Un lunes por la mañana, alguien intenta abrir el ERP y aparece una nota: archivos cifrados, un contador regresivo y una “oferta” para recuperar la información. En ese instante se mezclan dos urgencias: volver a operar y no empeorar el daño. La diferencia entre un incidente controlado y una crisis prolongada suele estar en lo que se hace durante la primera hora.
Qué hacer ante un ransomware: los primeros 60 minutos
Lo primero es asumir que no se trata solo de “archivos bloqueados”. Un ransomware moderno suele venir acompañado de movimiento lateral, robo de credenciales y, con frecuencia, exfiltración de datos para extorsión doble. Por eso, la prioridad no es reiniciar equipos ni “probar suerte”, sino contener.
Empieza por aislar los sistemas afectados. Si un equipo muestra la nota o un comportamiento claro de cifrado (archivos con extensiones raras, lentitud extrema, procesos desconocidos), desconéctalo de la red: desactiva Wi-Fi, quita el cable y, si hay servidores involucrados, corta su conectividad de forma controlada. El objetivo es frenar la propagación hacia otros equipos, recursos compartidos, NAS y servidores.
A la vez, evita apagar indiscriminadamente. Apagar puede destruir evidencia útil para entender el vector de entrada y el alcance. En algunos casos, mantener el equipo encendido pero aislado permite capturar información de memoria o de procesos. Si tu equipo de TI no tiene claro qué preservar, lo más prudente es aislar y no manipular más.
Después, activa un canal interno de coordinación. Define una persona que tome decisiones (dirección o responsable de TI), otra que documente y otra que ejecute acciones. La improvisación suele generar cambios contradictorios: alguien restaura un backup mientras otro formatea un servidor, y cuando llega el análisis forense ya no hay trazabilidad.
Por último, corta accesos que puedan estar comprometidos. Cambiar contraseñas “a ciegas” desde un equipo posiblemente infectado es mala idea, pero sí conviene revocar sesiones y deshabilitar temporalmente accesos de alto riesgo si se puede hacer desde un panel seguro: cuentas de administrador, VPN, accesos RDP publicados, y cuentas de correo con privilegios.
Contención sin perder la cabeza (ni la evidencia)
Una contención eficaz es quirúrgica. Si desconectas toda la infraestructura, quizá frenas el ataque, pero también puedes dejar a la empresa sin capacidad de investigar o de comunicar. Aquí es donde “depende” del tamaño de tu red y de si cuentas con segmentación.
Si tienes segmentación por VLAN o firewalls internos, puedes aislar solo el segmento afectado. Si no la tienes, el aislamiento tiende a ser más agresivo: desconectar servidores de archivos y respaldos en red es una medida frecuente, porque los atacantes buscan cifrar copias de seguridad accesibles.
En paralelo, conserva lo que ayude a reconstruir lo ocurrido: registros del firewall, del antivirus/EDR, del servidor de correo, del directorio activo, y cualquier alerta previa. Incluso una captura de pantalla de la nota de rescate puede aportar datos (familia de ransomware, ID de víctima, canal de contacto). Documenta hora a hora qué se hizo, por quién y en qué equipo.
¿Se paga el rescate?
La pregunta llega rápido, y conviene tratarla con realismo. Pagar no garantiza recuperación, puede incentivar nuevos ataques y, además, puede tener implicaciones legales o regulatorias según el origen del grupo. Aun cuando entreguen una llave de descifrado, el proceso puede ser lento, fallar o dejar sistemas inestables.
La decisión, si se plantea, debería tomarse con asesoría legal, considerando continuidad operativa, exposición de datos, capacidad real de restauración y riesgo reputacional. En PYMEs, el mejor escenario es poder decir “no” porque existe un plan de respaldo y recuperación probado.
Diagnóstico: qué se ha afectado y por dónde entraron
Contener no es el final. Hay que responder tres preguntas: qué se cifró, si hubo robo de datos y cómo entraron.
El alcance suele incluir endpoints, recursos compartidos y, si hubo credenciales de dominio comprometidas, controladores de dominio y servidores críticos. Un error común es restaurar “lo urgente” sin confirmar que el atacante ya no está dentro. Si el vector fue una cuenta de VPN expuesta o un RDP abierto, volverás a caer.
Las vías de entrada más habituales en empresas medianas y pequeñas son el phishing con robo de credenciales, servicios remotos mal asegurados, vulnerabilidades sin parchear y proveedores con acceso remoto sin controles. También se ve el uso de herramientas legítimas (PowerShell, PsExec) para moverse sin levantar sospechas.
Si no cuentas con un equipo especializado, este punto marca un antes y un después. La investigación técnica no es un lujo: es la forma de evitar reinfecciones, cuantificar daño y sostener una comunicación veraz con clientes, empleados y autoridades si aplica.
Recuperación: volver a operar sin reabrir la puerta
La recuperación empieza por lo básico: no restaures sobre sistemas que no has validado como limpios. Lo recomendable es reconstruir desde imágenes base confiables o reinstalar, aplicar parches, endurecer configuraciones y solo entonces restaurar datos.
Los respaldos son el corazón de esta fase, pero no cualquier backup sirve. Si tus copias estaban conectadas permanentemente a la red, pueden haberse cifrado. Si no hay versionado, quizá el backup ya contiene archivos corruptos. Por eso se insiste tanto en copias inmutables o desconectadas, y en pruebas periódicas de restauración.
Una estrategia sensata es priorizar por procesos, no por equipos. Primero lo que permite facturar o prestar servicio, luego lo operativo, y al final lo accesorio. Alinea esta prioridad con dirección: TI no debería adivinar qué es “crítico” cuando cada hora de parada tiene un coste.
Mientras se recupera, aplica controles para evitar el regreso del atacante: restablecimiento de credenciales con MFA, revisión de privilegios, eliminación de cuentas no usadas, cierre de accesos remotos innecesarios y monitoreo reforzado. Si el incidente involucró correo, revisa reglas de reenvío, buzones delegados y aplicaciones con permisos.
Comunicación y obligaciones: clientes, empleados y terceros
La comunicación no es solo un comunicado. Es coordinación interna para que nadie “arregle” el problema por su cuenta, y gestión externa para mantener confianza.
Con empleados, conviene un mensaje claro: qué sistemas no usar, a quién reportar comportamientos extraños y cómo se manejarán contraseñas o accesos temporales. Con clientes o proveedores, dependerá de si hay afectación a datos o servicios. Si hay indicios de exfiltración, la asesoría legal y de privacidad se vuelve crítica para cumplir obligaciones y evitar mensajes contradictorios.
Lo que cambia el resultado: preparación antes del ataque
Casi todas las PYMEs se preparan para “fallas”, no para “adversarios”. Un ransomware no es un incidente casual: es un ataque con intención. La preparación que marca diferencia suele ser poco glamorosa, pero extremadamente efectiva.
Primero, una política de backups con reglas claras: al menos una copia desconectada o inmutable, versionado, y pruebas de restauración. Segundo, MFA en correo, VPN y accesos administrativos, sin excepciones “por comodidad”. Tercero, visibilidad: un EDR bien gestionado y logs centralizados permiten detectar actividad anómala antes de que el cifrado sea masivo.
También importa el diseño de la red. La segmentación reduce el radio de explosión. El principio de mínimo privilegio evita que una cuenta estándar se convierta en llave maestra. Y la gestión de parches deja de ser “cuando haya tiempo” para convertirse en una práctica con calendario y responsables.
Por último, formación realista. No basta con un curso anual. Funciona mejor un enfoque continuo: simulaciones de phishing, recordatorios cortos, y un proceso sencillo para reportar correos sospechosos sin miedo a “molestar”.
Un ejemplo típico en una PYME (y cómo se resuelve mejor)
Un caso frecuente: un usuario recibe un correo de “paquetería”, introduce credenciales en una página falsa y el atacante entra al correo. Desde ahí, solicita a TI “un acceso remoto urgente” fingiendo ser dirección, o usa la cuenta para atacar a otros usuarios. Días después, accede a la VPN y despliega el ransomware en la red.
Cuando la empresa tiene MFA, alertas de inicio de sesión anómalas y segmentación, el ataque se queda en un buzón comprometido y no escala. Cuando no lo tiene, el cifrado alcanza archivos compartidos y servidores. La diferencia no es suerte, es control.
Si tu organización no cuenta con un equipo interno especializado, un partner puede acelerar contención, análisis y recuperación con un enfoque repetible. En LaNet trabajamos precisamente con PYMEs en CDMX y Naucalpan para preparar, responder y reducir el impacto de incidentes de este tipo, combinando soporte y ciberseguridad con criterios de continuidad de negocio: https://lanet.mx.
Cerrar el incidente también es aprender
Cuando vuelva la operación, el impulso natural es “pasar página”. Resiste esa tentación. El mejor momento para corregir es cuando el incidente aún está fresco: qué control falló, qué decisión fue lenta, qué dependencia no estaba documentada, qué backup no era restaurable. Ajustar eso no solo reduce el riesgo de repetir el ataque, también devuelve a la empresa una sensación de control que vale tanto como los propios sistemas.