Un empleado ha hecho clic en un email de phishing: los primeros 15 minutos

Te llega un mensaje de Teams o un aviso de un empleado: "Creo que he hecho clic en algo raro". La reacción instintiva es pedir calma y seguir trabajando. Error. Los primeros 15 minutos son los que determinan si esto queda en un susto o en semanas de problemas.

Minuto 0-2: No apagues el equipo, desconéctalo de la red

El primer instinto es apagar el ordenador. Resiste ese impulso. Algunos malware detectan el apagado y aceleran el cifrado o borran evidencias. Lo que hay que hacer es desconectarlo de la red: quitar el cable ethernet o desactivar el WiFi desde los ajustes del equipo. El objetivo es aislarlo antes de que pueda comunicarse con el exterior o propagarse a otros equipos de la red.

Minuto 2-5: Identifica qué ha pasado exactamente

Pregunta al empleado tres cosas concretas:

• ¿En qué ha hecho clic exactamente? ¿Un enlace, un adjunto, un botón en una web?
• ¿Ha introducido alguna contraseña o dato personal después de hacer clic?
• ¿Ha visto algún mensaje de error, alguna ventana nueva o algún aviso inusual?

Las respuestas a estas tres preguntas determinan la gravedad del incidente. Hacer clic en un enlace y cerrar el navegador inmediatamente es muy distinto a haber introducido las credenciales del correo corporativo en una página falsa.

Minuto 5-10: Cambia las contraseñas desde otro equipo

Si el empleado ha introducido contraseñas, esas cuentas están comprometidas. Desde otro equipo que no haya estado involucrado en el incidente, cambia inmediatamente las contraseñas de:

• El correo corporativo (prioridad máxima, es la llave maestra de todo)
• Cualquier programa de gestión o acceso a datos de clientes
• La banca online si se había accedido desde ese equipo recientemente

Si tienes Bitwarden u otro gestor de contraseñas, este es el momento en que lo agradeces: sabes exactamente en qué servicios estaba usando esa contraseña.

Minuto 10-15: Llama a tu soporte IT

Con el equipo aislado y las contraseñas cambiadas, es el momento de llamar. Si eres cliente de BarcelonaIT con plan PRO o EMPRESA, tienes acceso a soporte prioritario: me llamas, te respondo y en función de lo que ha pasado decidimos si hay que hacer un análisis del equipo antes de volver a conectarlo, si hay que revisar los logs del antivirus o si con el aislamiento y el cambio de contraseñas el incidente está contenido.

La respuesta ante incidencias de seguridad está incluida en los planes PRO y EMPRESA. Las horas que superen las incluidas van a 95 €/h, pero en la mayoría de los casos de phishing sin descarga activa el incidente se resuelve en menos de 2 horas si se actúa bien desde el principio.

Qué pasa si hay backup y antivirus gestionado

Bitdefender GravityZone, que incluyo en todos mis planes, genera logs de actividad en tiempo real. Cuando analizo el equipo después de un incidente, puedo ver exactamente qué se ejecutó, qué conexiones se establecieron y si hay algún proceso malicioso activo. Eso hace el diagnóstico mucho más preciso que ir a ciegas.

Y si el phishing derivó en ransomware y los archivos se cifraron, el backup automático (incluido en los planes PRO y EMPRESA) permite restaurar desde la última copia verificada. La diferencia entre "perdemos todo" y "perdemos los últimos 24 horas de trabajo" está exactamente ahí.

Cómo evitar que vuelva a pasar

El 91% de los ciberataques empiezan con un email. La medida técnica más efectiva para reducir ese riesgo es el DNS filtrado, que bloquea dominios maliciosos conocidos antes de que el navegador llegue a cargarlos. Si el empleado hubiera hecho clic en el mismo enlace con NextDNS activo y bien configurado, el dominio de phishing habría sido bloqueado automáticamente.

NextDNS está incluido en los planes PRO y EMPRESA. Y en este artículo sobre cómo detectar emails falsos tienes una guía para compartir con tu equipo.