El momento que nadie quiere vivir
Llegas al trabajo, prendes la computadora y ves un mensaje: "Todos tus archivos han sido cifrados. Paga X bitcoins en 72 horas o los perderás para siempre".
Se te congela el estómago. Llamas a tu equipo. Todos están viendo lo mismo. La red completa está afectada. Tu contabilidad, tus contratos, la base de clientes, todo cifrado.
Lo que hagas en las siguientes 2 horas decide si tu negocio sobrevive o no. Y la mayoría de dueños hace exactamente lo contrario de lo que debería.
Los 3 errores fatales de las primeras 2 horas
1. Pagar el rescate de inmediato
Es la tentación natural. Pero pagar no garantiza que te devuelvan los archivos, marca tu empresa como pagadora (te atacarán de nuevo), y en muchos países te expone a sanciones legales por financiar organizaciones criminales.
2. Reiniciar los equipos afectados
Al reiniciar puedes destruir evidencia clave que está en memoria RAM. Un forense puede recuperar información del ataque si el equipo se preserva encendido y aislado. Si reinicias, se pierde.
3. Restaurar backups sin analizar primero
Si el atacante entró hace días o semanas, tus backups recientes también están comprometidos. Restaurar sin analizar puede reactivar el ransomware inmediatamente.
El playbook de las primeras 2 horas
Minuto 0 a 15: Contener
Desconecta la red, no apagues los equipos.
- Desconecta el cable de red de los equipos afectados o desactiva WiFi.
- Apaga el router o switch si el ransomware se está propagando activo.
- NO apagues las computadoras. Manténlas encendidas y desconectadas.
- Toma fotos con el celular de las pantallas de rescate y de cada equipo afectado.
Objetivo: cortar la propagación sin destruir evidencia.
Minuto 15 a 30: Evaluar el alcance
Identifica qué está afectado y qué no.
- ¿Cuántos equipos muestran el mensaje?
- ¿Los servidores están afectados o solo estaciones de trabajo?
- ¿La nube (Google Drive, OneDrive) está sincronizando archivos cifrados?
- ¿Los backups están accesibles y NO están cifrados?
Pausa la sincronización de servicios en la nube inmediatamente para evitar que los archivos cifrados sobrescriban los buenos en la nube.
Minuto 30 a 60: Comunicar internamente
Convoca a las personas clave, no al equipo completo.
- Dueño o director general.
- Responsable de TI (interno o externo).
- Contador o CFO si hay implicancias financieras.
- Abogado si manejas datos personales de clientes.
Regla clave: NO uses el correo corporativo para coordinar. Puede estar comprometido. Usa WhatsApp o Signal con líneas personales.
Documenta todo en un cuaderno físico o en un dispositivo NO conectado a la red afectada.
Minuto 60 a 90: Preservar evidencia
Si vas a llamar a un forense o denunciar, esto es crítico.
- Deja los equipos afectados encendidos y desconectados.
- Toma fotos de todo: pantallas, notas de rescate, timestamps.
- Guarda una copia del mensaje de rescate en un dispositivo limpio.
- Anota cualquier actividad anormal previa: correos sospechosos, comportamiento extraño, alertas ignoradas.
- Identifica el "paciente cero": qué equipo se infectó primero según los logs.
Minuto 90 a 120: Decidir el camino
Ahora sí puedes tomar decisiones informadas.
Tienes tres caminos posibles:
Camino A: Recuperación limpia desde backups Si tienes backups inmutables o offline previos al ataque, puedes reconstruir sin pagar. Es el escenario ideal.
Camino B: Intento de descifrado Sitios como No More Ransom (nomoreransom.org) tienen descifradores gratuitos para muchas familias de ransomware. Identifica la variante y busca ahí antes de pagar.
Camino C: Contratar respuesta profesional Si el ataque es sofisticado o los datos son críticos y no hay backup, contrata una empresa especializada en respuesta a incidentes. Pueden negociar, analizar y en algunos casos recuperar sin pagar.
Qué NO hacer en las primeras 2 horas
- No pagues el rescate sin evaluar los otros caminos primero.
- No hables públicamente del incidente hasta tener más información.
- No borres nada, ni siquiera archivos que parezcan basura.
- No conectes memorias USB a los equipos afectados.
- No uses las contraseñas comprometidas en otros sistemas hasta cambiar todo.
- No prometas nada a clientes o proveedores sin certeza técnica.
Después de las primeras 2 horas: los siguientes pasos
Una vez contenido y evaluado el escenario, viene la fase de recuperación que puede tomar días o semanas:
- Análisis forense para entender cómo entraron.
- Reconstrucción de sistemas desde cero en equipos limpios.
- Cambio de TODAS las contraseñas de la empresa.
- Notificación legal si hay datos personales afectados (obligatorio en muchos países).
- Comunicación a clientes con información verificada.
- Mejora de defensas para que no vuelva a pasar.
La prevención que evita este escenario
Todo lo anterior se evita con estas medidas antes del ataque:
- Backups inmutables: copias que no se pueden modificar ni borrar aunque tengan credenciales de admin.
- EDR moderno en todos los equipos: detecta comportamiento sospechoso, no solo firmas conocidas.
- Autenticación multi-factor obligatoria: en correo, VPN, sistemas críticos.
- Actualizaciones automáticas: la mayoría de ransomware entra por vulnerabilidades sin parchar.
- Capacitación al equipo: el 90% de los ataques exitosos empiezan con un correo de phishing.
- Plan de respuesta a incidentes documentado: para no improvisar en el peor momento.
Preguntas frecuentes
¿Debo pagar si mis backups también están cifrados?
Aún así, evalúa primero. Pagar tiene menos del 65% de éxito de recuperación completa según reportes de la industria. Consulta con expertos antes de mandar el dinero.
¿Cuánto cobra una empresa de respuesta a incidentes?
Para negocios pequeños y medianos, entre 2,000 y 15,000 dólares dependiendo del alcance. Suena mucho, pero suele ser menor al rescate pedido y con mejores garantías.
¿Es legal pagar un rescate?
Depende del país. En USA hay sanciones por pagar a grupos sancionados. En LATAM la regulación es más laxa pero puede haber implicancias fiscales al justificar la transferencia. Consulta con abogado.
¿Puedo denunciar el ataque?
Sí, y deberías. En Perú, la División de Investigación de Delitos de Alta Tecnología (DIVINDAT). En España, INCIBE-CERT y policía. En México, la Policía Cibernética. Ayudan poco a recuperar, pero suman a la investigación general.
Conclusión
Un ataque de ransomware no es solo un problema técnico, es una crisis empresarial. Las primeras 2 horas definen el desenlace. Actuar rápido pero sin pánico, contener sin destruir evidencia y decidir con información marca la diferencia entre pérdida controlada y cierre del negocio.
En FDev ayudamos a empresas a implementar defensas modernas antes del ataque y a responder cuando ya ocurrió. Si quieres una evaluación de tu situación actual o preparar un plan de respuesta, escríbenos por WhatsApp.
