Blog/Ciberseguridad
Qué hacer si tu empresa sufre un ransomware (primeras 24 horas)
Guía de urgencia para PYMEs: los pasos correctos en las primeras horas de un ataque de ransomware, los errores que lo empeoran y a quién llamar en España.
Son las 8:40 de un lunes. Alguien enciende su ordenador y los archivos tienen una extensión rara. En el escritorio, un aviso: los datos están cifrados y piden un rescate. Lo que hagas en las siguientes horas marca la diferencia entre perder un día y perder el negocio. Esta es la guía corta.
Lo primero: contener (minutos 0 a 30)
- Desconecta de la red los equipos afectados. Quita el cable de red o apaga el Wi-Fi del equipo. El ransomware intenta extenderse a otros equipos y a las carpetas compartidas: cada minuto conectado es más daño.
- No apagues los equipos afectados si puedes evitarlo. Suena contraintuitivo, pero apagar destruye evidencias en memoria que pueden ayudar a identificar la variante y, con suerte, a descifrar. Aislar sí, apagar no.
- Desconecta (o verifica) las copias de seguridad AHORA. Si tu backup está en un disco conectado o en una carpeta de red accesible, el ransomware irá a por él. Las copias intactas son tu salida: protégelas antes que nada.
- Avisa a tu proveedor informático. Antes de tocar nada más. Si no tienes uno, en España puedes llamar al 017 (INCIBE, gratuito) para asesoramiento inmediato.
Lo que NO debes hacer
- No pagues el rescate (o al menos, no como primera opción). Pagar no garantiza recuperar nada, ya que una parte importante de quienes pagan no recibe las claves o recibe datos corruptos. Además, te marca como "pagador" para futuros ataques y puede tener implicaciones legales según quién esté detrás.
- No formatees ni "limpies" equipos por tu cuenta. Destruyes las evidencias y puedes eliminar la única vía de descifrado.
- No restaures las copias sobre la marcha en la misma red infectada. Primero hay que asegurarse de que el atacante ya no está dentro; si no, te cifran también lo restaurado.
Las obligaciones legales (que casi nadie conoce)
- Denuncia: ante la Policía Nacional, Guardia Civil o, en Catalunya, los Mossos d'Esquadra. Además de necesaria para el seguro, ayuda a la investigación.
- RGPD: si el ataque afecta a datos personales (clientes, empleados, pacientes...), tienes 72 horas para notificarlo a la Agencia Española de Protección de Datos. Para una gestoría o una clínica, esto aplica casi siempre.
- Ciberseguro: si lo tienes, avisa a la aseguradora desde el primer día; muchas pólizas exigen notificación inmediata.
La recuperación: por qué unos tardan horas y otros semanas
La diferencia no está en el ataque, sino en lo que había antes:
- Con copias de seguridad aisladas, probadas y recientes, la recuperación es cuestión de horas o de un par de días.
- Sin ellas, quedan dos caminos: negociar con criminales o rehacer años de información a mano. Ambos son carísimos.
Por eso insistimos tanto en probar las copias de seguridad regularmente: el mejor momento de prepararse para un ransomware es cuando no lo tienes.
Prepararse cuesta mucho menos que recuperarse
La lista corta de lo que evita (o amortigua) el 90% de estos ataques: EDR en los equipos, parches al día, copias aisladas y probadas, doble factor en el correo y un equipo que sabe reconocer un phishing. Nada exótico, trabajo constante.
Si no sabes en qué punto está tu empresa, empieza por saberlo: en un diagnóstico gratuito de 45-60 minutos analizamos tu situación y te decimos, sin compromiso, qué pasaría hoy si este lunes de las 8:40 fuera el tuyo.
