Ir al contenido
← Volver al blog
Diseño webConsejos

Cómo saber si tu web ha sido hackeada (y qué hacer)

El 43% de los ciberataques van dirigidos a pymes. Si tu web está hackeada, los clientes se dan cuenta antes que tú. Descubre las 8 señales de alerta y el protocolo de actuación.

serpixel ·
Pantalla de ordenador mostrando una alerta de seguridad web con el símbolo de un candado roto

Puntos clave

43% de los ciberataques atacan a pymes: Las pequeñas empresas son el objetivo preferido de los hackers porque rara vez actualizan su web. Un plugin desactualizado puede ser una puerta abierta durante meses.
Más del 60% de webs hackeadas no se detectan en 6 meses: Los ataques modernos son discretos: inyectan código invisible, no cambian nada visible. Si no monitorizas, no te enteras hasta que Google te marca como peligroso.
Una web marcada por Google pierde el 95% del tráfico: Cuando Google detecta malware en tu web, muestra un aviso rojo ('este sitio puede dañar tu ordenador') que hace huir a casi todos los visitantes potenciales.
Astro elimina la mayoría de vectores de ataque: Las webs estáticas no tienen base de datos, no ejecutan PHP y no tienen plugins vulnerables. Es la diferencia entre tener una puerta abierta y una pared maciza.

El 43% de los ciberataques van dirigidos a pequeñas empresas. La mayoría de estas empresas lo descubren tarde: cuando un cliente les avisa, cuando Google las marca como peligrosas o cuando sus emails empiezan a ir a la carpeta de correo no deseado. En ese momento, el daño ya está hecho.

En serpixel auditamos decenas de webs cada mes y vemos el mismo patrón una y otra vez: pymes con la web hackeada desde hace meses, sin saberlo. Este artículo te explica las 8 señales más habituales y qué hacer si detectas alguna.

1. Por qué las pymes son el objetivo preferido de los hackers

Cuando piensas en un ciberataque, te imaginas a un hacker atacando a Google o a un banco. La realidad es mucho más práctica: los hackers atacan las webs más fáciles. Y las webs más fáciles son las de pequeñas empresas.

Tres razones:

No se mantiene el software. El 70% de las webs WordPress hackeadas tienen plugins desactualizados. Cada mes se descubren vulnerabilidades nuevas en plugins populares; los hackers las explotan antes de que los propietarios las actualicen.

No hay monitorización. Una pyme no tiene un equipo de seguridad que vigile la web 24/7. Puede pasar meses con código malicioso inyectado sin darse cuenta. El cliente medio solo mira su web 2 o 3 veces al mes.

Las contraseñas son débiles. “admin / 123456” sigue siendo una de las combinaciones más habituales. Los hackers prueban miles de combinaciones por minuto con herramientas automatizadas. Una contraseña de 6 caracteres se rompe en menos de un minuto.

Y las consecuencias son desproporcionadas: para una multinacional, un ataque es una molestia. Para una pyme, puede significar cerrar el negocio.

2. Las 8 señales de que tu web ha sido hackeada

Señal 1: Resultados extraños cuando buscas tu negocio en Google

Busca en Google el nombre de tu web entre comillas (por ejemplo: site:tunegocio.com). Si ves páginas con títulos en japonés, contenido sobre productos farmacéuticos, casinos en línea o palabras clave que no tienen nada que ver con tu negocio, tu web está hackeada.

Es la forma más habitual de ataque SEO: los hackers inyectan cientos de páginas nuevas en tu web con contenido spam, aprovechando tu dominio para posicionar productos que quieren vender.

Señal 2: Google Search Console te notifica problemas de seguridad

Si tienes tu web verificada en Google Search Console (y deberías tenerla), aquí es donde recibirás los primeros avisos. En el apartado “Problemas de seguridad”, Google te notifica si detecta:

  • Malware (código malicioso que infecta a los visitantes)
  • Software malicioso o no deseado (extensiones, descargas sospechosas)
  • Phishing (intentos de robar datos)
  • Contenido hackeado (cambios no autorizados en tu web)

Si ves cualquier notificación en este apartado, actúa inmediatamente. No esperes más de 24 horas.

Señal 3: Pop-ups que no has puesto tú

Si visitas tu web y de pronto aparecen pop-ups, anuncios extraños, redirecciones a otras webs o un contador supuestamente oficial diciendo “tu ordenador está infectado”, la web está comprometida. Los hackers han inyectado código JavaScript que se ejecuta en los visitantes.

Importante: puede que estos pop-ups solo aparezcan en determinados navegadores o países. Prueba la web en modo incógnito y desde otro dispositivo.

Señal 4: Cuentas de administrador desconocidas

Si usas WordPress, ve a Usuarios > Todos los usuarios y mira si hay alguna cuenta de administrador que no reconozcas. Los hackers suelen crear cuentas con nombres técnicos (wpadmin, support, admin1) para mantener el acceso aunque cambies tu contraseña.

Mira también si hay usuarios con fechas de creación recientes que no recuerdes haber creado tú.

Señal 5: Archivos nuevos o modificados en el servidor

Si tienes acceso FTP o al gestor de archivos del hosting, busca archivos con nombres extraños: wp-x.php, wso.php, marvin.php, index2.php. Estos son nombres típicos de “shells” (programas que los hackers usan para controlar la web).

Mira también las fechas de modificación. Si ves archivos de WordPress modificados recientemente sin que hayas hecho ninguna actualización, es una señal de alerta.

Señal 6: Caída brusca de tráfico en Google Analytics

Si tu web recibía 500 visitas mensuales y de pronto baja a 50, es muy posible que Google te haya penalizado. La causa más habitual de una caída de esta magnitud es contenido hackeado o malware que ha activado un filtro de Google.

Mira también si la caída afecta solo a ciertas páginas: si Google ha detectado malware en una sección concreta, puede desindexar solo esa sección.

Señal 7: El navegador marca tu web como peligrosa

Visita tu web con Chrome y Firefox. Si ves una pantalla roja con mensajes como “Sitio engañoso a la vista” o “Este sitio puede dañar tu ordenador”, Google ya ha detectado el ataque y ha bloqueado la web a sus usuarios.

Es el peor escenario: en este momento, el 95% del tráfico potencial huye sin ni siquiera ver tu contenido.

Señal 8: Tu hosting te notifica actividad sospechosa

Los hostings serios monitorizan sus servidores. Si reciben alertas de que tu cuenta está enviando spam, consumiendo recursos excesivos o teniendo conexiones sospechosas, te envían un email de aviso. Lee siempre los emails de tu hosting; muchos propietarios los ignoran pensando que son publicidad.

3. Qué hacer si encuentras alguna de estas señales

Si has identificado alguna de las 8 señales, sigue este protocolo en este orden exacto:

Paso 1: NO BORRES NADA. El primer instinto es limpiarlo todo de una vez, pero puedes destruir pruebas valiosas sobre cómo ocurrió el ataque. Haz una copia de seguridad completa antes de tocar nada.

Paso 2: Pon la web en modo mantenimiento. Si tu plataforma lo permite, muestra una página temporal “Volvemos pronto”. Esto evita que los visitantes queden infectados mientras limpias la web.

Paso 3: Cambia todas las contraseñas. Todas. La de WordPress, la del FTP, la del panel del hosting, la de la base de datos, la del correo corporativo si usa el mismo dominio. Usa contraseñas de 16+ caracteres generadas con un gestor como 1Password o Bitwarden.

Paso 4: Escanea la web con una herramienta especializada.

  • Sucuri SiteCheck (gratuito): escanea tu web y te dice si detecta malware, blacklist o vulnerabilidades conocidas.
  • Wordfence (para WordPress): escanea todos los archivos de tu web buscando código malicioso.
  • VirusTotal (gratuito): comprueba si tu dominio está en listas negras de seguridad.

Paso 5: Restaura una copia de seguridad anterior a la infección. Si tienes copias de seguridad (y deberías tenerlas), restaura una de antes de que empezaran los problemas. Comprueba primero la fecha exacta de la infección mirando los archivos modificados.

Paso 6: Actualiza todo el software. WordPress, plugins, temas, PHP, base de datos. Si hay plugins que ya no se mantienen, bórralos y busca alternativas activas.

Paso 7: Notifica a Google Search Console que has resuelto el problema. En el apartado “Problemas de seguridad”, pulsa “Solicitar revisión” una vez hayas limpiado la web. Google revisa la solicitud entre 24 y 72 horas.

Paso 8: Si no sales adelante, contrata a un profesional. Empresas como Sucuri, Wordfence o consultores de ciberseguridad pueden hacer una limpieza profesional por entre 200 y 500 EUR. Vale la pena: una web hackeada puede perder miles de euros en clientes durante cada día que sigue infectada.

4. Cómo prevenirlo para el futuro

Recuperar una web hackeada es caro y estresante. Prevenirlo es barato y fácil. Estas son las 5 medidas básicas:

1. Actualizaciones automáticas. Activa actualizaciones automáticas para WordPress core, plugins y temas. Si usas otro CMS, configura recordatorios semanales para actualizar manualmente.

2. Contraseñas fuertes y autenticación de dos factores (2FA). Nunca uses “admin” o “123456”. Activa 2FA siempre que sea posible (Google Authenticator, Authy).

3. Copias de seguridad automáticas y externas. Las copias deben ser diarias y guardarse fuera del servidor (Google Drive, Dropbox, AWS S3). Una copia en el mismo servidor no sirve de nada si el servidor está comprometido.

4. Firewall a nivel de servidor o aplicación. Cloudflare, Sucuri o Wordfence ofrecen firewalls que bloquean ataques conocidos antes de que lleguen a tu web. Hay versiones gratuitas que ya son útiles.

5. Reducir la superficie de ataque. Cada plugin que añades es un punto de entrada potencial. Borra los plugins que no uses. Borra los temas que no estés utilizando. Menos código = menos vulnerabilidades.

5. Por qué las webs serpixel son inmunes a la mayoría de ataques

En serpixel no usamos WordPress. Nuestras webs se construyen con Astro, un framework que genera HTML estático en el momento de publicar.

¿Qué significa esto para la seguridad?

Sin base de datos. Ninguna consulta SQL, ninguna inyección posible, ningún login a una base de datos.

Sin PHP. El servidor no ejecuta ningún código cuando alguien visita la web. Solo envía archivos HTML pre-generados. Sin ejecución = sin vulnerabilidades de ejecución.

Sin plugins de terceros vulnerables. Cada funcionalidad se construye como código propio, revisado y auditado. No dependemos de cientos de pequeños plugins hechos por desarrolladores anónimos.

Sin panel de administración público. En WordPress, cualquiera puede intentar entrar en tudominio.com/wp-admin. En Astro no hay panel de admin: la web se genera desde el repositorio de código y se publica vía Git. Para atacar la web, un hacker tendría que comprometer nuestro repositorio de GitHub y el proceso de despliegue de Vercel.

CDN con protección DDoS incluida. Vercel incluye protección contra ataques de denegación de servicio, bloqueo automático de bots maliciosos y monitorización constante.

Resultado: en más de 12 meses con Astro, 0 ataques exitosos en las webs que gestionamos. No es suerte, es arquitectura.

Qué hacemos cada mes para proteger a nuestros clientes

En serpixel, como parte del mantenimiento integrado, cada mes:

  1. Actualizamos todas las dependencias de cada web y revisamos si hay vulnerabilidades nuevas en npm advisories
  2. Monitorizamos los logs de Vercel para detectar comportamientos sospechosos
  3. Verificamos que la web no está en listas negras con Sucuri SiteCheck
  4. Comprobamos que Google Search Console no muestra problemas de seguridad
  5. Hacemos copias de seguridad automáticas mediante Git (cada cambio queda registrado)

Todo incluido en el plan de crecimiento mensual. Sin servicios extra, sin plugins de pago adicionales.

¿Quieres saber si tu web actual tiene problemas de seguridad? Pídenos una auditoría gratuita y hacemos un escaneo completo en menos de 24 horas. Te enviamos un informe con los problemas detectados y cómo solucionarlos.

Etiquetas

seguridad webweb hackeadapymesciberseguridadmantenimiento webWordPress

Preguntas frecuentes

Hay 8 señales claras: contenido extraño en el buscador (títulos en japonés, redirecciones a webs farmacéuticas), avisos de Google Search Console, pop-ups que no has puesto, cuentas de administrador desconocidas, archivos nuevos en el servidor, caída brusca de tráfico, navegadores marcando la web como peligrosa, o el propio hosting te notifica abuso.
1) No borres nada antes de hacer una copia de seguridad completa para investigación. 2) Pon la web en modo mantenimiento. 3) Cambia todas las contraseñas (admin, FTP, hosting, base de datos). 4) Escanea con Sucuri SiteCheck o Wordfence. 5) Restaura una copia de seguridad anterior a la infección. 6) Actualiza todo el software. 7) Avisa a Google Search Console del problema resuelto.
Depende de la complejidad. Una limpieza básica hecha por Sucuri o Wordfence cuesta entre 200 y 500 EUR. Si el código malicioso es complejo o hay que restaurar una copia antigua, puede subir a 1.000-2.000 EUR. Si la web ha sido marcada por Google, recuperar la reputación puede tardar semanas. Un mantenimiento preventivo cuesta mucho menos.
WordPress ejecuta código PHP y usa base de datos en cada visita, multiplicando los puntos de ataque (plugins, temas, formularios, login). Astro genera HTML estático al publicar: el servidor solo envía archivos, sin ejecutar nada. No hay base de datos, no hay plugins vulnerables, no hay login públicamente accesible. Es la misma diferencia que tener una caja fuerte cerrada o una mesa con dinero encima.