Cuando WannaCry irrumpió en 2017, el consejo que se podía dar era también el más…
Cuando WannaCry golpeó en 2017, la respuesta fue reactiva y urgente. El problema es que el ransomware de nuestros dias no se parece a WannaCry en casi en nada, y defenderse de él con las herramientas de entonces es como intentar parar un potente coche moderno con los frenos de un turismo de los 90.
Solicita una propuesta de ciberseguridad a medida
Lo que es común entonces y ahora es que los atacantes están constantemente adaptando sus métodos para eludirlos. Esa observación era certera entonces y es aún más relevante ahora. La única respuesta a un adversario que se adapta constantemente, es una defensa en capas que no dependa de una sola tecnología, un solo punto de control, ni un solo momento de detección.
El error de fondo del enfoque de 2017 —y de muchas estrategias de seguridad que aún se aplican hoy— es que asume que hay un «dentro» seguro y un «fuera» peligroso, y que la labor de la seguridad es controlar la frontera entre ambos. Firewall perimetral, antivirus en los puestos, filtrado de correo. Si nada malo entra, estamos a salvo.
Ese modelo funciona cuando todos los equipos están en la oficina, todas las aplicaciones están en servidores propios y todos los accesos pasan por un único punto de entrada. Ahora nada de eso es cierto para la mayoría de las empresas. Los empleados trabajan desde casa y desde dispositivos personales. Las aplicaciones están en la nube. Los proveedores acceden remotamente. Y el ransomware moderno lleva semanas dentro de la red antes de activarse, moviéndose lateralmente sin disparar ninguna alerta perimetral.
La defensa eficaz no está en el perímetro: está distribuida en todas las capas del entorno, activa en todo momento, y basada en detectar comportamientos anómalos antes de que el daño sea irreversible.
El correo sigue siendo el vector de entrada inicial más frecuente. Un adjunto malicioso, un enlace a una página de phishing, una factura falsa que ejecuta un macro… Por eso el antispam y el filtrado de correo siguen siendo necesarios, pero su alcance tiene que ir mucho más allá de las firmas y las listas negras.
Las soluciones modernas de protección del correo incorporan análisis de comportamiento del remitente, detección de suplantación de identidad, sandboxing de adjuntos en tiempo real (ejecutar el fichero en un entorno aislado para ver qué hace antes de entregarlo) y protección contra URLs maliciosas en el momento del clic, no solo en el momento de recepción. Esa última parte importa: una URL puede ser limpia cuando llega el correo y activarse horas después.
El filtrado web perimetral sigue teniendo sentido como capa adicional: si alguien hace clic en un enlace malicioso, el firewall bloquea el acceso antes de que se descargue nada. Pero confiar en que el filtro de correo o el filtrado web lo parará todo es precisamente el pensamiento que los atacantes explotan.
Esta es la actualización más crítica respecto al pasado. El antivirus (incluso con dos fabricantes diferentes) detecta amenazas conocidas basándose en firmas. El ransomware moderno está diseñado específicamente para evadir esas detecciones: usa técnicas de ofuscación, vive dentro de herramientas legítimas del sistema operativo, y en muchos casos no deja nada en disco que un antivirus pueda analizar.
EDR (Endpoint Detection and Response) trabaja de forma completamente diferente. En lugar de buscar ficheros maliciosos conocidos, monitoriza el comportamiento de cada proceso en tiempo real. Si un proceso empieza a cifrar ficheros de forma masiva, si establece conexiones hacia destinos inusuales, si intenta deshabilitar servicios de seguridad o acceder a credenciales almacenadas… EDR lo detecta aunque ese comportamiento no coincida con ninguna firma conocida, y puede responder de forma automática: aislar el equipo, matar el proceso, bloquear la comunicación… antes de que el daño se propague.
Para entornos con muchas capas (endpoints, red, correo, identidades, cloud), XDR amplía esa visibilidad a todas ellas y las correlaciona en una única plataforma, permitiendo detectar ataques correlacionando eventos en diferentes puntos que siendo tratados individualmente serían invisibles.
Protege la continuidad de tu negocio
Una de las vías de entrada más habituales del ransomware moderno no es un exploit sofisticado: es una sesión de escritorio remoto (RDP) con usuario y contraseña robados, o una VPN sin segundo factor de autenticación. Los atacantes escanean internet constantemente buscando estos servicios expuestos, compran credenciales en mercados del cibercrimen, y entran de forma completamente «legítima» desde el punto de vista técnico.
MFA cierra esa puerta. Con autenticación multifactor activa en todos los accesos remotos, VPN, correo corporativo, paneles de administración y aplicaciones críticas, las credenciales robadas no son suficientes para entrar. El atacante tiene el usuario y la contraseña, pero no el segundo factor.
Es la medida individual con mejor relación coste-impacto en toda la ciberseguridad. Y tiene que ser obligatoria sin excepciones: el acceso «especial» que alguien tiene sin MFA porque le resulta incómodo es mayoritariamente el que explota el atacante.
El modelo de confianza implícita: «si está dentro de la red, es de fiar” es exactamente lo que el ransomware explota. Una vez dentro de un primer equipo, el malware se mueve lateralmente: accede a otros sistemas, eleva privilegios, localiza y destruye los backups, y solo entonces lanza el cifrado masivo. Todo eso ocurre a veces durante días o semanas, sin que ningún sistema perimetral lo detecte porque el tráfico parece legítimo.
Zero Trust invierte esa lógica: ningún sistema, usuario o dispositivo tiene acceso garantizado por defecto. Cada acceso se verifica en función de identidad, dispositivo, ubicación y contexto.
Combinado con segmentación de red, que divide la infraestructura en zonas con comunicación controlada entre ellas, Zero Trust limita drásticamente el movimiento. Aunque el ransomware entre por un equipo, no puede propagarse libremente al resto de la infraestructura.
El ransomware moderno no solo cifra los datos: antes de lanzar el cifrado masivo, localiza y destruye o cifra también los backups convencionales. Una copia de seguridad accesible desde la red comprometida es tan vulnerable como el resto de los sistemas.
La respuesta es el backup inmutable: almacenado de forma que no puede modificarse ni eliminarse durante un período definido, aislado de la red de producción, y verificado periódicamente para confirmar que la restauración funciona de verdad. Una copia que nunca se ha probado es una ilusión de seguridad.
Y el backup es solo parte del plan. La capacidad de recuperación real depende de tener procedimientos documentados y probados: qué sistemas se restauran en qué orden, quién toma las decisiones, cómo se comunica la situación interna y externamente, y cuánto tiempo tardará cada fase de la recuperación. Descubrir en el momento del incidente que el plan no funciona es exactamente el peor momento para descubrirlo.
Configura tu solución de ciberseguridad
Todas las capas anteriores reducen la probabilidad de que el ransomware tenga éxito. Pero no la eliminan completamente. Para lo que no se puede prevenir, hay que estar preparado para detectarlo y responder lo antes posible.
El ransomware más destructivo activa su fase de cifrado precisamente cuando menos ojos hay sobre los sistemas. Un SOC (Security Operations Center) operativo las 24 horas garantiza que siempre hay analistas monitorizando, correlacionando alertas y respondiendo. La diferencia entre detectar el cifrado en los primeros minutos y parar el ataque o detectarlo ocho horas después puede ser la diferencia entre restaurar una parte desde backup a tener que reconstruir toda la infraestructura.
El SOC proporciona esta cobertura continua de forma accesible: analistas especializados que monitorean el entorno, investigan alertas y pueden contener amenazas activas sin necesitar que el equipo interno esté disponible en todo momento.
El vector de entrada inicial en la mayoría de los ataques de ransomware es humano: un clic en un enlace de phishing, la descarga de un adjunto malicioso, unas credenciales entregadas en una página falsa que imitaba perfectamente el portal corporativo. Y con la IA generativa, los correos de phishing son hoy prácticamente indistinguibles de comunicaciones legítimas: personalizados, sin errores gramaticales, con contexto específico sobre la víctima.
La formación tiene que ser continua, práctica y adaptada a cada perfil. No un vídeo de cumplimiento que nadie recuerda: simulacros de phishing reales, protocolos claros de qué hacer cuando algo parece sospechoso, y una cultura donde reportar un posible incidente no tiene coste personal. El empleado que avisa a tiempo de que ha hecho clic en algo raro es el que puede evitar una crisis. Si tiene miedo de decirlo, el problema se descubrirá cuando ya sea demasiado tarde.
La clave de todo este enfoque es que ninguna de estas capas es infalible por sí sola. El antispam puede fallar. El EDR puede no detectar una técnica completamente nueva. El MFA puede ser comprometido mediante ataques de fatiga o SIM swapping. Pero la probabilidad de que el ransomware consiga superar todas las capas simultáneamente es drásticamente menor que la de superar cualquiera de ellas por separado.
La defensa en profundidad no busca la seguridad perfecta (que no existe). Busca que cada capa reduzca el riesgo y dé tiempo a que la siguiente lo detecte. Y que si algo llega a pasar, que la capacidad de contención y recuperación minimicen el daño al mínimo posible.
La mayoría de las organizaciones trabajan con decenas de herramientas digitales a la vez: un…
Muchas organizaciones cuentan con conexiones de alta capacidad y, sin embargo, experimentan problemas al utilizar…
Si buscas herramientas tecnológicas hoy en día, todo suena igual. ✅ “Plataforma flexible.”✅ “Conecta todo…
Durante años, el papel del integrador en ciberseguridad, también en nuestro caso, estuvo centrado en…
La evolución del mercado TI hacia 2026 viene marcada por un entorno dinámico impulsado por…
Cuando hablamos de plataformas modulares, conectividad con distintos sistemas o visualización de información útil en…