Ransomware: qué hacer en las primeras 24 horas
Un ataque de ransomware es una de las peores llamadas que puede recibir un responsable de TI. Las decisiones que tome en el primer día determinan si su empresa se recupera en una semana o en meses — si es que se recupera.
Si está leyendo esto durante un ataque activo
No apague equipos aún. No pague el rescate. No borre nada. Llame a su equipo de respuesta a incidentes ahora mismo. Si no tiene uno, contacte a Aegisciber: +52 [número].
Hora 0 a 2: contener sin destruir evidencia
El instinto dice apagar todo. Es un error. Apagar máquinas destruye evidencia volátil — conexiones activas, procesos en memoria, archivos temporales que el ransomware usó. Sin esa evidencia, no sabrá cómo entraron ni qué se llevaron.
Lo que sí debe hacer inmediatamente:
- Aislar de la red los equipos comprometidos — desconecte el cable de red o desactive el switch del segmento afectado. No apague, solo aísle.
- Cortar accesos remotos — deshabilite VPN, RDP, TeamViewer y cualquier acceso externo. Cambie contraseñas de firewalls y controladoras de dominio.
- Preservar logs — copie los registros del firewall, servidor AD, EDR y SIEM si los tiene. Mínimo 30 días hacia atrás.
- Activar el plan de respuesta a incidentes. Si no tiene uno, improvise con esta guía. Si tiene uno, ejecútelo.
Hora 2 a 6: evaluar el daño real
Responda tres preguntas. Sin respuestas claras, todo lo demás es adivinar:
- ¿Qué cifraron? — servidores de archivos, bases de datos, backups, estaciones de trabajo. Identifique el alcance exacto.
- ¿Cómo entraron? — el vector inicial más común sigue siendo RDP expuesto (47% de los casos según unidades de IR), seguido de phishing con credenciales robadas y vulnerabilidades sin parchear en VPNs.
- ¿Siguen adentro? — revise conexiones salientes sospechosas, nuevas cuentas de usuario, tareas programadas y persistencia en el AD.
Hora 6 a 12: la decisión del rescate
No hay una respuesta universal. Evalúe estos factores:
- ¿Tiene backups offline comprobados? Si la respuesta es sí y están limpios, no pague. Restaure.
- ¿Los backups también están cifrados? Eso cambia el cálculo. Pero sepa esto: pagar financia más ataques y no garantiza que le devuelvan los datos. El 38% de las empresas que pagan no recupera todos sus archivos (Sophos State of Ransomware 2025).
- ¿Hay obligación legal de notificar? Dependiendo de su jurisdicción y de si hubo fuga de datos personales, puede estar obligado a reportar a la autoridad de protección de datos en menos de 72 horas.
Hora 12 a 24: iniciar la recuperación
- Reconstruir desde cero, no restaurar encima del sistema comprometido. El atacante puede haber dejado puertas traseras que sobreviven a una restauración de archivos.
- Reforzar antes de reconectar — parches pendientes, MFA obligatorio, segmentación de red, bloqueo de puertos innecesarios. Si reconecta sin corregir la causa raíz, el atacante vuelve a entrar en horas.
- Comunicar internamente — defina quién habla con empleados, clientes y prensa. Un solo vocero. Sin filtraciones. La comunicación descoordinada causa más daño reputacional que el ataque mismo.
Checklist de recuperación post-ransomware
- Vector de entrada identificado y cerrado
- Backups offline verificados (prueba de restauración real, no el hash)
- Credenciales rotadas — todas: usuarios, servicio, API keys, VPN
- Segmentación de red implementada
- MFA activado en todos los accesos externos
- EDR/SIEM operando con reglas actualizadas
- Logs retenidos y protegidos (mínimo 90 días)
- Lección aprendida documentada y simulacro agendado
Lo que nunca debe hacer
- Negociar directamente con el atacante sin asesoría especializada
- Mentir a clientes o reguladores sobre el alcance del incidente
- Reutilizar el mismo hardware sin reimagen completo
- Asumir que "ya pasó" y volver a operar sin revisar la causa raíz
Prevenga el próximo antes de que termine este
Un incidente de ransomware cuesta en promedio 15 días de inactividad operativa más el costo reputacional. La prevención — monitoreo 24/7, hardening, backups offline, simulacros trimestrales — cuesta una fracción de eso.
Si quiere saber qué tan expuesto está su negocio hoy, solicite un diagnóstico gratuito de superficie de ataque. Sin compromiso. Sin vendor-speak.
← Volver al blog