Qué pasa cuando tu sitio web es hackeado (y cuánto cuesta recuperarlo)
Un hack típico cuesta entre $2,000 y $15,000 y puede borrar meses de posicionamiento SEO. Te explicamos el proceso real de recuperación y cómo prevenirlo.
Los sitios hackeados son más comunes de lo que crees. Según Sucuri Security, más del 30% de los sitios WordPress activos tienen al menos una vulnerabilidad explotable. La mayoría de los dueños no se entera hasta que el daño ya está hecho.
Esta guía explica cómo detectar un hack, qué hacer en las primeras horas, cuánto cuesta la recuperación real, y qué hace un plan de mantenimiento profesional para prevenirlo.
Cómo sabes que te hackearon
No siempre es obvio. Estos son los síntomas más comunes:
- Redirecciones extrañas — visitas tu sitio y te manda a una farmacia china o un casino
- Pantalla roja de Google — "Este sitio puede dañar tu computadora"
- Pérdida repentina de ranking — de aparecer en primera página a no aparecer para nada
- Emails rebotando — los servidores de correo flagean tu dominio como spam
- Contenido nuevo sin que lo publicaras — artículos sobre viagra, páginas en idiomas que no hablas
- Usuarios administradores desconocidos — cuentas que tú no creaste
- Alertas de tu hosting — "tráfico inusual detectado" o "uso excesivo de CPU"
Si ves cualquiera de estos, asume que estás hackeado hasta probar lo contrario.
Las primeras 2 horas — lo que debes hacer ya
1. Aísla el sitio
Saca el sitio de internet ANTES de investigar. Opciones:
- Desactívalo en tu panel de hosting (maintenance mode)
- Apunta el dominio a una página estática de "en mantenimiento"
- Bloquea todo tráfico excepto tu IP en el firewall
Cada minuto que el sitio sigue en línea infectado es más daño a tu reputación y SEO.
2. Preserva evidencia
Antes de limpiar NADA, haz un respaldo del estado actual (infectado). Necesitas esto para:
- Identificar el vector de entrada
- Saber qué archivos fueron modificados
- Detectar backdoors que el atacante dejó para volver
3. Cambia TODAS las contraseñas
- Panel de hosting
- FTP/SSH
- Base de datos
- WordPress/CMS admin
- Email conectado al sitio
- Cualquier API key expuesta en el código
Asume que todas están comprometidas — es mejor cambiar de más que de menos.
Las siguientes 24 horas — forensia
Identifica el punto de entrada
Las vías más comunes:
| Vector | % de hacks | Señales |
|---|---|---|
| Plugin desactualizado | 52% | Plugin sin actualizar hace 6+ meses |
| Tema nulled/pirata | 18% | Tema descargado gratis de sitio no oficial |
| Contraseña débil (ataque por fuerza bruta) | 15% | Logs con miles de intentos de login |
| Inyección SQL | 8% | Formulario personalizado sin validación |
| Credenciales robadas por phishing | 5% | Atacante con login legítimo pero no eres tú |
| Otros | 2% | — |
Revisa los logs del servidor entre 7-14 días antes de detectar el hack — el atacante probablemente entró días antes de activar la infección.
Limpia el código infectado
- Compara archivos con la versión original del CMS/framework
- Busca archivos con fechas de modificación recientes fuera de horarios normales
- Busca strings sospechosos:
eval(base64_decode(, iframes ocultos, JavaScript ofuscado - Revisa la base de datos por usuarios admin extraños, posts con código PHP embebido
Elimina los backdoors
Esto es lo más difícil. Un atacante serio deja 5-10 backdoors escondidos para volver después de la limpieza. Se pueden disfrazar como archivos legítimos (wp-config-backup.php, .htaccess.old, etc.).
La única forma segura de estar limpio es restaurar desde un respaldo anterior al hack — si tienes un respaldo confiable.
Cuánto cuesta realmente un hack
Desglose típico de una recuperación profesional de un sitio mediano:
| Concepto | Costo |
|---|---|
| Análisis forense e identificación del vector | $300 – $800 |
| Limpieza de malware (por hora, 5–20 horas) | $500 – $2,000 |
| Restauración desde respaldo | $200 – $500 |
| Revisión y fortalecimiento post-limpieza | $300 – $600 |
| Solicitud de re-evaluación a Google (Safe Browsing) | $0 – $200 |
| Recuperación de SEO perdido | Meses de trabajo |
| Total directo | $1,300 – $4,100 |
Si el hack exfiltró datos de clientes, añade:
- Notificaciones legales (requeridas en Florida bajo § 501.171)
- Multas potenciales bajo GDPR/CCPA si aplica
- Demandas civiles
- Pérdida de confianza = clientes que no regresan
El hack promedio para un negocio pequeño termina costando $5,000–$15,000 cuando cuentas el costo de recuperación + ingresos perdidos durante el downtime.
Qué hace un plan de mantenimiento serio para prevenir esto
- Parches aplicados rápido — vulnerabilidades conocidas cerradas en días, no meses
- Firewall de aplicación (WAF) — bloquea intentos de inyección SQL y XSS antes de que lleguen a tu código
- Monitoreo de integridad de archivos — alerta si algún archivo cambia fuera de un deploy oficial
- Respaldos verificados — backup de anoche listo para restaurar si algo pasa
- Escaneos regulares de vulnerabilidades — herramientas como Wordfence, Sucuri o auditorías manuales
- Autenticación fuerte — 2FA obligatorio en admin, contraseñas rotadas periódicamente
Un buen plan no garantiza que nunca te van a hackear, pero reduce la probabilidad drásticamente y garantiza que la recuperación tome horas en lugar de semanas.
La lección
El momento más barato para prevenir un hack es antes de que pase. El segundo mejor momento es cuando contratas un plan de mantenimiento serio. El peor momento es después de que ya te pasó.
Si tu sitio no ha recibido actualizaciones de seguridad en los últimos 60 días, estás acumulando riesgo silenciosamente. Escríbenos para una auditoría gratis — te decimos qué tan expuesto estás sin compromiso.