerse, entonces debemos cancelarlo todo y notificar al banco.

Android seguro

Además de los cambios de contraseñas, conviene seguir un protocolo rápido de contención si sospechas que un dispositivo está comprometido: desconecta el equipo de Internet (WiFi y datos), activa el modo avión en el móvil y, si es un entorno corporativo, aisla de la red los equipos afectados. Evita apagar de golpe si pudiera haber un ransomware activo; es mejor aislar para no perder evidencias forenses.

En empresas, hay obligaciones regulatorias: si se han expuesto datos personales, el Reglamento General de Protección de Datos obliga a notificar a la Agencia Española de Protección de Datos (AEPD) en un máximo de 72 horas desde que se detecta la brecha, salvo que sea improbable que suponga un riesgo para los derechos y libertades de las personas. También se debe informar a los afectados sin dilación cuando el riesgo sea alto. Paralelamente, conviene coordinarse con INCIBE-CERT y, en su caso, con las Fuerzas y Cuerpos de Seguridad (unidades de delitos informáticos).

Señales de que tu cuenta o dispositivo ha sido comprometido

Identificar a tiempo el problema reduce los daños. Vigila pérdida de acceso a cuentas, alertas de inicios de sesión desde ubicaciones desconocidas, correos o mensajes enviados sin tu intervención, cambios en correos o teléfonos de recuperación, ventanas emergentes o programas que no recuerdas haber instalado, y movimientos sospechosos en tus cuentas bancarias. Si detectas algo, cierra sesión en todos los dispositivos y fuerza nuevas contraseñas.

Acciones urgentes paso a paso

  • Desconecta y aísla el equipo o móvil para cortar el acceso remoto.
  • Reestablece contraseñas desde un dispositivo limpio y activa 2FA.
  • Revisa la actividad y elimina sesiones abiertas o dispositivos desconocidos.
  • Analiza con antivirus/antimalware; si persisten síntomas, valora formateo seguro.
  • Notifica al banco y bloquea tarjetas si hay indicios de fraude.
  • Guarda evidencias (logs, capturas) y coordina soporte técnico/forense si procede.

Mis datos son seguros, ¿cómo reducir posibles daños?

Ahora bien, es posible que nuestros datos sean totalmente seguros y que nunca hayan hackeado un servicio en el que nosotros tuviéramos cuenta. O también puede pasar que hayan hackeado dichas cuentas, y hayamos cambiado todas las contraseñas. ¿Qué podemos hacer para evitar posibles daños futuros?

Buenas prácticas de seguridad

1.- Nunca utilices la misma contraseña para todos los servicios: Si tienes varias cuentas en Internet, que es seguro que sí, no utilices la misma contraseña para todas. Lo mejor es introducir variables en las contraseñas para que nosotros seamos capaces de recordarla fácilmente. Por ejemplo, supongamos que queremos crear una contraseña segura para Spotify que sea fácil de recordar y que no sea la misma de las demás cuentas. Podríamos utilizar algunas de las letras del nombre Spotify para la contraseña. Spotify es una palabra de siete letras. Podríamos utilizar la misma contraseña, «P4sSw0rD», pero con variantes. Dado que Spotify es una palabra con 7 letras, a la contraseña le añadiremos la letra S (por Spotify), como séptima letra, quedando «P4sSw0SrD». Facebook sería «P4sSw0rFD». Es solo un ejemplo demasiado simple, que debería ser perfeccionado a la hora de elegir una nueva contraseña, pero nos permitiría deducir una contraseña por medio de un sistema que sería difícilmente comprensible para un hacker. De esta manera, si hackean una cuenta, solo perderemos esa contraseña, sin que eso afecte a nada más.

2.- Nunca almacenes datos bancarios en la Nube: Uno nunca debe almacenar datos bancarios en la Nube, eso es algo que uno siempre tiene que tener presente. Eso de capturar la tarjeta de crédito en una fotografía y subirla a Drive, es muy arriesgado. Ya no somos nosotros los que nos encargamos de asegurarnos de que nadie sabe los datos de esa tarjeta. Ahora ya es otra compañía, que puede ser atacada sin saberlo, que puede utilizar ella misma los datos, o que incluso siendo la más segura del mundo, puede tener un error tan importante como el de Heartbleed. Nunca se almacenan datos bancarios en la Nube.

3.- No tengas un sitio con todas las contraseñas guardadas en la Nube: Algunos usuarios podrían llegar a pensar que lo mejor es crear complejas contraseñas y guardar todas estas en una nota de Evernote. Esto es otro gran error, como es obvio. Ya tendríamos el mismo problema. Sería inmensamente difícil que hackearan todas nuestras cuentas, pero inmensamente fácil que encontraran todas las contraseñas en un mismo lugar. Sería algo así como apuntalar todas las ventanas de casa y blindar las paredes, para luego dejar la puerta abierta. Podrías almacenar tus contraseñas localmente en el smartphone, en aplicaciones como Keeper Bóveda de contraseñas. Esta app cuenta con versión en la Nube para almacenar tus contraseñas online, pero utiliza sistemas de seguridad mucho más confiables que Evernote, o Drive. Y está creada únicamente para las contraseñas.

4.- Evita apps inseguras: Por supuesto, mucho más importante es el sentido común. Uno nunca debe fiarse de una app que no conoce a la perfección si le piden los datos bancarios, y más si uno nunca ha ido a comprar nada. Aunque vayamos a comprar o adquirir algo, asegurémonos primero de que son de confianza, algo que podríamos hacer viendo la cantidad de descargas o comentarios. En cualquier caso, si desconfiamos, lo mejor es desinstalar la aplicación.

5.- Cuidado con la publicidad: Muchas aplicaciones seguras cuentan con publicidad que podría no serlo. A veces esta publicidad se hace pasar por una petición de la app para introducir información. Por ejemplo, si estamos jugando a un videojuego, y nos aparece un banner en el cual se nos dice que pongamos contraseña, nombre de usuario, y demás, es posible que sea todo para conseguir engañarnos. Las aplicaciones nunca utilizan los banners de publicidad para decirnos nada, por lo que siempre tengamos cuidado con estos. Son para promocionar otras apps, pero a veces se utilizan para engañarnos. No es culpa de la aplicación, la publicidad la configura Google, aunque la contratan otros servicios. Si nos encontramos con algo así, informemos a Google de que hay un banner que intenta engañar, pues Google no quiere ese tipo de publicidad.

Medidas adicionales imprescindibles para minimizar el impacto

Autenticación en dos pasos en todas tus cuentas críticas: habilita 2FA o MFA en correo, redes sociales, banca, tienda de apps y servicios empresariales. Es la barrera más efectiva cuando una contraseña se filtra.

Actualizaciones y parches: mantén al día sistema operativo, navegador, extensiones y apps. Muchas intrusiones explotan vulnerabilidades conocidas que se corrigen con parches que tardamos en aplicar.

Copias de seguridad con estrategia 3-2-1: tres copias, en dos soportes diferentes, una offline o inmutable. Así, si te golpea un ransomware, podrás restaurar sin pagar.

Segmentación de redes y perfiles: en empresas, separa la red de invitados, servidores, IoT y puestos de trabajo para impedir que una infección se mueva lateralmente. En móviles, usa perfiles de trabajo cuando sea posible.

Gestores de contraseñas: generan claves únicas y complejas, reducen el riesgo de reutilización y permiten rotar credenciales rápidamente tras una brecha.

Buenas prácticas frente a ciberataques habituales

  • Phishing e ingeniería social: desconfía de urgencias, enlaces abreviados y adjuntos inesperados; verifica por canal alternativo. En empresas, realiza simulaciones periódicas.
  • Malware y troyanos: instala solo desde tiendas oficiales, revisa permisos y evita APK de terceros. Complementa con antimalware reputado.
  • Ransomware: políticas de mínimo privilegio, listas de bloqueo de macros y backups verificados. Nunca pagues: no hay garantía y fomentas el delito.
  • DDoS y disponibilidad (para webs/tiendas): usa CDN y WAF, planes de contingencia y proveedores con mitigación.
  • Inyección SQL/XSS: en desarrollos propios, aplica validación y saneado de entradas, parametriza consultas y realiza pentesting.

Qué implica para empresas: organización, legalidad y reputación

Además de la parte técnica, un incidente tiene efectos legales y de comunicación. Define un Plan de Respuesta a Incidentes con roles y contactos, inventario de activos, flujos de escalado y plantillas de comunicación. Practícalo con ejercicios periódicos.

Ante una brecha, evalúa la magnitud: sistemas afectados, datos comprometidos (clientes, empleados, proveedores), vector de entrada y tiempo de exposición. Esta evaluación guía qué notificar y cómo priorizar la recuperación.

La transparencia importa: informa a los afectados con claridad sobre qué ha pasado, qué medidas se han tomado y cómo protegerse (cambio de contraseñas, vigilancia de movimientos, congelación de crédito donde aplique). Coordina un mensaje coherente interno para evitar rumores.

En España, además de la AEPD, puedes apoyarte en INCIBE-CERT para asistencia y guías. Según la naturaleza del ataque, denuncia en cuerpos especializados en delitos informáticos. En paralelo, activa tu seguro cibernético si lo tienes.

Tras contener, realiza análisis forense digital para entender el ataque, cerrar brechas y documentar lecciones aprendidas. Reconstruye desde copias limpias y actualiza controles preventivos (MFA, parcheo, EDR, monitorización).

WiFi públicas, dispositivos y privacidad

Evita realizar operaciones sensibles en WiFi públicas. Si no queda otra, usa VPN, desactiva compartición y mantén el firewall activo. No conectes USBs de origen desconocido. Revisa con frecuencia los permisos de apps en Android y revoca los que no necesites.

Configura alertas de seguridad en tus cuentas (inicios de sesión, cambios de contraseña o de datos de recuperación) para recibir avisos inmediatos y poder reaccionar al instante.

Pasos específicos cuando el incidente te afecta directamente

  1. Bloquea el vector: desconecta el dispositivo, revoca tokens de apps conectadas y cierra sesiones activas desde la consola de seguridad del servicio (Google, Microsoft, Facebook, etc.).
  2. Rota credenciales: prioriza correo principal (pivota acceso a el resto), banca y tiendas online. Activa MFA con app de autenticación o llave de seguridad.
  3. Revisa reglas y reenvíos: en email, busca reglas de reenvío o filtros maliciosos que oculten respuestas o roben copias. Elimínalas.
  4. Analiza y limpia: pasa escaneos antimalware completos y, si hay persistencia, considera restauración de fábrica o reinstalación limpia desde medios verificados.
  5. Controla el fraude: activa alertas de transacciones, congela tarjetas si hay cargos dudosos y solicita nuevas credenciales a tus entidades.
  6. Comunica: avisa a contactos si tu cuenta pudo enviar spam o enlaces; así evitarán caer en nuevos engaños.

Si lideras una pequeña o mediana empresa

Aunque no dispongas de un gran equipo, puedes elevar tu seguridad con medidas de alto impacto: MFA obligatorio, políticas de contraseñas y un gestor corporativo, copias 3-2-1, parcheo automatizado, segmentación de red, EDR en endpoints, inventario de activos y formación continua con simulaciones de phishing.

Designa responsables claros (aunque sea rol parcial): seguridad, continuidad y comunicación. Prepara plantillas de aviso para clientes y proveedores y define cómo cortar accesos rápidamente (revocación de cuentas y llaves).

Contrata servicios externos cuando sea necesario: auditoría, pruebas de penetración y respuesta a incidentes. Un vistazo experto reduce exposición y acelera la recuperación.

Cómo detectar actividad anómala a tiempo

Activa paneles de auditoría en tus servicios (accesos, cambios de seguridad, dispositivos conectados). En empresas, implanta monitorización centralizada de logs (SIEM) y alertas de comportamiento inusual (intentos de fuerza bruta, escalado de privilegios, exfiltración).

En Android, revisa Uso de accesibilidad y permisos de superposición, ya que algunos malware abusan de ellos. Si una app pide permisos excesivos, desinstálala y busca una alternativa confiable.

Políticas de mínimos privilegios y control de acceso

Aplica el principio de mínimo privilegio: cada usuario y proceso debe tener solo el acceso estrictamente necesario. Revisa periódicamente permisos, en especial los de administradores, y usa roles en lugar de cuentas genéricas.

Para accesos remotos, utiliza VPN con MFA y restringe por IP o geolocalización cuando sea viable. Evita exponer servicios a Internet sin protección (RDP, bases de datos, paneles de administración).

Comunicación y reputación tras un incidente

Gestiona la narrativa siendo transparente y proactivo: informa, corrige y ofrece medidas de apoyo (por ejemplo, restablecimiento de contraseñas, guías para evitar fraudes, y canales de ayuda). El silencio o minimizar el problema suele agravar el daño reputacional.

Planifica mensajes para empleados, clientes y medios. Designa un portavoz y un canal oficial para actualizaciones. Documenta las acciones realizadas y comparte las mejoras implementadas tras el incidente.

Servicios y protecciones del ecosistema Android

Si quieres aumentar la seguridad al utilizar un Android, puedes tener en cuenta el nuevo servicio de seguridad que lanzó Google, así como los propios servicios que lanzan algunos fabricantes, tales como Knox 2.0 de Samsung, o el nuevo software de seguridad del LG G3. Más allá de modelos concretos, aprovecha Google Play Protect, revisa permisos, activa bloqueo por biometría y encuentra/borra tu dispositivo en remoto con el servicio de localización. Para entornos corporativos, considera la gestión de dispositivos (MDM/EMM) y perfiles de trabajo.

Recordatorios clave para reducir daños

  • Vigila tus cuentas con alertas de seguridad y revisiones periódicas de actividad.
  • Audita tus datos expuestos con servicios que detectan filtraciones de credenciales y cambia claves al instante.
  • Educa continuamente: la mayoría de ataques comienzan con un error humano evitable.
  • Prepara y practica tu plan de respuesta: la rapidez y coordinación marcan la diferencia.

Actuar con rapidez, utilizar autenticación en dos pasos, mantener software actualizado, realizar copias de seguridad fiables y comunicar de forma transparente son medidas que marcan la diferencia. Tanto si eres usuario como si gestionas una empresa, prevenir y estar preparado te permitirá limitar el daño cuando un servicio sea hackeado y acelerar la recuperación sin perder el control.


Los ciclos de batería visibles en Android 14
Te puede interesar:
Trucos para conocer la salud de la batería de tu móvil y saber cuándo cambiarla