Qué hacer si tu empresa sufre ransomware

Ransomware no se resuelve con una sola acción técnica. En las primeras horas, una empresa necesita coordinar contención, evidencia, comunicación y recuperación sin tomar decisiones que compliquen el análisis posterior.

La prioridad no es “limpiar rápido”. La prioridad es recuperar control con orden.

Primer paso: pausar la improvisación

Cuando aparece una alerta de ransomware, archivos cifrados, actividad anómala o una nota de extorsión, el equipo suele querer reiniciar, desconectar, borrar o restaurar de inmediato.

Algunas acciones pueden ser correctas, pero deben hacerse con criterio. Antes de mover todo, define:

• quién coordina la respuesta;
• qué sistemas parecen afectados;
• qué usuarios, servidores o carpetas compartidas muestran señales;
• qué evidencia debe conservarse;
• qué servicios son críticos para la operación;
• quién puede aprobar aislamiento, apagado o restauración.

Si todos actúan al mismo tiempo sin registro, después será más difícil saber qué ocurrió y qué sigue comprometido.

Aislar sin destruir evidencia

La contención busca frenar propagación y reducir impacto. Puede incluir aislar equipos, bloquear cuentas, pausar accesos remotos, segmentar red o detener servicios específicos.

Pero aislar no significa borrar todo.

Conserva evidencia básica:

• hora de detección;
• equipos y usuarios involucrados;
• capturas de alertas;
• archivos sospechosos o extensiones nuevas;
• registros de EDR, firewall, correo, VPN, nube o identidad;
• decisiones tomadas y responsables.

Esta evidencia ayuda a reconstruir alcance, ruta probable de entrada y acciones de mejora. También evita que la empresa restaure sistemas sin corregir la causa.

No restaures respaldos sin validar

Un error común es restaurar respaldos demasiado pronto.

Antes de restaurar, valida:

1. Qué fecha del respaldo es razonablemente confiable.
2. Si el respaldo está separado del entorno comprometido.
3. Si las credenciales usadas para restaurar pudieron quedar expuestas.
4. Si el sistema restaurado depende de otros servicios todavía afectados.
5. Si la ruta de entrada ya fue contenida o al menos limitada.

Tener backup ayuda, pero no reemplaza una estrategia de recuperación. Un respaldo puede estar incompleto, cifrado, contaminado, inaccesible o depender de cuentas comprometidas.

Para separar ambos temas, revisa también backup vs recuperación ante ransomware.

Qué no hacer en las primeras horas

Evita estas decisiones cuando no exista una razón clara:

• reinstalar equipos sin tomar evidencia mínima;
• borrar archivos sospechosos sin registrar ruta y hora;
• restaurar sistemas críticos sobre la misma red comprometida;
• usar cuentas administrativas que pudieron quedar expuestas;
• comunicar detalles técnicos incompletos como hechos confirmados;
• pagar o negociar sin asesoría legal, ejecutiva y técnica;
• asumir que solo un equipo está afectado porque solo uno mostró síntomas.

La respuesta debe avanzar por hipótesis y evidencia, no por intuición.

Revisa el alcance probable

El ransomware puede iniciar en endpoint, correo, VPN, escritorio remoto, credenciales filtradas, servidor expuesto, aplicación vulnerable o proveedor comprometido.

Para dimensionar el alcance, revisa:

• autenticaciones recientes y fallidas;
• cuentas con privilegios elevados;
• movimientos entre equipos o carpetas compartidas;
• conexiones a servidores críticos;
• cambios en políticas, tareas programadas o scripts;
• actividad de correo sospechosa;
• eventos de EDR o antivirus;
• accesos desde ubicaciones o dispositivos no habituales.

No toda señal confirma compromiso, pero varias señales juntas ayudan a decidir qué aislar, qué revisar y qué recuperar primero.

Prioriza recuperación por impacto operativo

No todos los sistemas tienen la misma urgencia. Recuperar todo al mismo tiempo puede aumentar confusión.

Ordena por:

• operación crítica;
• dependencia de clientes o facturación;
• disponibilidad de respaldo probado;
• riesgo de reinfección;
• necesidad de preservar evidencia;
• usuarios o áreas impactadas.

Una recuperación ordenada suele empezar con servicios esenciales, controles de identidad, estaciones limpias y rutas de acceso verificadas.

Después de contener, documenta la mejora

Cuando la operación vuelve, el trabajo todavía no termina.

La revisión posterior debe responder:

• cuál fue la causa probable;
• qué controles fallaron o no existían;
• qué señales sí aparecieron;
• qué evidencia faltó;
• qué decisiones tomaron más tiempo del necesario;
• qué respaldo funcionó y cuál no;
• qué cambios deben priorizarse.

El objetivo no es solo cerrar el incidente. Es reducir la probabilidad de repetir la misma ruta.

Cómo prepararte antes de necesitarlo

Una empresa puede mejorar mucho su respuesta con preparación básica:

• playbook de ransomware;
• inventario de sistemas críticos;
• responsables y contactos por severidad;
• respaldos probados y separados;
• MFA en cuentas críticas;
• EDR o monitoreo en endpoints relevantes;
• revisión de correo, VPN, firewall y accesos remotos;
• ejercicios de mesa con dirección y TI.

Estos elementos no eliminan el riesgo, pero reducen improvisación y mejoran la capacidad de decidir.

Cómo puede ayudarte Syscore

Syscore puede ayudarte a preparar respuesta a ransomware, revisar controles existentes, ordenar playbooks, validar respaldos, coordinar evidencia y conectar la respuesta con monitoreo, seguridad gestionada y mejora posterior.

Si tu empresa ya tuvo una alerta o quiere prepararse antes de un evento real, empieza por definir alcance: activos críticos, respaldos, accesos, herramientas disponibles y responsables de decisión.

Preguntas frecuentes

¿Debo apagar todos los equipos?

Depende del alcance y del riesgo de propagación. A veces conviene aislar segmentos o equipos específicos. En otros casos, apagar sin preservar evidencia puede complicar el análisis.

¿Debo restaurar de inmediato?

No sin validar respaldo, alcance y ruta probable de entrada. Restaurar demasiado pronto puede reactivar el problema o destruir señales importantes.

¿Un antivirus evita ransomware?

Ayuda, pero no basta. La defensa combina controles de correo, MFA, EDR, parches, segmentación, respaldos probados, monitoreo y respuesta documentada.

¿Qué debe contener un playbook de ransomware?

Roles, contactos, criterios de severidad, pasos de aislamiento, evidencia mínima, sistemas críticos, criterios de restauración, comunicación interna y revisión posterior.

Enlaces útiles

• Respuesta a ransomware para empresas
• Backup vs recuperación ante ransomware
• Plan de continuidad operativa para pymes en México
• Cómo probar respaldos sin detener la operación
• Gestión de incidentes
• Seguridad gestionada MSSP
• Monitoreo y análisis de seguridad
• EDR vs antivirus
• 5 razones por las que debes hacer respaldos