Incidentes · Detección

¿Cómo saber si hackearon mi empresa?
8 señales de alerta

21 de mayo, 2026 · 6 min de lectura

La mayoría de las empresas mexicanas que son víctimas de un ataque informático no lo descubren de inmediato. Según datos globales de la industria, el tiempo promedio entre la intrusión y su detección supera los 200 días. Eso significa que un atacante puede llevar meses dentro de tu red mientras tu operación continúa con aparente normalidad.

Conocer las señales de alerta puede marcar la diferencia entre contener un incidente a tiempo y enfrentar una filtración masiva de datos o un ataque de ransomware.

8 señales de que tu empresa podría haber sido hackeada

Actividad inusual en cuentas de usuario

Inicios de sesión desde ubicaciones geográficas inesperadas, a horas inusuales o desde dispositivos desconocidos. Si ves en tu panel de Microsoft 365, Google Workspace o tu sistema ERP accesos que nadie de tu equipo reconoce, es una señal seria. Los atacantes frecuentemente acceden con credenciales robadas para no levantar sospechas inmediatas.

Equipos lentos sin razón aparente

Un software malicioso, un minero de criptomonedas o un agente de acceso remoto consume recursos del equipo. Si varias computadoras en tu empresa comenzaron a volverse lentas simultáneamente, sin que se haya instalado software nuevo ni cambiado los hábitos de uso, investiga antes de asumir que es un problema de hardware.

Correos enviados que nadie envió

Si clientes, proveedores o empleados reportan haber recibido correos extraños "de tu parte", o si en la carpeta de enviados aparecen mensajes que nadie reconoce, tu cuenta de correo o tu servidor de email ha sido comprometido. Este es un vector frecuente de fraude: los atacantes usan cuentas legítimas para hacer phishing más convincente a tus contactos.

Archivos encriptados o inaccesibles

Este es el síntoma más claro de un ataque de ransomware. Si abres carpetas y encuentras archivos con extensiones desconocidas (.locked, .encrypted, .ryuk, entre otras) y un mensaje exigiendo pago, tu empresa ya fue atacada. No pagues de inmediato: contacta a un especialista, porque en muchos casos existen alternativas de recuperación.

Transferencias o facturas no autorizadas

El fraude BEC (Business Email Compromise) es uno de los más rentables para los atacantes en México. Consiste en interceptar o suplantar comunicaciones de correo para redirigir pagos a cuentas fraudulentas. Si encuentras transferencias que nadie aprobó o facturas de proveedores con datos bancarios que cambiaron sin previo aviso, activa inmediatamente el protocolo de respuesta.

Tu sitio web fue modificado o redirige a otro lado

Si tu sitio web muestra contenido diferente al que publicaste, redirige a páginas extrañas o muestra errores inesperados, pudo haber sido comprometido. Los atacantes usan sitios web vulnerables para distribuir malware a visitantes o para alojar phishing contra los clientes del propietario del sitio.

Alertas de tus proveedores de servicios

Tu banco, tu proveedor de nube, tu plataforma de pagos o tu registrador de dominio puede detectar actividad sospechosa antes que tú. Si recibes un aviso de seguridad de cualquiera de estos servicios, no lo ignores ni lo trates como spam: verifica directamente con el proveedor a través de sus canales oficiales.

Tus datos aparecen en la dark web o en filtraciones públicas

Existen servicios como Have I Been Pwned que monitorizan filtraciones públicas de credenciales. Si correos corporativos de tu empresa aparecen en bases de datos filtradas, es probable que las contraseñas asociadas ya estén comprometidas. También puedes recibir notificaciones de clientes cuyos datos personales aparecieron en línea sin que hayas notificado una brecha.

¿Qué hacer si sospechas que te hackearon?

La respuesta inmediata es crítica. En los primeros minutos y horas después de detectar un incidente, cada acción cuenta.

Pasos inmediatos de contención

No apagues los equipos afectados de inmediato. Apagar borra evidencia valiosa en memoria RAM. Aísla la red (desconecta el cable de red o el WiFi) pero mantén el equipo encendido hasta que un especialista lo revise.
Cambia contraseñas de forma segura desde un dispositivo limpio. Empieza por el correo corporativo, cuentas de administrador de sistemas y accesos bancarios.
Notifica a tu equipo de TI o proveedor tecnológico. No intentes "arreglar" el problema solo si no tienes experiencia en respuesta a incidentes; puedes destruir evidencia o extender el daño.
Documenta todo lo que veas. Capturas de pantalla, horas de los eventos, mensajes de error. Esta documentación será necesaria para el análisis forense y, potencialmente, para un reporte legal.
Revisa el alcance. ¿Cuántos equipos están afectados? ¿Se accedió a datos de clientes o empleados? ¿Se realizaron transacciones no autorizadas?

Importante: Si manejas datos personales de terceros (clientes, empleados, proveedores), la Ley Federal de Protección de Datos Personales en Posesión de los Particulares puede obligarte a notificar al INAI y a los titulares afectados dentro de un plazo determinado. Lee más sobre las implicaciones legales aquí.

¿Cuándo llamar a un experto en ciberseguridad?

Llama a un especialista de respuesta a incidentes si:

No puedes determinar el origen del ataque ni el alcance del daño.
Hay datos personales de clientes involucrados.
Existe evidencia de ransomware o extorsión.
Necesitas evidencia forense para un proceso legal.
El incidente involucra sistemas críticos como nómina, facturación o producción.

Muchas empresas intentan manejar estos incidentes internamente para evitar el costo de un especialista, pero la realidad es que sin experiencia forense, es muy difícil saber qué sistemas fueron comprometidos, qué datos fueron exfiltrados y si el atacante sigue activo. Un análisis deficiente puede dejar puertas traseras activas que permiten al atacante regresar meses después.

Preguntas frecuentes

¿Cómo sé si mis contraseñas fueron robadas?

Puedes verificar si tus correos corporativos aparecen en filtraciones conocidas en haveibeenpwned.com. Para una revisión más profunda que incluya credenciales en foros de la dark web, un servicio de OSINT corporativo puede hacer este análisis en tu nombre.

¿Debo pagar el rescate si me atacan con ransomware?

Las autoridades y los expertos recomiendan no pagar, por dos razones: no garantiza que recuperes tus archivos ni que el atacante no publique los datos, y financia futuras operaciones criminales. Antes de pagar, consulta con un especialista — en muchos casos existe la posibilidad de recuperación sin pago.

¿Debo reportar el ataque a las autoridades?

En México, los delitos informáticos se denuncian ante la Unidad de Policía Cibernética de la SSC o ante el INAI si hay datos personales comprometidos. Una denuncia formal también es necesaria para procesos de seguro cibernético si tu empresa cuenta con esa cobertura.

¿Cómo evito que me hackeen en el futuro?

La combinación más efectiva para una PYME es: autenticación multifactor en todos los accesos, respaldos verificados fuera de línea, actualizaciones de software al día, capacitación periódica de empleados y un pentest anual para identificar vulnerabilidades antes de que los atacantes lo hagan.

¿Sospechas que tu empresa está comprometida?

Hacemos una revisión inicial de indicadores de compromiso sin costo. Si hay algo que preocupe, te lo decimos con evidencia. Sin alarmar, sin rodeos.

Solicitar diagnóstico gratuito →