Web hackeada: qué hacer ahora mismo (2026)

Abres el navegador, escribes la dirección de tu web y en lugar de tu página aparece algo que no reconoces: un mensaje extraño, una redirección a otra web, o directamente una pantalla en blanco. O peor, te llega un aviso de un cliente que no puede acceder porque el navegador le muestra una advertencia de “sitio peligroso”. Acabas de descubrir que tu web ha sido hackeada.

Lo primero que debes saber: esto le ocurre a miles de webs cada día, muchas de ellas de autónomos y pequeños negocios exactamente como el tuyo. Y lo segundo: tiene solución, aunque el tiempo que tardes en actuar marcará la diferencia entre un problema controlable y un desastre que afecte meses a tu negocio.

Señales que confirman que tu web está comprometida

A veces el hackeo es evidente. Otras veces es casi invisible. Estas son las señales más habituales:

Las más obvias

Tu web muestra contenido que tú no has publicado: texto en otro idioma, imágenes inapropiadas, mensajes de grupos de hackers o directamente una “deface” (el equivalente digital a pintar una pared ajena). En estos casos no hay duda: alguien tiene o ha tenido acceso a tu web.

Las más peligrosas (porque no se ven)

El hackeo invisible es el más dañino porque te da una falsa sensación de seguridad. Tu web parece funcionar con normalidad, pero en segundo plano ocurre algo: los visitantes son redirigidos a otras webs en ciertos momentos, tu servidor está siendo usado para enviar spam masivo, o hay código oculto que roba datos de tus clientes mientras navegan.

Estas infecciones pueden llevar semanas activas sin que nadie lo note. El primer aviso suele venir de Google, de tu proveedor de hosting, o de un cliente que te dice que su antivirus disparó una alarma al visitar tu web.

Señales técnicas a vigilar

• Google Search Console te envía una alerta de “contenido hackeado” o “software malicioso”
• Tu posicionamiento en Google cae bruscamente sin razón aparente
• El hosting te bloquea la cuenta por actividad sospechosa
• Recibes correos de rebote masivos que no has enviado tú
• Tus contraseñas de administrador han dejado de funcionar

Qué hacer: Si tienes alguna de estas señales, actúa como si la web estuviera comprometida. Es mejor investigar y no encontrar nada que ignorarlo y que el daño se extienda.

Lo que NO debes hacer si sospechas que tu web ha sido hackeada

Antes de los pasos para recuperarla, conviene frenar los errores más comunes que empeoran la situación:

No sigas publicando contenido ni haciendo cambios en la web hasta que sepas qué ha pasado. Podrías estar trabajando sobre una web infectada y propagando el problema.

No elimines archivos a ciegas pensando que así “limpias” la infección. Sin saber exactamente qué ha sido modificado, puedes borrar archivos legítimos y dejar el malware intacto.

No cierres la web directamente desde el panel del hosting sin hacer antes una copia del estado actual. Esa copia puede ser necesaria para analizar el ataque y evitar que vuelva a ocurrir.

Y sobre todo: no esperes. Cada hora que pasa con una web infectada es una hora en la que Google puede detectarlo, tus clientes pueden verse afectados y el atacante puede profundizar en el acceso.

Los pasos para recuperar tu web hackeada

Paso 1: Pon la web en modo mantenimiento

Si puedes acceder al panel de administración, activa el modo mantenimiento o una página temporal. Así evitas que tus visitantes sigan viendo contenido comprometido o sean redirigidos mientras trabajas en la recuperación. Si no puedes acceder, contacta con tu proveedor de hosting para que bloqueen el acceso temporalmente.

Qué hacer: Informa a tu proveedor de hosting de la situación. Ellos tienen herramientas para escanear el servidor y pueden ayudarte a identificar archivos infectados. Además, si el servidor está siendo usado para spam o ataques, necesitan saberlo.

Paso 2: Cambia todas las contraseñas

Todas. Sin excepción. La de administrador de la web, la del hosting, la del FTP, la del panel de control, la del correo asociado al dominio. Hazlo desde un dispositivo diferente al que usas habitualmente y desde una red segura, por si el origen del ataque está en un dispositivo tuyo comprometido.

Qué hacer: Usa contraseñas de al menos 16 caracteres, combinando letras, números y símbolos. Usa un gestor de contraseñas si no quieres memorizarlas.

Paso 3: Identifica el alcance del daño

Aquí es donde necesitas saber qué ha cambiado. Si tienes una copia de seguridad reciente, puedes comparar los archivos actuales con los de la copia para identificar qué ha sido modificado o añadido. Si no tienes copia de seguridad… este es el momento en que ese descuido tiene consecuencias reales.

Los archivos más frecuentemente afectados en webs WordPress son: wp-config.php, archivos en wp-content/uploads, y archivos .htaccess. Pero el malware moderno puede infectar cualquier archivo del servidor.

Qué hacer: Si no tienes experiencia revisando código, no intentes hacer esta limpieza solo. Un archivo malicioso que pasa desapercibido es una puerta que el atacante puede volver a usar.

Paso 4: Limpia la infección o restaura desde backup

Tienes dos caminos. Si tienes una copia de seguridad limpia, restaurarla es la opción más segura y rápida, siempre que la copia sea anterior a la infección. Si no tienes backup o no sabes cuándo comenzó el ataque, hay que hacer una limpieza manual o con herramientas especializadas.

La limpieza manual implica revisar cada archivo del servidor, identificar el código malicioso y eliminarlo o restaurar el archivo original. Es un proceso que requiere conocimiento técnico y tiempo, y que si se hace de forma incompleta deja el problema latente.

Qué hacer: Valora si tienes los conocimientos y el tiempo para hacerlo correctamente. Un intento de limpieza a medias puede darte una falsa sensación de seguridad mientras el malware sigue activo.

Paso 5: Actualiza todo

Una vez limpia la web, actualiza el CMS, todos los plugins y la plantilla. Si algún plugin o plantilla tiene una vulnerabilidad conocida que fue la puerta de entrada, sin actualizar volvería a ser explotada en días o incluso horas.

Qué hacer: Elimina también todos los plugins o plantillas que no uses activamente. Cada extensión desinstalada es una superficie de ataque menos.

Paso 6: Pide a Google que revise tu web

Si Google marcó tu web como peligrosa, no se desmarcará sola aunque la hayas limpiado. Tienes que acceder a Google Search Console, ir al apartado de “Problemas de seguridad” y solicitar una revisión manual. Google tarda entre uno y tres días en revisar la solicitud y, si todo está correcto, retira la advertencia.

Qué hacer: No esperes a que Google lo detecte solo. Solicita la revisión activamente en cuanto hayas completado la limpieza.

¿Estás obligado a notificar el hackeo?

Si en tu web se gestionan datos personales de clientes (nombres, correos, teléfonos, datos de pago), la respuesta bajo la normativa RGPD es sí. Tienes 72 horas desde que conoces la brecha para notificarlo a la Agencia Española de Protección de Datos. Ignorar este plazo puede suponer sanciones adicionales independientemente del daño causado por el propio ataque.

Qué hacer: Documenta desde el primer momento cuándo detectaste el problema, qué datos podrían haber sido afectados y qué acciones has tomado. Esa documentación es la que necesitarás si tienes que notificar a la AEPD.

Cómo evitar que vuelva a ocurrir

Una vez recuperada la web, el trabajo no ha terminado. El mismo vector de ataque que usaron la primera vez puede volver a explotarse si no se cierra correctamente. Y los atacantes automatizados que encontraron tu web una vez saben que existe.

Las medidas que reducen drásticamente las posibilidades de un segundo ataque son las mismas que habrían evitado el primero: actualizaciones al día, copias de seguridad automáticas externas, autenticación en dos pasos en el panel de administración, un firewall de aplicación web y monitorización activa.

Ninguna de estas medidas requiere ser técnico para implementarlas. Requieren saber cómo hacerlo o contar con alguien que lo haga por ti.

Siguiente paso

Si tu web ha sido hackeada y no sabes por dónde empezar, o si sospechas que puede estar comprometida y quieres saberlo con certeza, en SeguridadWeb nos especializamos en recuperación y análisis forense de webs para autónomos y pequeños negocios.

Analizamos qué pasó, limpiamos la infección, reforzamos la seguridad y te dejamos un informe claro de lo ocurrido. Sin tecnicismos y sin dejar cabos sueltos.