Un lunes a primera hora, el equipo intenta abrir el ERP y aparece una nota: “Tus archivos han sido cifrados. Paga en 72 horas”. En una PYME, ese mensaje no solo asusta: detiene ventas, facturación, logística y, a veces, hasta la nómina. Lo más difícil es que las decisiones que tomes en los primeros 30 a 60 minutos suelen definir si el incidente se queda en “un susto caro” o se convierte en una crisis prolongada.
Este texto está pensado para responsables de negocio y decisión tecnológica en PYMEs. No es teoría. Es un plan de actuación realista: qué hacer ante un ransomware cuando ya está ocurriendo, cómo recuperar operación con criterio y qué cambiar después para no repetir la historia.
Qué hacer ante un ransomware: las primeras decisiones (0-60 min)
La prioridad no es “quitar el mensaje” ni reiniciar equipos. La prioridad es cortar la propagación y preservar evidencia. Un ransomware puede estar cifrando en ese momento, pero también puede haber entrado días antes, robado información y estar esperando. Actuar con prisa sin método puede empeorar el alcance.
Lo primero es aislar. Si detectas un equipo cifrando o con nota de rescate, desconéctalo de la red de inmediato: quita el cable de red o desactiva Wi‑Fi. Si hay indicios de que el problema es general (varios equipos, servidores, carpetas compartidas), valora desconectar segmentos completos o incluso bajar la conexión a internet de la oficina de forma temporal. Duele, pero suele doler menos que cifrar un servidor de archivos entero.
En paralelo, establece un “mando único” del incidente. En PYMEs, la confusión mata: alguien reinicia un servidor, otro restaura un backup sin comprobar, otro llama a “un amigo de TI”. Define una persona responsable (internamente o con tu proveedor) y un canal de comunicación fuera de la red corporativa si sospechas compromiso del correo.
Contención sin perder control: qué tocar y qué no
Un error frecuente es borrar todo o “formatear para empezar de cero” sin entender qué pasó. Eso puede eliminar pistas críticas: la cuenta comprometida, el punto de entrada, el malware residente o la herramienta de movimiento lateral. Si restauras sin cerrar esa puerta, el atacante puede volver a cifrar.
Evita, salvo indicación técnica clara, acciones impulsivas como ejecutar “limpiadores”, instalar antivirus a ciegas o restaurar máquinas de manera masiva. En su lugar, toma nota de señales concretas: hora aproximada de inicio, equipos afectados, extensiones de archivos, nombres de notas de rescate, usuarios que reportaron correos raros o ventanas de autenticación. Esa información ayuda a identificar la familia de ransomware y el vector de entrada.
Si tienes equipo de TI o soporte, pide una fotografía del estado: inventario rápido de activos críticos (servidor de archivos, AD, ERP, correo), qué está afectado y qué sigue funcionando. La contención se hace por capas: aislar endpoints infectados, restringir accesos a carpetas compartidas, deshabilitar cuentas sospechosas y bloquear comunicaciones salientes que puedan estar exfiltrando.
Evaluación del impacto: operación, datos y cumplimiento
Una vez frenada la expansión, toca responder a tres preguntas incómodas.
La primera: ¿qué procesos están parados y cuáles pueden operar en modo manual? No se trata de “volver a la normalidad” en una hora, sino de sostener el negocio. Si facturación se detiene, quizá puedas emitir comprobantes de forma contingente; si el almacén no puede consultar existencias, quizá operes con listas de picking temporales.
La segunda: ¿se ha robado información? Hoy muchos grupos hacen “doble extorsión”: cifran y además amenazan con publicar datos. Para estimarlo, se revisan logs, patrones de tráfico y señales de herramientas de exfiltración. No siempre es concluyente al inicio, pero conviene asumir que es posible hasta demostrar lo contrario.
La tercera: ¿tienes obligaciones legales o contractuales? Dependiendo del tipo de datos (personales, financieros, expedientes de clientes) y de tu sector, puede haber requisitos de notificación. No es un tema para improvisar, pero sí para activar a tiempo con asesoría.
¿Pagar o no pagar? La decisión que nadie quiere tomar
El pago del rescate es una decisión de riesgo, no una solución técnica. Incluso pagando, no hay garantía de recuperación completa ni de que no vuelvan. Además, pagar puede incentivar nuevos ataques y en algunos casos puede exponerte a riesgos adicionales.
En la práctica, la decisión depende de variables como: disponibilidad y calidad de respaldos, tiempo máximo tolerable de inactividad, criticidad de los sistemas afectados y evidencia de exfiltración. Si tienes respaldos verificables y un plan de restauración, normalmente la mejor ruta es recuperar sin negociar. Si no los tienes, el escenario se complica y conviene evaluar con especialistas, considerando también el costo real del downtime.
Lo que sí conviene evitar es negociar mientras el ransomware sigue activo en tu entorno. Primero se contiene, luego se analiza y después se decide.
Recuperación: volver a operar sin reabrir la puerta
Recuperar no es “restaurar y listo”. La recuperación segura suele seguir un orden.
Empieza por la identidad y el control de acceso. Si tu directorio activo o cuentas administrativas están comprometidas, restaurar servidores sin resetear credenciales es como reconstruir la casa dejando la llave puesta. Se suelen forzar cambios de contraseñas, revisar cuentas privilegiadas, aplicar MFA donde sea posible y auditar accesos recientes.
Luego, prioriza servicios esenciales. Muchas PYMEs intentan restaurar todo a la vez y se quedan a medias. Es mejor levantar primero lo que desbloquea operación: ERP, archivos compartidos críticos, correo o telefonía, y después sistemas secundarios. Aquí ayuda tener un mapa de dependencias: qué servidor depende de qué base de datos, qué usuarios requieren qué permisos.
Después, restaura desde respaldos limpios. “Limpio” no significa solo que el backup exista, sino que sea anterior al compromiso. Si el atacante estuvo dentro una semana, restaurar el backup de anoche puede reintroducir puertas traseras. Por eso son valiosos los respaldos inmutables o desconectados y las retenciones de varias semanas.
Finalmente, valida. Antes de reconectar todo a la red, se revisa que no haya tareas programadas extrañas, servicios nuevos, cuentas creadas, reglas de firewall modificadas o herramientas remotas no autorizadas. Un retorno apresurado puede terminar en un segundo cifrado.
Investigación breve pero útil: cómo aprender sin paralizarse
No todas las PYMEs necesitan una investigación forense de meses, pero sí necesitan respuestas suficientes para cerrar el ciclo. Identificar el vector de entrada suele ser la diferencia entre “recuperé” y “me vuelve a pasar”.
Los caminos más comunes son phishing con credenciales, acceso RDP expuesto, explotación de una vulnerabilidad sin parchear o compromiso de un proveedor con acceso. Cuando se confirma el punto de entrada, el plan de remediación es más preciso: endurecer accesos remotos, segmentar red, ajustar privilegios, acelerar gestión de parches y mejorar monitoreo.
En este punto, contar con un socio operativo marca la diferencia. Empresas como LaNet suelen ayudar a PYMEs a coordinar contención, restauración y endurecimiento posterior, manteniendo el foco en continuidad del negocio y reducción de riesgo, no solo en “que vuelva a encender”.
Prevención después del golpe: cambios que sí reducen el riesgo
Cuando el incendio se apaga, es tentador “seguir como antes”. Sin embargo, el ransomware es una señal de que hay una ruta de ataque rentable. La prevención efectiva no se basa en una sola herramienta, sino en capas que reducen probabilidad y, sobre todo, impacto.
Un primer cambio con retorno inmediato es profesionalizar respaldos. No basta con tener un disco externo o un NAS siempre conectado. Lo que mejor funciona es combinar copias locales para restauración rápida con copias inmutables o desconectadas, y probar restauraciones de forma periódica. La prueba es clave: el día del incidente no quieres descubrir que el backup estaba corrupto.
Otro cambio crucial es la identidad. MFA para correo y accesos remotos reduce muchos ataques de credenciales. Igual de importante es limitar cuentas administrativas: menos cuentas con privilegios, uso de cuentas separadas para administración, y registros de auditoría que permitan ver quién hizo qué.
La tercera capa es visibilidad y respuesta. Un antivirus tradicional ayuda, pero no siempre detecta herramientas de movimiento lateral o scripts. Donde encaja un enfoque tipo EDR o monitoreo centralizado es en detectar comportamiento anómalo: creación masiva de archivos, borrado de copias sombra, conexiones raras entre servidores. No todas las PYMEs necesitan el mismo nivel de sofisticación, pero sí un mínimo de alertas accionables.
También vale la pena revisar segmentación. Muchas redes de PYME son “planas”: si un equipo cae, ve todo. Separar servidores críticos, limitar SMB entre segmentos y aplicar el principio de mínimo privilegio a carpetas compartidas baja el radio de explosión.
Por último, está el factor humano. La formación no elimina el phishing, pero reduce clics y acelera reportes. Lo que funciona es entrenamiento breve y repetido, con ejemplos reales de la empresa, y una cultura donde reportar un error no se castiga. El ransomware se aprovecha del silencio.
Cuándo pedir ayuda externa y qué exigir
Hay un punto en el que seguir “con lo que sabemos” sale caro. Si no puedes determinar alcance, si hay servidores críticos cifrados, si sospechas robo de datos o si los respaldos no están claros, conviene sumar especialistas.
Cuando pidas apoyo, exige claridad operativa: tiempos estimados de contención, criterios para restaurar, plan de comunicación y un listado de decisiones que requieren aprobación de dirección. También pide que el aprendizaje quede documentado: vector probable, controles fallidos y acciones concretas con responsable y fecha.
El ransomware no se mide por lo sofisticado del malware, sino por lo rápido que tu organización puede contener, recuperar y mejorar. Si algo merece inversión después de un incidente, es esa capacidad.
Cierra esta semana con una acción sencilla y valiosa: elige un sistema crítico, toma un respaldo y comprueba que puedes restaurarlo en un entorno de prueba. No es glamuroso, pero es el tipo de hábito que, cuando llega el próximo mensaje de rescate, te permite seguir trabajando mientras otros apenas empiezan a entrar en pánico.
