Qué hacer si pasa algo

Cuándo aplica: Archivos cifrados, nota de rescate visible o picos masivos de modificación de ficheros en mi equipo o un servidor.

Las primeras decisiones marcan el coste final. Aislar rápido y avisar — nunca apagar 'a lo bruto' antes de coordinar con el equipo de respuesta.

Cuándo aplica: Has adjuntado el fichero incorrecto, has incluido en CC a quien no debías, has compartido un enlace de Drive con permisos abiertos, o has enviado un correo masivo con direcciones en CC en lugar de CCO.

Es un incidente de los más comunes (y de los que más sanciona la AEPD). Actuar rápido reduce el alcance y demuestra diligencia.

Cuándo aplica: Has pulsado un enlace o introducido credenciales en un correo que ahora sospechas que era falso.

La rapidez determina el impacto. Cada minuto cuenta para reducir la ventana del atacante.

Cuándo aplica: Pérdida o robo de un dispositivo (portátil, móvil, USB, llave física) con datos o accesos corporativos.

Asume lo peor y actúa en minutos. La pérdida sin cifrado adecuado puede ser por sí misma una brecha de datos personales notificable.

Cuándo aplica: Detectas que una transferencia (BEC, factura falsa, cambio de IBAN del proveedor) ha salido y crees que es fraudulenta.

Las primeras 24-72 horas son críticas. La IC3 Recovery Asset Team y los bancos consiguen recuperar fondos solo si la alerta llega rápido.

Cuándo aplica: Have I Been Pwned o IdP corporativo te avisa de que tu email aparece en una brecha. O recibes alertas de MFA que no has solicitado.

Una alerta no solicitada significa que alguien ya tiene tu contraseña. Cambia contraseñas, revisa sesiones, audita movimientos.