¿Qué hacer si te hackean? Esa fue la primera pregunta que me hice cuando todo empezó a desmoronarse. No es lo mismo hablar de ciberseguridad que vivir en carne propia un hackeo. En mi caso, no fue una sola cuenta: me hackearon tanto las redes sociales como varios de mis proyectos web. Fue un caos. Perdí acceso, vi contenido extraño publicado, e incluso algunos de mis dominios fueron manipulados. ¿Lo peor? No sabía por dónde empezar.
Este artículo nace precisamente de eso: de haber pasado por el susto, haberlo solucionado (con mucho sudor y más de un café) y querer que tú, si alguna vez te pasa algo similar, sepas qué hacer si te hackean. Aquí te dejo todo lo que aprendí, desde lo más inmediato hasta estrategias para prevenir que vuelva a pasar.
Qué hacer si te hackean: pasos inmediatos
Lo primero es no entrar en pánico, aunque cuesta. Respira y sigue estos pasos clave si te preguntas qué hacer si te hackean:
Cambia tus contraseñas
Hazlo inmediatamente. Empieza por tu email principal, ya que probablemente esté vinculado a todo lo demás. Luego sigue con redes, hosting, dominios y cualquier otro servicio afectado. No uses contraseñas anteriores ni versiones parecidas. Crea una nueva, robusta y única. Aprovecha para activar la autenticación en dos pasos en cada una de estas plataformas si aún no lo habías hecho.
Cierra sesiones abiertas
Muchos servicios permiten cerrar sesiones de otros dispositivos. Hazlo desde tu configuración de seguridad. Esto forzará al intruso a salir y te devolverá el control. En el caso de servicios como Google, puedes ver el historial de accesos y cerrar sesión remotamente.
Revisa accesos y permisos
Mira qué apps, usuarios o accesos hay conectados a tus cuentas. Si ves alguno sospechoso, elimínalo. Algunas plataformas, como Facebook, permiten ver desde qué ubicación accedieron por última vez. Si algo no cuadra, actúa.
Contacta con soporte
Cada plataforma tiene su proceso. Instagram, Facebook, Gmail, WordPress o el panel de tu hosting ofrecen formas de reportar un hackeo y recuperar el acceso. Mientras más rápido actúes, más probabilidades tendrás de evitar daños mayores. Algunas plataformas también te ofrecen recuperar tu cuenta mediante verificación biométrica o mediante documentos oficiales.
Qué hacer si te hackean redes sociales, email o webs
Redes sociales (Instagram, Facebook, X…)
Revisa si tu email o teléfono han sido modificados. Si aún tienes acceso, cambia todo. Si no, usa la opción «¿Has perdido tu cuenta?». Suelen pedir verificación por selfie, email o DNI. Qué hacer si te hackean una red social es actuar rápido y seguir los canales oficiales. Además, revisa las publicaciones, mensajes enviados y enlaces añadidos. Borra o reporta lo que sea necesario.
Si tu correo está comprometido, será tu prioridad máxima. Pide recuperación por SMS, cambia la contraseña y revisa filtros o reenvíos automáticos sospechosos. También revisa si el atacante activó respuestas automáticas o accesos a apps externas. Revisa los dispositivos conectados a tu cuenta y asegúrate de eliminarlos.
Webs y hosting
Si usas WordPress, cambia todas las claves de acceso (incluyendo base de datos y FTP). Revisa archivos modificados. Si tienes backups, restaurar una versión anterior puede ahorrarte dolores de cabeza. Qué hacer si te hackean una web: bloquear acceso, restaurar backups y reforzar medidas. Contacta con tu proveedor de hosting para ver si pueden ayudarte a recuperar la versión limpia del sitio. Si el sitio ha sido penalizado por Google, solicita una revisión tras la limpieza.
Otras apps o servicios conectados
Desde Canva hasta PayPal, pasando por Dropbox o servicios de newsletter. Si están enlazados a tu correo o redes, podrían haber sido afectados. Haz limpieza y revisa si el atacante se registró en algo nuevo usando tus credenciales. Cambia tus contraseñas, cierra sesiones activas y verifica que no haya pagos o movimientos no autorizados.
Qué hacer si te hackean: cómo evitar que te vuelva a pasar
Haz copias de seguridad frecuentes
Tanto de tu web como de bases de datos y archivos importantes. Usa plugins automáticos (UpdraftPlus, All-in-One WP Migration…) o backups de tu hosting. Guarda también una versión local cada cierto tiempo. Además, considera automatizar la copia a una nube segura o un disco duro externo.
Usa contraseñas fuertes y únicas
Nada de “123456” ni repetir claves. Usa combinaciones largas y difíciles, distintas para cada servicio. Idealmente, que incluyan mayúsculas, minúsculas, números y caracteres especiales. Puedes usar frases clave personalizadas como «M1webSegura2024!» para facilitar el recuerdo sin perder seguridad.
Almacena tus claves de forma segura
Puedes anotarlas en una libreta que solo tú tengas o usar gestores como KeePass, Bitwarden o 1Password. Evita guardarlas en notas del móvil sin cifrar. También puedes activar el autocompletado seguro en tu navegador con protección biométrica o contraseña maestra.
Activa la verificación en dos pasos (2FA)
Utiliza apps como Google Authenticator, Authy o similares. Esta doble capa de seguridad marca la diferencia. Aun si alguien consigue tu contraseña, no podrá entrar sin tu código 2FA. Prioriza activarla en servicios críticos como el correo electrónico, tu gestor de contraseñas, banca online y redes sociales.
Desconfía del phishing
No hagas clic en correos raros ni enlaces sospechosos. Un gran número de hackeos empieza por ahí. Si algo suena alarmista o urgente, probablemente sea trampa. Fíjate en el dominio del remitente, errores de ortografía y enlaces acortados. Si tienes dudas, entra directamente a la web oficial sin hacer clic.
Configura alertas de acceso
Muchos servicios (Google, Apple, Meta…) te avisan si alguien entra desde un dispositivo desconocido. Activa esas notificaciones para actuar cuanto antes. También puedes activar la revisión periódica de seguridad, como hace Google con su «Security Checkup».
Consejos extra desde la experiencia
- No subestimes los proyectos pequeños. Uno de mis blogs más antiguos, que casi no usaba, fue el punto de entrada del ataque.
- La organización lo es todo. Hazte un Excel (offline) con todas tus cuentas, fechas de cambios de clave, backups realizados…
- Educa a tu entorno. A veces los hackers entran a través de colaboradores con contraseñas flojas o malas prácticas.
- No te lo tomes como algo personal. Es fácil caer en la paranoia o la frustración. Respira. Solucionar esto es un proceso, no un sprint.
- Bloquea por IP si usas servidor propio. Algunos hackeos son automatizados desde bots extranjeros. Puedes configurar reglas de firewall.
- Actualiza tus CMS y plugins. Una web con versiones desactualizadas es vulnerable. Si usas WordPress, mantenlo al día.
- Monitorea cambios sospechosos. Usa herramientas que te avisen si hay cambios en tu web, como Sucuri o Wordfence.
- Usa antivirus y antimalware. No solo en el PC, también en el móvil. A veces el origen del problema está en un dispositivo infectado que usas para iniciar sesión.
Conclusión: mi aprendizaje tras el hackeo
Ser hackeado no es el fin del mundo, pero sí es una buena llamada de atención. Desde que me pasó, implementé medidas que antes veía innecesarias, y la tranquilidad que me da hoy es impagable.
Si estás pasando por esto: calma. Y si aún no te ha pasado, mejor prepárate desde ya. Saber qué hacer si te hackean puede ahorrarte tiempo, disgustos y hasta dinero. No se trata de vivir con miedo, sino con consciencia digital.
¿Te ha pasado algo parecido? Cuéntamelo en comentarios o escríbeme por redes. Este artículo no busca ser técnico a nivel experto, sino práctico y útil desde la experiencia real. Si te ha servido, compártelo con alguien que pueda necesitarlo.
Y recuerda: no es cuestión de si te van a hackear, sino de cuándo. Así que mejor estar listos y protegidos. Tu yo del futuro te lo va a agradecer.
