WannaCry cumple casi una década. En mayo de 2017 paralizó hospitales, operadoras de telecomunicaciones, empresas de logística y cientos de organizaciones en todo el mundo en cuestión de horas. Fue un punto de inflexión: el momento en que el ransomware dejó de ser un problema de grandes corporaciones y se convirtió en una amenaza real para cualquier empresa con un ordenador conectado a internet.
Solicita una propuesta de ciberseguridad a medida
Desde entonces el ransomware ha evolucionado mucho. Los grupos que lo desarrollan operan como empresas organizadas con soporte técnico, programas de afiliados y modelos de doble extorsión; primero roban los datos, luego los cifran, y amenazan con publicarlos si no pagas. Pero algo no ha cambiado: muchos de los ataques más devastadores siguen aprovechando las mismas carencias básicas que permitieron que WannaCry hiciera tanto daño.
Por eso vamos a analizar que puedes hacer a partir de ahora para protegerte de un posible ataque de ransomware:
1.- Copias de seguridad inmutables: no basta con tener backup, hay que tener el backup funcional
En 2017 la recomendación era «haz copias de seguridad». Hoy esa recomendación necesita un matiz importante: las copias de seguridad convencionales, accesibles desde la red, también pueden ser cifradas por el ransomware. De hecho, los grupos más sofisticados dedican parte del ataque específicamente a localizar y destruir los backups antes de lanzar el cifrado masivo.
La respuesta es la copia de seguridad inmutable: almacenada de forma que no puede modificarse ni eliminarse durante un período definido, aislada de la red de producción, y verificada periódicamente para confirmar que la restauración funciona de verdad. Una copia que no se puede restaurar no es una copia: es una ilusión de seguridad.
La regla 3-2-1-1 es un buen punto de partida: tres copias de los datos, en dos tipos de medios diferentes, una fuera de las instalaciones, y una inmutable u offline. Y lo más importante: prueba la restauración de forma regular. Descubrir que el backup está corrupto en el momento de necesitarlo es uno de los peores escenarios posibles.
2.- Parches y gestión continua de vulnerabilidades: la velocidad importa
WannaCry aprovechó una vulnerabilidad de Windows para la que Microsoft ya había publicado un parche un mes antes del ataque. Muchas organizaciones no lo habían instalado, y pagaron las consecuencias.
Esa lección sigue siendo válida en 2026. La diferencia es que ahora la superficie de exposición es mucho mayor: sistemas operativos, aplicaciones de terceros, firmware de dispositivos de red, software de proveedores con acceso a tus sistemas, librerías de código abierto integradas en tus aplicaciones… Todo eso tiene vulnerabilidades que se descubren constantemente.
La gestión de parches tiene que ser un proceso activo y continuo, con priorización basada en criticidad real —no todas las vulnerabilidades tienen el mismo riesgo— y seguimiento hasta que cada una está efectivamente cerrada. Para entornos donde parchear rápido no es siempre posible: sistemas legacy, entornos industriales, software de terceros… necesitas capas de compensación adicionales que reduzcan el riesgo mientras el parche no está disponible.
3.- EDR/XDR: porque el antivirus no ve lo que no conoce
WannaCry usaba técnicas conocidas que los antivirus podían detectar… cuando tenían la firma actualizada. El ransomware moderno es diferente: usa técnicas de evasión avanzadas, vive dentro de herramientas legítimas del sistema operativo (lo que se denomina living off the land)y puede pasar semanas moviéndose por la red antes de lanzar el cifrado masivo.
Un antivirus tradicional no detecta eso. EDR (Endpoint Detection and Response) sí: monitoriza el comportamiento de cada equipo en tiempo real, detecta anomalías aunque no coincidan con ninguna firma conocida, y puede responder de forma automática, aislar un equipo comprometido, matar un proceso sospechoso, bloquear una comunicación anómala… antes de que el daño se propague.
XDR amplía esa visibilidad a todas las capas del entorno: endpoints, red, correo, identidades y cloud correlacionados en una única plataforma. Lo que visto por separado serían señales débiles que no llamarían la atención, visto en conjunto revela un ataque en progreso.
Dale forma a tu plan de ciberseguridad
4.- MFA en todos los accesos críticos: sin excepciones
Una de las vías de entrada más comunes del ransomware es un acceso remoto legítimo con credenciales robadas. RDP expuesto a internet con usuario y contraseña, VPN sin segundo factor, panel de administración accesible desde cualquier IP… son puertas de entrada que los atacantes buscan activamente.
Implantar MFA (autenticación multifactor) cierra esa puerta. Con MFA activo, las credenciales robadas no sirven de nada sin el segundo factor. Es la medida individual con mejor relación coste-impacto en toda la ciberseguridad, y tiene que ser obligatoria para correo corporativo, accesos remotos, VPN, paneles de administración y cualquier aplicación con acceso a datos sensibles.
Sin excepciones. Ni para el directivo al que le parece incómodo, ni para el proveedor que solo «entra una vez al mes». Esas son precisamente las cuentas que los atacantes buscan explotar.
5.- Segmentación de red: que el fuego no se extienda
Esto ya estaba en la lista de 2017, y sigue siendo igual de válido. La diferencia es que hoy la segmentación tiene que ser más granular y más sistemática.
WannaCry se propagó tan rápido porque muchas redes corporativas eran completamente planas: una vez dentro, el gusano podía llegar a todos los equipos sin ningún obstáculo. La segmentación divide la red en zonas con accesos controlados entre ellas. Si el ransomware entra por un equipo, la segmentación limita hasta dónde puede llegar antes de ser detectado.
6.- Zero Trust: no confíes en nada por defecto
Zero Trust va más allá de la segmentación de red. Es una arquitectura completa que parte de la premisa de que ningún usuario, dispositivo ni sistema es de confianza por defecto, ni siquiera si está dentro de la red corporativa.
En la práctica, esto significa que cada acceso se verifica en función de identidad, dispositivo, ubicación y contexto. Un equipo comprometido que intenta acceder al servidor de backups, al ERP o a los datos de RRHH no lo consigue aunque esté «dentro» de la red, porque Zero Trust requiere verificación explícita para cada acceso. El radio de daño de un ransomware que entra por un equipo de teletrabajador queda drásticamente reducido.
Implementar Zero Trust no es un proyecto de una semana, pero tampoco requiere tirar todo lo que tienes y empezar desde cero. Se construye por capas, con mejoras incrementales, y cada capa que se añade reduce el riesgo de forma tangible.
Configura tu solución de ciberseguridad
7.- Controla los equipos remotos y el acceso desde fuera de la oficina
En 2017 el consejo era «asegúrate de que los portátiles pasan por el firewall corporativo». En 2026, con el trabajo híbrido como norma en muchas organizaciones, este punto es mucho más crítico y complejo.
Los equipos que trabajan desde casa o en movilidad no están protegidos por el perímetro de la oficina. Si no tienen EDR, si no tienen las actualizaciones al día, si se conectan a redes WiFi públicas sin protección… son vectores de entrada potenciales que luego traen el problema de vuelta a la red corporativa cuando se conectan.
SASE (Secure Access Service Edge) es la solución moderna a este problema: integra las funciones de seguridad (inspección de tráfico, control de acceso, prevención de amenazas) directamente sobre la conectividad del usuario remoto, sin necesidad de que todo el tráfico pase por el CPD central. El teletrabajador tiene el mismo nivel de protección desde su casa que en la oficina.
8.- Política de mínimo privilegio: que cada usuario acceda solo a lo que necesita
El principio de mínimo privilegio significa que cada usuario, cada sistema y cada proceso tiene acceso únicamente a lo que necesita para hacer su trabajo, y nada más. Un administrativo no necesita acceso a los servidores de producción, o un proveedor de mantenimiento no necesita ver los datos de clientes, por ejemplo.
Revisar y limpiar los privilegios acumulados —usuarios con acceso a destinos que ya no necesitan, cuentas de servicio con permisos excesivos, grupos de seguridad que nunca se revisaron, es una de las tareas más impactantes que puede hacer un equipo TI, y una de las que más se pospone. En el contexto del ransomware, cada privilegio innecesario es una potencial vía de propagación.
Plan de respuesta a incidentes: saber qué hacer antes de que pase
Cuando el ransomware golpea, el tiempo lo es todo. Los primeros minutos y horas determinan si el incidente queda contenido o se convierte en una crisis total. Y ese no es el momento de improvisar.
Un plan de respuesta a incidentes documentado y probado define exactamente qué hacer cuando algo sale mal: quién toma las decisiones, cómo se aíslan los sistemas comprometidos, a quién se notifica y cuándo, cómo se comunica la situación interna y externamente, y cuáles son los pasos para la recuperación.
Lo más importante: el plan tiene que haberse probado antes del incidente real. Un simulacro de crisis, revela los puntos débiles del plan, acostumbra al equipo a los procedimientos, y reduce el caos cuando algo pasa de verdad. NIS2, además, exige tener estos planes documentados para las organizaciones en su ámbito.
Solicita una propuesta de ciberseguridad a medida
10.- SOC 24×7 y monitorización continua: los ojos que nunca duermen
El ransomware se propaga en pocas horas siguiendo en múchos casos la siguiente lógica: los ataques se lanzan o se activan en fines de semana, festivos y madrugadas, precisamente porque es cuando menos vigilancia hay.
Un SOC (Security Operations Center) operativo las 24 horas garantiza que siempre hay alguien monitorizando, correlacionando alertas y respondiendo. La diferencia entre detectar un ataque en los primeros 30 minutos y detectarlo 8 horas después puede ser la diferencia entre aislar un equipo comprometido y tener que recuperar toda la infraestructura desde cero.
Para empresas que no tienen capacidad de montar un SOC propio (que son la mayoría), el acceso a un servicio de SOC gestionado proporciona esa cobertura continua de forma accesible y escalable. Lo importante es que la cobertura exista y que sea real: no solo un panel de alertas que nadie revisa fuera del horario de oficina.
Y la formación: el factor humano sigue siendo el primero en la cadena
El vector de entrada inicial en la mayoría de los ataques de ransomware modernos no es un exploit técnico sofisticado: es un correo de phishing que alguien abre, un adjunto que alguien descarga, o unas credenciales que alguien entrega o le roban sin darse cuenta.
La formación continua en ciberseguridad, adaptada a cada perfil, con simulacros de phishing reales, con protocolos claros de qué hacer cuando algo parece sospechoso, sigue siendo una de las inversiones con buen retorno en seguridad. Por otro lado, implantar una cultura donde reportar un incidente no tiene coste personal, donde nadie «tiene miedo» de decir que ha hecho clic en algo raro, es tan importante como cualquier herramienta técnica.
El mensaje que no ha cambiado desde 2017
Todos estamos expuestos. Eso sigue siendo cierto. Lo que ha cambiado es que las herramientas para reducir ese riesgo son mucho mejores, más accesibles y más efectivas que hace una década. El ransomware moderno es más sofisticado que WannaCry, pero las organizaciones que tienen implementadas estas capas de defensa lo pasan mucho mejor cuando ocurre un incidente.
Y ocurrirá. La pregunta no es si tu empresa será objetivo, sino si estará preparada cuando llegue el momento.
Dale forma a tu plan de ciberseguridad
5 Comentarios
Puedes enviar comentarios en este post.
[…] de encuentro de estudiantes, profesionales, hackers o entusiastas de la seguridad informática para quienes se ha preparado un extenso programa de ponencias y talleres acerca de temas tan […]
Agenda tecnológica: septiembre de 2017 | Blog Sarenet 9 años ago
[…] organizado por el Centro de Ciberseguridad Industrial orientado a responsables de ciberseguridad. Fabricantes industriales, ingenierías, consultoras, integradores participarán u operadores de […]
Agenda tecnológica: octubre de 2017 | Blog Sarenet 9 años ago
[…] Desde los albores de Internet, el desconocimiento o el exceso de confianza siempre ha alimentado una parte importante de las amenazas cibernéticas. […]
Noticias falsas, uno de los mayores problemas a los que se enfrenta Internet | Blog Sarenet 8 años ago
[…] de ciberseguridad y ciberinteligencia en la que personas expertas del sector público y privado analizarán la […]
Agenda tecnológica: marzo de 2018 | Blog Sarenet 8 años ago
[…] continuidad del negocio, donde la ciber resiliencia hace posible gestionar de manera efectiva las amenazas cibernéticas o ataques al proceso. La correcta administración de amenazas es una marca de calidad para la innovación de […]
Industria 4.0: Los desafíos de ciberseguridad que amenazan a la PYME industrial | Blog Sarenet 8 años ago
Enviar una respuesta
No hay comentarios