El correo parecía legítimo. El archivo adjunto tenía un nombre normal. Un clic y, minutos después, todos los archivos de la empresa estaban cifrados. Un mensaje exigía pago en criptomonedas para recuperarlos.

Esta historia se repite miles de veces al día en todo el mundo.

Por qué las pymes son objetivo

Existe la creencia de que los atacantes solo persiguen grandes corporaciones. La realidad es opuesta. Las empresas pequeñas y medianas son objetivos ideales porque:

  • Tienen menos recursos dedicados a seguridad
  • Sus empleados suelen tener menos capacitación en ciberseguridad
  • Muchas no tienen copias de seguridad adecuadas
  • El impacto de perder datos puede ser tan devastador que es más probable que paguen

El ciclo del ransomware

Entender cómo funciona ayuda a prevenirlo:

Entrada: generalmente a través de correo electrónico con adjuntos maliciosos, enlaces a sitios comprometidos, o explotando vulnerabilidades en sistemas sin actualizar.

Propagación: una vez dentro, el malware busca propagarse a otros equipos de la red antes de activarse.

Cifrado: cuando está listo, cifra archivos con algoritmos que, en la práctica, son imposibles de romper sin la clave.

Extorsión: aparece el mensaje de rescate. Pagar no garantiza recuperar los datos, y financia futuros ataques.

Medidas preventivas que funcionan

Copias de seguridad sólidas: la regla 3-2-1 con al menos una copia offline o inmutable. Si puedes restaurar, no necesitas pagar.

Actualizaciones al día: muchos ataques explotan vulnerabilidades conocidas que ya tienen parche. Actualizar cierra esas puertas.

Segmentación de red: si un equipo se compromete, limitar cuánto puede propagarse antes de ser detectado.

Capacitación de empleados: enseñar a identificar correos sospechosos, verificar remitentes, no abrir adjuntos inesperados.

Protección de endpoints: soluciones que detectan comportamientos sospechosos, no solo firmas conocidas.

Principio de mínimo privilegio: los usuarios solo tienen acceso a lo que necesitan. Un contador no necesita acceso a los servidores de desarrollo.

Qué hacer si ocurre

Si el ransomware llegó a ejecutarse:

  1. Aislar inmediatamente: desconectar equipos afectados de la red para detener la propagación
  2. No apagar: los equipos pueden tener información útil para investigación forense
  3. Evaluar el alcance: qué sistemas están afectados, qué datos están comprometidos
  4. Contactar expertos: respuesta a incidentes no es momento para improvisar
  5. Notificar si es necesario: dependiendo de la jurisdicción, puede haber obligaciones legales de notificación

La decisión de pagar

Las autoridades recomiendan no pagar. Hacerlo:

  • Financia a criminales
  • No garantiza recuperar los datos
  • Te marca como “víctima que paga” para futuros ataques

Sin embargo, empresas sin respaldos enfrentan decisiones difíciles. La mejor manera de no tener que tomarla es prepararse antes.