Un ransomware es una emergencia operativa y de negocio: además del cifrado, puede haber exfiltración de datos, persistencia en la red y riesgo de reinfección si restauras sin limpiar. Esta guía resume las acciones más importantes.

1) Acciones inmediatas al detectar un ataque

  1. Aislar el sistema infectado
    • Desconecta el equipo afectado de la red (cable o Wi‑Fi).
    • On‑prem: apaga servidores o máquinas virtuales sospechosas si es necesario para detener la propagación.
    • En cloud: desactiva la conectividad/red de la VM o contenedor afectado.
  2. Preservar pruebas y documentar
    • No borres evidencia (archivos, logs, notas/mensajes).
    • Registra hora/fecha del incidente, sistemas/datos afectados y mensajes del atacante (si existen).
  3. Contactar al equipo de TI y activar el plan
    • Activa el Plan de Respuesta a Incidentes.
    • Notifica a alta gerencia y seguridad de la información.
  4. No pagues el rescate
    • No respondas al atacante.
    • Pagar no garantiza recuperación y puede incentivar nuevos ataques.
  5. Iniciar recuperación desde backups (con validación)
    • Si tienes un backup reciente, comienza el proceso de restauración.
    • Verifica integridad y que las copias estén en una ubicación segura antes de restaurar.

2) Respuesta por entorno (cloud vs on‑premise)

Entorno cloud

  1. Coordinar con el proveedor
    • Contacta a tu proveedor (AWS, Azure, GCP).
    • Solicita aislamiento de la VM/contenedor y apoyo para análisis de logs.
  2. Revisar configuración de seguridad
    • Busca permisos mal configurados o accesos no autorizados.
    • Valida si el punto de entrada fue misconfiguración de storage (S3, Azure Blob, etc.).
  3. Restaurar desde backup
    • Usa copias no afectadas y valida integridad.
    • Considera restaurar desde una cuenta/bucket dedicado o región/ubicación alternativa.

Entorno on‑premise

  1. Aislar la red física
    • Desconecta routers, switches y servidores no esenciales si es necesario para detener la propagación.
    • Verifica dispositivos potencialmente comprometidos (NAS, servidores antiguos, endpoints sin parches).
  2. Analizar el ataque
    • Revisa logs de firewall, antivirus/EDR y sistemas de monitoreo.
    • Busca patrones sospechosos (salidas a IPs inusuales, cuentas nuevas, tareas programadas).
  3. Restaurar desde backup
    • Usa copias offline o una estrategia híbrida.
    • Asegúrate de que el backup no esté contaminado antes de volver a producción.

3) Recuperación y prevención

  1. Restaurar sistemas y datos
    • Prioriza servicios críticos (bases de datos, aplicaciones, autenticación, correo).
    • En cloud: usa AWS Backup, Azure Recovery Services o Google Cloud Backup.
  2. Investigar la brecha
    • Considera apoyo forense para determinar punto de entrada, alcance y posible exfiltración.
  3. Actualizar controles de seguridad
    • Revisa firewalls/reglas de red, antivirus/EDR y políticas de acceso (MFA, mínimo privilegio).
  4. Capacitar a los empleados
    • Realiza simulaciones de phishing y entrenamiento periódico.
    • En cloud: refuerza buenas prácticas y seguridad del proveedor.
  5. Comunicación con stakeholders
    • Notifica a clientes, proveedores y autoridades si hubo filtración de datos (según normativa aplicable).
    • Usa Slack/Teams/Notion para actualizaciones internas con una cadencia clara.
  6. Documentar el incidente
    • Registra todo para auditorías y lecciones aprendidas.
    • En cloud: apóyate en CloudTrail / Azure Monitor / logs equivalentes para trazabilidad.

Conclusión

  • No reacciones con pánico: actúa con calma y sigue el plan.
  • Prioriza la seguridad: aislar, documentar y restaurar es clave.
  • Prevención > curación: invierte en backups, capacitación y monitoreo continuo.

Fuentes