Claves para proteger la reputación de la empresa
Desde hace más de veinte años, octubre es el Mes de la Concientización sobre la Ciberseguridad, una ocasión que suele centrarse en la prevención técnica, en reforzar contraseñas, actualizar sistemas y formar al personal. Sin embargo, hay un aspecto que rara vez recibe la misma atención: la comunicación. Cuando una empresa sufre un ataque de ransomware, por ejemplo, no basta con desplegar parches y protocolos técnicos; también hay que dar la cara. Lo que se dice, cómo se dice y cuándo se dice puede ser tan determinante como el propio trabajo de los equipos de tecnología.
Cuando hay un ciberataque, la atención inicial suele centrarse en aislar sistemas, recuperar datos o detener la filtración. Mientras tanto, los rumores, la desinformación y la percepción pública avanzan mucho más rápido. En ese terreno, la comunicación es tan decisiva como la seguridad informática, porque puede contener el daño reputacional, mantener la confianza de clientes y socios y demostrar que la organización está bajo control. El problema es que en la mayoría de compañías no existe una estrategia clara y el responsable de comunicación entra tarde y de forma reactiva, sin haberse implicado de antemano ni haber preparado escenarios.
Por eso, anticiparse es clave. No se trata de esperar a que ocurra una crisis para improvisar, sino de tener un plan de comunicación ante ciberincidentes diseñado con calma y que recoja distintos escenarios. Organismos como el National Cyber Security Centre (NCSC) británico insisten en que muchas organizaciones relegan la comunicación a un segundo plano cuando lo que está en juego es, precisamente, cómo se percibe el incidente. En este sentido, hay guías prácticas, como la de HIROC, que recomiendan preparar mensajes adaptables, definir canales alternativos, identificar roles y realizar simulaciones donde la comunicación forme parte del equipo de respuesta.
En este contexto, la implicación del responsable de comunicación no puede ser opcional. Su papel debe integrarse desde el inicio en el comité de crisis, junto a técnicos, dirección y área legal. Solo así se pueden tomar decisiones alineadas en torno al mensaje, el tono, el momento y los destinatarios. De hecho, investigaciones recientes, como un estudio publicado en arXiv, muestran que las empresas que logran gestionar mejor estos episodios suelen comunicar temprano, asumir responsabilidad y ofrecer disculpas; mientras que las que fracasan tienden a retrasar mensajes, minimizar el impacto o culpar a terceros.
El factor tiempo
Además, cuando la crisis ya está en marcha, el factor tiempo es determinante. Comunicar lo antes posible, aunque solo sea con la información disponible en ese momento, ayuda a contener la especulación y demuestra control. La transparencia es fundamental, aunque debe aplicarse con prudencia: no todo puede revelarse al instante si compromete la gestión técnica o los procesos legales. Explicar qué se está haciendo para mitigar el daño, habilitar canales de comunicación específicos, informar a los empleados antes de dar la cara al exterior y coordinarse con las autoridades competentes son pasos básicos para sostener la credibilidad. IBM lo resume en este artículo en un principio claro: la rapidez y la claridad son tan importantes como la tecnología que se aplica para contener el ataque.
Y una vez que los sistemas vuelven a funcionar, la comunicación no termina. La fase posterior al ataque es igual de relevante para restaurar la reputación. Publicar un informe con las lecciones aprendidas, rendir cuentas de manera honesta, revisar el plan de comunicación a partir de la experiencia, e incluso emprender acciones que refuercen la confianza, como auditorías externas o nuevas certificaciones, son gestos que hablan de madurez y compromiso. El informe Ransomware Reoriented de Accenture subraya que muchas compañías siguen viendo el ransomware como un asunto técnico, cuando en realidad es un desafío de negocio y reputacional que exige un cambio de mentalidad.
En definitiva, la comunicación tras un ataque de ransomware no debe dejarse para el último momento. Es más, hay que considerarla el eje central de la estrategia de gestión de crisis. Integrar al responsable de comunicación, preparar un plan con antelación, hablar con rapidez y transparencia y aprender de cada incidente son los pasos que marcan la diferencia entre una organización que sobrevive a la crisis con credibilidad y otra que pierde la confianza de su entorno.
