Comunicación de crisis después de una brecha: qué decir, a quién y cuándo
»Inicio»Articulos

Comunicación de crisis después de una brecha: qué decir, a quién y cuándo


Mayo 2026 - Respuesta a incidentes y resiliencia operativa

Cuando ocurre una brecha, las primeras horas definen cómo será recordado el incidente. No por la magnitud técnica del ataque, sino por cómo respondió la organización. Comunicar bien bajo presión requiere preparación previa, no improvisación.

Una empresa confirma una brecha a las 11 de la noche. A las 7 de la mañana siguiente, un periodista de tecnología ya tiene la historia porque un empleado la filtró en redes sociales. A las 9, los clientes están llamando al área comercial preguntando si sus datos están comprometidos. A las 10, el equipo jurídico recibe la primera notificación de un regulador.

El equipo técnico estaba conteniendo el incidente correctamente. Nadie había pensado en qué decir.

El silencio también es un mensaje

El error más común en la comunicación de crisis no es decir demasiado. Es no decir nada mientras el vacío se llena solo. Cuando una organización no comunica, los afectados —clientes, empleados, medios, reguladores— llenan ese silencio con la información que encuentran disponible: filtraciones internas, especulaciones en redes sociales, comunicados de terceros. La narrativa se construye sin la organización adentro.

Recuperar el control de esa narrativa después es mucho más costoso que haberla liderado desde el principio. Y en algunos marcos regulatorios, el silencio prolongado no solo es un error estratégico: es un incumplimiento.

Las cuatro audiencias que no pueden esperar

La primera es la dirección general y el consejo. Necesitan saber antes que cualquier otro grupo externo, con información clara sobre el alcance conocido, las acciones en curso y lo que aún no se sabe. No un informe técnico: un resumen ejecutivo honesto que les permita tomar decisiones y responder preguntas si alguien los contacta directamente.

La segunda son los reguladores. Bajo la LFPDPPP y otros marcos aplicables, la notificación a autoridades tiene plazos específicos que no dependen de que la investigación forense esté completa. Notificar tarde —o no notificar— multiplica la exposición regulatoria de forma significativa. El área jurídica debe estar involucrada desde la primera hora, no cuando ya se tomaron decisiones de comunicación.

La tercera son los clientes o usuarios afectados. Esta es la audiencia más sensible y la que más impacta la confianza a largo plazo. El mensaje no tiene que ser perfecto ni completo desde el primer momento, pero sí tiene que llegar de la organización antes que de cualquier otra fuente, reconocer lo ocurrido con honestidad y decir con claridad qué se está haciendo al respecto.

La cuarta son los empleados. Se suelen ignorar en los planes de comunicación de crisis. Error. Un empleado desinformado que recibe preguntas de clientes, familiares o medios sin tener una respuesta oficial es un vector de daño reputacional involuntario. Darle contexto básico y un mensaje autorizado protege a la organización tanto como protege al empleado.

0 – 2 h Dirección Resumen ejecutivo Alcance y acciones en curso 2 – 6 h Reguladores Notificación inicial según marco legal aplicable 6 – 12 h Empleados Contexto básico y mensaje autorizado 12 – 24 h Clientes Comunicado oficial honesto y con acciones concretas Principio rector Comunicar lo que se sabe, reconocer lo que no se sabe, decir cuándo se sabrá más
Secuencia de comunicación por audiencia en las primeras 24 horas después de confirmar una brecha

¿Qué decir cuando no se sabe todo?

La presión de esperar a tener certeza completa antes de comunicar es comprensible. Y casi siempre es un error. En un incidente de seguridad activo, la certeza completa puede tardar días o semanas. Las audiencias afectadas no pueden esperar tanto.

El principio que funciona es simple: comunicar lo que se sabe, reconocer lo que aún no se sabe y comprometerse a un plazo en que se sabrá más. Eso no es debilidad. Es lo que distingue a una organización que maneja una crisis con madurez de una que la sufre.

Lo que destruye la confianza no es la brecha en sí. Es descubrir que la organización lo sabía antes, que minimizó el impacto o que comunicó lo que convenía en lugar de lo que era verdad. Esos son los casos que se convierten en estudio de caso negativo, no los que notificaron rápido y con honestidad.

¿Tu plan de respuesta a incidentes tiene una sección de comunicación tan desarrollada como la sección técnica?

Acciones inmediatas

  • Verifica si tu plan de respuesta a incidentes incluye plantillas de comunicación listas para usar. Deben existir borradores preaprobados para cada audiencia —dirección, reguladores, clientes, empleados— que solo requieran completar los datos del incidente específico. Redactar desde cero bajo presión en las primeras horas produce mensajes que el equipo jurídico después lamenta.
  • Identifica quién tiene autoridad para aprobar comunicaciones externas durante un incidente fuera de horario laboral. Si esa decisión requiere tres aprobaciones y dos de las personas están en zonas horarias distintas, la organización perderá horas críticas. El proceso de aprobación debe estar acordado antes, no negociado durante la crisis.
  • Revisa los plazos de notificación obligatoria a reguladores según la LFPDPPP y los marcos sectoriales que apliquen a tu industria. Anótalos en el plan de respuesta. Cuando ocurre un incidente, ese plazo ya empezó a correr y no hay tiempo para investigarlo.
  • Define el mensaje de mantenimiento de posición para empleados de primera línea. Las personas de atención a clientes, ventas y recepción recibirán preguntas antes de que llegue el comunicado oficial. Deben tener una respuesta autorizada breve: "Estamos investigando el incidente y comunicaremos detalles formales en las próximas horas." Sin esa respuesta, cada empleado improvisa diferente.
  • Incluye un ejercicio de comunicación de crisis en tu próximo tabletop de respuesta a incidentes. Simula el momento en que el CEO pregunta qué se le va a decir a los clientes en la próxima hora. Observa cuánto tiempo tarda el equipo en llegar a un mensaje acordado. Ese tiempo, en un incidente real, es daño reputacional acumulándose.

Si tu organización quiere desarrollar o revisar su plan de comunicación de crisis para incidentes de ciberseguridad, contáctanos en https://tbsek.mx/contacto/.

También te puede interesar

Descubre más contenido de ciberseguridad que puede ser útil para tu organización

Categorías:
Amenazas y tendenciasCiberseguridad
Amenazas y tendencias
Cómo retener talento en ciberseguridad en un mercado tan competitivo

Cómo retener talento en ciberseguridad en un mercado tan competitivo
Ciberseguridad
Lo que todo CISO debe hacer para preparar a su equipo para una respuesta inmediata

Lo que todo CISO debe hacer para preparar a su equipo para una respuesta inmediata
Amenazas y tendencias
Por qué el conocimiento de negocio es clave para crecer en ciberseguridad

Por qué el conocimiento de negocio es clave para crecer en ciberseguridad
Amenazas y tendencias
Fraude por ingeniería social: casos recientes y cómo prevenirlos

Fraude por ingeniería social: casos recientes y cómo prevenirlos

¿Buscas más contenido especializado en ciberseguridad?

Ver todos los artículos

Transforma tu seguridad digital hoy

No esperes a ser víctima de un ciberataque. Nuestro equipo de expertos está listo para implementar la estrategia de ciberseguridad que tu empresa necesita para operar con confianza.

Inteligencia de amenazas real
Implementación ágil
Soporte especializado
Comenzar ahora
Endpoint
Cloud
Network
Email