Cómo preparar una empresa para un ataque ransomware

El ransomware no se prepara el día que aparece la nota de rescate. Para entonces, lo importante ya debería estar probado: backups, accesos, responsables, comunicación y criterios de recuperación.

La diferencia entre una interrupción dura y una crisis descontrolada suele estar en decisiones tomadas meses antes, no en una herramienta comprada a última hora.

Lo que debe estar resuelto antes del incidente

Un ataque ransomware no empieza cuando aparece la nota de rescate. Normalmente empieza dias o semanas antes, con credenciales robadas de Microsoft 365, accesos VPN sin MFA, RDP expuesto, servidores sin parchear o una cuenta admin reutilizada.

  • Inventario de activos criticos.
  • MFA en correo, VPN, paneles cloud y herramientas admin.
  • Backups desconectados o inmutables.
  • Segmentacion de red.
  • Registro centralizado de eventos.
  • Procedimiento de contacto fuera del correo corporativo.

Backups que de verdad sirven

Tener backups no basta. Veeam, Rubrik, Acronis o snapshots cloud solo ayudan si estan protegidos de las mismas credenciales que el atacante puede comprometer. Deben restaurarse con frecuencia para comprobar tiempos reales y dependencias ocultas.

Primeras dos horas

  • Aislar sistemas afectados sin apagar evidencias criticas si el equipo forense las necesita.
  • Revocar sesiones y rotar credenciales privilegiadas.
  • Activar canal de crisis fuera de sistemas comprometidos.
  • Identificar alcance: endpoints, servidores, backups, cloud, SaaS.
  • No negociar ni pagar sin asesoramiento legal, técnico y asegurador.

Simulacros que revelan la verdad

Un simulacro debe medir si la empresa sabe quien decide, que se restaura primero, cuanto tarda y que comunica a clientes. Si solo prueba la herramienta de seguridad, no esta probando el incidente.

Ejemplo real: Microsoft 365 comprometido y backups accesibles

Si un atacante entra por una cuenta de Microsoft 365 sin MFA y esa misma identidad puede acceder al panel de backups, la empresa descubre tarde que sus copias no eran una linea de defensa. La preparacion exige separar credenciales, probar restore y mantener un canal de crisis fuera del correo afectado.

Que deberia quedar decidido antes de mover presupuesto

Despues de revisar esta guía, el siguiente paso no es adoptar la opcion más visible, sino escribir una decisión operativa: alcance, responsable, metrica, riesgo aceptable y fecha de revision. Esa disciplina separa una mejora real de otra iniciativa dificil de mantener.

El simulacro que revela la preparación real

Un buen simulacro no pregunta si existen backups; pide restaurar un sistema concreto en un tiempo medido. También comprueba si los administradores pueden entrar cuando el directorio principal falla y si comunicación, legal y dirección saben qué hacer.

La preparación mejora cuando cada decisión crítica tiene propietario: aislar equipos, cortar VPN, activar proveedor forense, avisar a clientes o priorizar qué servicios vuelven primero.

  • Prueba restauración desde una copia inmutable.
  • Separa credenciales de backup del dominio principal.
  • Documenta contactos externos antes de necesitarlos.