Sabemos que emprender es un reto difícil; conseguir que una empresa salga adelante, genere riqueza…
Cuando WannaCry irrumpió en 2017, el consejo que se podía dar era también el más incómodo: desconfía de quien te prometa una solución infalible, usa todo lo que tengas disponible, y si ya te ha golpeado, reza para que tus copias de seguridad sigan intactas.
Solicita una propuesta de ciberseguridad a medida
Casi una década después, ese consejo sigue teniendo vigencia. Pero el problema es que el ransomware de hoy en dia no se parece a WannaCry casi en nada. WannaCry era un gusano ruidoso que cifraba rápido y se detectaba rápido. El ransomware moderno es silencioso, metódico y enormemente más dañino: se instala semanas antes de activarse, se mueve lateralmente por la red localizando activos críticos y backups, roba los datos antes de cifrarlos, y cuando finalmente activa el cifrado masivo, ya tiene todo preparado para que comience la extorsión.
Por eso cambia completamente la forma de afrontarlo. No es solo una cuestión de filtros y antivirus. Es una cuestión de arquitectura de seguridad, de capacidad de detección temprana, y de saber exactamente qué hacer cuando ocurre.
El principio de prudencia general dice: “Desconfía de quien te ofrezca un sistema infalible”. Por eso una combinación de soluciones que, unidas, hacen que un ataque de ransomware sea mucho más difícil de ejecutar y mucho más fácil de detectar antes de que cause un daño irreversible. Ninguna capa individual es suficiente. La defensa correcta es la que asume que alguna capa fallará y tiene otra debajo lista para compensarlo.
El antivirus tradicional detecta amenazas conocidas por sus firmas. El ransomware moderno está específicamente diseñado para evitar esas detecciones: usa técnicas de ofuscación, ejecuta código malicioso dentro de procesos legítimos del sistema “living off the land” y en muchos casos no deja nada en disco que analizar.
EDR monitoriza el comportamiento de cada equipo en tiempo real. Si un proceso empieza a cifrar ficheros de forma masiva, si un equipo intenta acceder a un volumen anormalmente grande de recursos compartidos, si se deshabilitan servicios de seguridad o se accede a credenciales almacenadas de forma inusual… EDR lo detecta y puede responder de forma automática aunque ese comportamiento no coincida con ninguna firma conocida.
XDR amplía esa visibilidad a todas las capas del entorno (endpoints, red, correo, identidades, cloud…) y las correlaciona. Lo que visto por separado sería ruido invisible, en conjunto revela un ataque en progreso con días o semanas de antelación al cifrado final.
Múchos de los ataques de ransomware empieza de la misma forma: acceso remoto con credenciales robadas. RDP expuesto, VPN sin segundo factor… Los atacantes escanean internet constantemente buscando estos servicios vulnerables para su cometido.
Por eso la medida que cierra esa puerta es tener MFA activo, así las credenciales robadas no sirven de nada. Es una de las inversiones con mejor retorno en cuanto a ciberseguridad se refiere. Sin excepciones ni casos especiales.
Una vez dentro de un primer equipo, el ransomware se mueve. Busca controladores de dominio, servidores de ficheros, bases de datos, sistemas de backup. Ese movimiento lateral es lo que convierte un incidente puntual en una crisis total.
Zero Trust y la segmentación limitan ese movimiento. Zero Trust significa que ningún sistema tiene acceso implícito a otro por el simple hecho de estar en la misma red: cada comunicación se autoriza explícitamente. La segmentación divide la red en zonas aisladas con políticas de tráfico controladas entre ellas. Si el ransomware compromete un equipo, no puede saltar libremente al resto de la infraestructura.
Contar con un sistema de respaldo que no se haya visto afectado puede ser nuestra única salvación en caso de desastre. Y esto es cierto pero teniendo en cuenta que los backups convencionales ya no son suficiente.
Los grupos de ransomware modernos localizan y destruyen o cifran los backups antes de lanzar el cifrado masivo. Una copia accesible desde la red comprometida es tan vulnerable como el resto de los datos.
Por este motivo la solución es el backup inmutable: almacenado de forma que no puede modificarse ni eliminarse durante un período definido, completamente aislado de la red de producción, y verificado periódicamente para confirmar que la restauración funciona.
Descubrir que el backup está corrupto o incompleto en el momento de necesitarlo es uno de los peores escenarios posibles. Las copias de seguridad deben siempre probarse, no solo ejecutarse.
Protege la continuidad de tu negocio
El ransomware moderno pasa semanas dentro de la red antes de cifrar. Durante ese tiempo (dwell-time) está realizando reconocimiento, extrayendo datos y preparando el ataque final. Este período de permanencia oculta es la ventana de oportunidad para detectarlo y pararlo antes de que cause el daño definitivo.
Un SOC (Security Operations Center) operativo 24 horas con analistas que monitoricen y correlacionen alertas de forma continua es lo que permite aprovechar esa ventana. Los ataques más devastadores no se lanzan durante el horario de oficina: ocurren en fines de semana, madrugadas y festivos, precisamente cuando la guardia del departamento de IT está baja. Si nadie está mirando en ese momento, el ataque habrá completado su trabajo antes de que alguien lo detecte.
Por este motivo un SOC con analistas especializados disponibles 24 horas que monitorizan el entorno e investigan alertas, pueden contener las amenazas activas sin necesitar que el equipo interno esté disponible en todo momento.
Cuando se detecta un incidente activo, el primer instinto suele ser apagar equipos. A veces es la decisión correcta; otras veces destruye evidencias forenses que serían necesarias para entender el alcance del ataque o para la recuperación. La respuesta correcta depende del tipo de ataque y del momento en que se detecta.
Lo que sí es siempre correcto es aislar los sistemas comprometidos de la red de producción antes de que el ransomware continúe propagándose.
Y mientras se contiene el ataque, hay que activar el plan de respuesta a incidentes que debe estar documentado y probado antes de que ocurra nada.
Cuando el ransomware está activo, no es el momento de decidir quién lidera la respuesta, cómo se comunica la situación a dirección, si se notifica a clientes o proveedores, o cuándo se involucra a las autoridades. Todo eso tiene que estar decidido de antemano. Un plan de respuesta a incidentes real define roles, protocolos de comunicación interna y externa, criterios de escalada, y pasos ordenados para la recuperación. NIS2 exige tener este plan documentado para las organizaciones en su ámbito, incluyendo la notificación obligatoria a las autoridades ante incidentes significativos. Pero más allá del cumplimiento, un plan bien diseñado y probado puede ser la diferencia entre una crisis controlada y el caos total.
Configura tu solución de ciberseguridad
El ransomware moderno no solo cifra: primero roba. Antes de activar el cifrado, los grupos más sofisticados exfiltran datos sensibles (información de clientes, datos financieros, propiedad intelectual, contratos…) y amenazan con publicarlos o venderlos si no se paga. Es lo que se conoce como doble extorsión.
Esto cambia radicalmente el escenario. Tener un buen backup te permite recuperar la operativa sin pagar el rescate por el descifrado. Pero no te protege del daño reputacional, legal y regulatorio de una filtración de datos. La única forma de mitigar ese riesgo es detectar la exfiltración antes de que ocurra que es exactamente lo que hace XDR cuando monitoriza el tráfico de red en busca de volúmenes anómalos de datos salientes.
Pagar el rescate, por otro lado, no garantiza que los datos no se publiquen igualmente, ni que el grupo no vuelva a atacar. Las autoridades europeas y el CCN recomiendan no pagar.
La recuperación de un ataque de ransomware no consiste en restaurar todo a la vez. Consiste en volver a la operativa crítica lo antes posible, en el orden correcto, verificando en cada paso que los sistemas restaurados están limpios antes de reconectarlos a la red.
El orden de recuperación, qué se restaura primero, qué puede esperar, qué sistemas se reconstruyen desde cero en lugar de restaurar… debería estar definido en el plan de continuidad de negocio, basado en el análisis de impacto real de cada sistema para la operativa de la empresa.
Después de gestionar el incidente, hay una pregunta que no puede quedar sin respuesta: ¿cómo entró el atacante? ¿Qué vulnerabilidad explotó? ¿Qué credencial usó? ¿Por qué no se detectó antes? El análisis post-incidente o revisión forense de lo ocurrido, es lo que permite no solo cerrar el vector de entrada específico, sino identificar debilidades sistémicas en la arquitectura de seguridad que lo hicieron posible. Sin ese análisis, la probabilidad de sufrir un segundo incidente similar es muy alta.
La única forma de paliar este problema es aplicar un conjunto de medidas lo más completo posible porque ninguna medida por si sola es suficiente.
La defensa correcta es la que asume que algo fallará y tiene más capas debajo. Y la organización correcta es la que no pregunta «¿nos puede pasar?» sino «¿estamos preparados para cuando pase?»
La mayoría de las organizaciones trabajan con decenas de herramientas digitales a la vez: un…
Muchas organizaciones cuentan con conexiones de alta capacidad y, sin embargo, experimentan problemas al utilizar…
Si buscas herramientas tecnológicas hoy en día, todo suena igual. ✅ “Plataforma flexible.”✅ “Conecta todo…
Durante años, el papel del integrador en ciberseguridad, también en nuestro caso, estuvo centrado en…
La evolución del mercado TI hacia 2026 viene marcada por un entorno dinámico impulsado por…
Cuando hablamos de plataformas modulares, conectividad con distintos sistemas o visualización de información útil en…