En ciberseguridad existe una regla de oro: los primeros 60 minutos tras detectar un fraude digital son decisivos.
Un movimiento rápido y coordinado puede marcar la diferencia entre recuperar el control o perderlo para siempre.
En este artículo encontrarás un plan paso a paso para actuar ante un ataque como Business Email Compromise (BEC), phishing, fraude bancario o robo de identidad, aplicable tanto a empresas como a particulares.
Minuto 0-10: Contener y aislar
Objetivo: detener la fuga de información o dinero inmediatamente.
- Cortar la transacción
- Llamar al banco o proveedor financiero y solicitar bloqueo urgente de la transferencia o pago.
- Si hay tarjeta implicada, cancelarla y pedir nueva.
- Desconectar el dispositivo afectado
- Quitar de la red el ordenador o móvil en el que se detectó el fraude para evitar más intrusiones.
- No formatear ni borrar nada: pueden ser pruebas clave.
- Bloquear accesos comprometidos
- Cambiar contraseñas críticas (correo, banca online, redes internas) desde un equipo seguro no afectado.
Tip empresa: Si tienes autenticación multifactor, forzar cierre de todas las sesiones activas.
Minuto 10-30: Recolección de pruebas
Objetivo: preservar evidencia digital para la investigación policial o forense.
- Guardar correos electrónicos con encabezados completos (headers).
- Hacer capturas de pantalla de mensajes, webs o SMS fraudulentos.
- Descargar facturas o documentos manipulados.
- Apuntar fechas, horas, importes y cuentas implicadas.
Importante: No reenviar los correos fraudulentos; usa copia en formato .eml o PDFs.
Minuto 30-45: Notificación y reporte
Objetivo: activar los mecanismos legales y de cooperación.
- Contactar con las fuerzas de seguridad
- Guardia Civil (Equipo @ o Grupo de Delitos Telemáticos)
- Policía Nacional (Brigada de Investigación Tecnológica)
- Proporcionar toda la evidencia recopilada.
- Informar al INCIBE (Instituto Nacional de Ciberseguridad)
- Teléfono gratuito 017 (24/7)
- Asesoramiento técnico y canal con entidades bancarias.
- Avisar a las partes afectadas
- Clientes, proveedores o socios implicados para que adopten medidas.
Minuto 45-60: Mitigación y comunicación interna
Objetivo: blindar el entorno y coordinar acciones.
- Revisar si hay más cuentas comprometidas.
- Reforzar credenciales y habilitar MFA donde no estuviera.
- Comunicar internamente el incidente y las medidas adoptadas para evitar alarmas, rumores o errores.
Errores comunes que debes evitar
- Borrar pruebas “para limpiar”.
- Retrasar la notificación por miedo a la mala imagen.
- Intentar “negociar” con el atacante.
- Reutilizar contraseñas antiguas.
Checklist exprés para empresas
| Acción | Tiempo ideal |
| Bloqueo de pagos/cuentas | < 5 min |
| Desconectar equipos comprometidos | < 10 min |
| Recolección de pruebas | < 25 min |
| Comunicación a banco/policía | < 35 min |
| Aviso a afectados | < 60 min |
En un ciberfraude, el tiempo corre siempre a favor del atacante… salvo que actúes con velocidad, método y coordinación. Un protocolo claro y conocido por todo el equipo es la mejor póliza de seguro contra el caos.
