Cómo proteger tu empresa contra ransomware: guía práctica

El ransomware es una de las amenazas más peligrosas para cualquier empresa. No afecta solo a grandes corporaciones: una pyme, un autónomo con varios equipos, una clínica, una asesoría, una tienda online, una academia, una agencia o un despacho profesional también pueden sufrir un ataque que paralice completamente su actividad.

Un ataque de ransomware puede cifrar documentos, bases de datos, servidores, copias de seguridad, carpetas compartidas, equipos de empleados y sistemas críticos. En muchos casos, los ciberdelincuentes no solo bloquean la información, sino que también la roban y amenazan con publicarla si la empresa no paga.

INCIBE define el ransomware como un tipo de malware que bloquea o cifra la información del usuario para pedir dinero a cambio de liberarla o descifrarla. En entornos empresariales, el impacto puede ser mucho mayor porque afecta a datos de clientes, facturación, correo, servidores, aplicaciones internas y continuidad del negocio.

Protegerse contra ransomware no consiste en instalar un antivirus y olvidarse. Requiere una estrategia con varias capas: copias de seguridad, actualizaciones, control de accesos, formación, protección de endpoints, seguridad del correo, segmentación, monitorización y un plan de respuesta ante incidentes.

Mejores plataformas de email marketing para vender más en internet

Esta guía está pensada para empresas pequeñas y medianas que quieren reducir el riesgo de sufrir un ataque y saber qué hacer si ocurre.

---

Qué es el ransomware

El ransomware es un tipo de software malicioso diseñado para impedir el acceso a la información o a los sistemas de una víctima. Normalmente cifra archivos y muestra una nota de rescate exigiendo un pago, casi siempre en criptomonedas.

El mensaje suele incluir amenazas como:

• “Tus archivos han sido cifrados”.
• “Tienes 72 horas para pagar”.
• “Si no pagas, eliminaremos la clave”.
• “Si no pagas, publicaremos tus datos”.
• “No contactes con la policía”.
• “No intentes recuperar los archivos”.
• “El precio aumentará si pasa el plazo”.

En ataques modernos, el ransomware no se limita a cifrar. Muchos grupos aplican una estrategia de doble extorsión: primero roban información y después cifran los sistemas. Así, aunque la empresa tenga copias de seguridad, los atacantes siguen presionando con publicar datos sensibles.

Herramientas SEO imprescindibles para mejorar el tráfico de tu web

NIST describe el ransomware como un ataque en el que los atacantes cifran los datos de una organización y exigen pago para restaurar el acceso; además, pueden robar información y exigir un segundo pago para no divulgarla.

---

Por qué el ransomware es tan peligroso para empresas

Un ataque de ransomware puede detener una empresa durante horas, días o semanas. El impacto no es solo técnico: también afecta a ventas, reputación, cumplimiento legal, clientes y empleados.

Pérdida de acceso a archivos

El efecto más visible es que los documentos dejan de abrirse. Pueden quedar cifrados:

• Facturas.
• Contratos.
• Presupuestos.
• Bases de datos.
• Documentos legales.
• Nóminas.
• Archivos de clientes.
• Proyectos.
• Diseños.
• Fotografías.
• Informes.
• Copias de webs.
• Documentación fiscal.
• Archivos compartidos.

Parálisis del negocio

Si los sistemas críticos quedan bloqueados, la empresa puede no poder:

Qué es un certificado SSL y por qué tu web lo necesita

• Emitir facturas.
• Acceder al correo.
• Atender clientes.
• Gestionar pedidos.
• Usar el CRM.
• Entrar en el ERP.
• Cobrar ventas.
• Consultar historiales.
• Trabajar con documentos.
• Acceder a servidores.
• Abrir la tienda online.
• Usar software de gestión.

Pérdida económica

Los costes pueden incluir:

• Horas de inactividad.
• Ventas perdidas.
• Recuperación técnica.
• Consultoría forense.
• Restauración de sistemas.
• Nuevos equipos.
• Refuerzo de seguridad.
• Asesoría legal.
• Comunicación a clientes.
• Posibles sanciones.
• Pérdida de contratos.
• Subida de seguros.

Robo y filtración de datos

Muchos ataques actuales incluyen exfiltración de información. Esto puede afectar a:

• Datos personales.
• Datos de clientes.
• Datos de empleados.
• Contratos.
• Información financiera.
• Propiedad intelectual.
• Correos internos.
• Documentos confidenciales.
• Bases de datos comerciales.

Daño reputacional

Aunque la empresa consiga recuperar los sistemas, los clientes pueden perder confianza si se filtran datos o si el servicio permanece caído durante demasiado tiempo.

Riesgo legal y normativo

Si el ataque afecta a datos personales, puede ser necesario analizar si hay que notificar la brecha a la Agencia Española de Protección de Datos y a los afectados. También puede haber obligaciones contractuales con clientes o proveedores.

Mejores servicios de almacenamiento en la nube para empresas

---

Cómo entra el ransomware en una empresa

Para protegerse, primero hay que entender las vías de entrada más habituales.

Correos de phishing

El phishing sigue siendo una de las principales vías de entrada. Un empleado recibe un correo aparentemente legítimo y abre un archivo, pulsa un enlace o introduce sus credenciales en una página falsa.

Ejemplos habituales:

• Factura pendiente.
• Notificación de Correos o paquetería.
• Aviso de banco.
• Supuesto requerimiento de Hacienda.
• Documento compartido en Microsoft 365.
• Falso aviso de renovación de contraseña.
• CV adjunto.
• Presupuesto de proveedor.
• Aviso de impago.
• Falsa alerta de seguridad.

Adjuntos maliciosos

Los atacantes pueden enviar archivos como:

• Word.
• Excel.
• PDF.
• ZIP.
• RAR.
• ISO.
• OneNote.
• Accesos directos.
• Ejecutables camuflados.
• Scripts.

El archivo puede contener macros, enlaces maliciosos o código que descarga el malware.

Contraseñas robadas

Si un atacante consigue una contraseña de correo, VPN, escritorio remoto o panel cloud, puede entrar sin necesidad de explotar una vulnerabilidad técnica.

Las contraseñas pueden robarse mediante:

• Phishing.
• Filtraciones antiguas.
• Reutilización de claves.
• Malware en equipos.
• Ataques de fuerza bruta.
• Credenciales compradas en mercados clandestinos.

Acceso remoto mal protegido

Servicios como RDP, VPN, escritorios remotos, paneles de administración o herramientas de soporte remoto son objetivos frecuentes.

Riesgos habituales:

• RDP expuesto a internet.
• Contraseñas débiles.
• Sin MFA.
• VPN sin actualizar.
• Usuarios antiguos activos.
• Accesos de proveedores sin control.
• Herramientas remotas instaladas sin supervisión.

Vulnerabilidades sin parchear

Los atacantes buscan sistemas desactualizados:

• Servidores Windows.
• VPN.
• Firewalls.
• NAS.
• WordPress.
• Plugins.
• Servidores Exchange.
• Sistemas ERP.
• Aplicaciones web.
• Software de escritorio.
• Routers.
• Dispositivos expuestos.

CISA recomienda parchear y actualizar regularmente software y sistemas operativos como una práctica esencial para reducir el riesgo de ransomware.

Descargas de software pirata o no oficial

Muchas infecciones empiezan con programas descargados desde sitios no oficiales:

• Activadores.
• Cracks.
• Plugins pirata.
• Plantillas infectadas.
• Falsos instaladores.
• Herramientas gratuitas manipuladas.

Dispositivos USB

Aunque es menos común que el phishing o las credenciales robadas, un USB infectado puede introducir malware en la red.

Proveedores comprometidos

Una empresa puede verse afectada por un proveedor externo con acceso a sus sistemas:

• Soporte informático.
• Gestoría.
• Proveedor de software.
• Mantenimiento.
• Agencia digital.
• Integrador.
• Proveedor cloud.
• Empresa de telecomunicaciones.

---

Señales de alerta de un posible ataque de ransomware

Cuanto antes se detecte el ataque, más posibilidades hay de contenerlo.

Archivos que cambian de extensión

Por ejemplo:

• factura.pdf.locked
• contrato.docx.encrypted
• clientes.xlsx.crypto
• archivo.jpg.ransom

Archivos que no se pueden abrir

Los usuarios empiezan a reportar que documentos normales ya no funcionan.

Aparición de notas de rescate

Pueden aparecer archivos como:

• README.txt
• RECOVER_FILES.html
• HOW_TO_DECRYPT.txt
• RESTORE_FILES.txt

Lentitud repentina

Equipos o servidores pueden volverse lentos porque el malware está cifrando archivos en segundo plano.

Actividad extraña en carpetas compartidas

Se detectan muchos archivos modificados en poco tiempo.

Antivirus desactivado

El atacante puede intentar detener servicios de seguridad.

Copias de seguridad eliminadas

Muchos ransomware intentan borrar snapshots, copias locales o volúmenes de recuperación.

Conexiones sospechosas

Puede haber accesos desde ubicaciones extrañas, horarios inusuales o cuentas que no deberían estar activas.

Usuarios bloqueados

Si un atacante cambia contraseñas o permisos, algunos usuarios pueden perder acceso.

---

Cómo proteger tu empresa contra ransomware

La defensa debe ser por capas. Ninguna medida aislada es suficiente.

---

1. Haz copias de seguridad seguras y probadas

Las copias de seguridad son la última línea de defensa. Si todo falla, un buen backup puede salvar la empresa.

Pero no vale cualquier copia. Muchos ataques de ransomware buscan y destruyen las copias antes de cifrar los sistemas.

CISA recomienda mantener copias offline, cifradas y probadas regularmente, porque muchos ransomware intentan localizar y eliminar copias accesibles desde la red.

Aplica la regla 3-2-1

Una estrategia básica sería:

• 3 copias de los datos.
• 2 soportes diferentes.
• 1 copia fuera de la ubicación principal.

Para una empresa, una versión más robusta sería:

• Datos originales.
• Copia local rápida.
• Copia en la nube.
• Copia offline o inmutable.
• Copia en otra región o ubicación.
• Pruebas periódicas de restauración.

Usa copias inmutables

Una copia inmutable no puede modificarse ni borrarse durante un periodo definido. Esto es muy útil frente a ransomware, porque aunque el atacante consiga acceso, no puede eliminar fácilmente la copia.

Puedes usar inmutabilidad en:

• Almacenamiento S3 con Object Lock.
• Backups empresariales.
• NAS con snapshots protegidos.
• Soluciones cloud de backup.
• Repositorios WORM.
• Sistemas de copia gestionados.

Mantén copias offline

Una copia offline es una copia desconectada de la red. Puede ser:

• Disco externo desconectado.
• Cinta.
• Repositorio aislado.
• Backup en nube con credenciales separadas.
• Copia fuera de dominio.
• Snapshot no accesible desde producción.

Cifra las copias

Las copias deben estar cifradas, especialmente si contienen datos personales, financieros o confidenciales.

Prueba la restauración

No basta con que el software diga “backup completado”. Hay que comprobar que puedes restaurar.

Prueba periódicamente:

• Un archivo.
• Una carpeta.
• Una base de datos.
• Un servidor.
• Un equipo completo.
• Una aplicación crítica.

NIST recomienda restaurar los datos a una configuración buena conocida e identificar la versión correcta de backup libre de código malicioso antes de recuperar sistemas.

Define prioridades de recuperación

No todo tiene la misma urgencia. Clasifica:

• Sistemas críticos.
• Datos esenciales.
• Aplicaciones de negocio.
• Equipos administrativos.
• Archivos históricos.
• Sistemas secundarios.

Ejemplo de prioridad:

1. ERP o facturación.
2. Correo corporativo.
3. Bases de datos de clientes.
4. Servidor de archivos.
5. Tienda online.
6. Equipos de dirección.
7. Equipos de usuarios.

---

2. Actualiza sistemas y software

Muchas infecciones aprovechan vulnerabilidades conocidas para las que ya existe parche.

Qué debes actualizar

• Windows.
• macOS.
• Linux.
• Servidores.
• Antivirus.
• Navegadores.
• Office.
• VPN.
• Firewalls.
• Routers.
• NAS.
• WordPress.
• Plugins.
• Temas.
• ERP.
• CRM.
• Software de facturación.
• Aplicaciones internas.
• Herramientas de acceso remoto.

Prioriza sistemas expuestos a internet

Actualiza con urgencia:

• VPN.
• Escritorio remoto.
• Firewalls.
• Servidores web.
• Correo.
• WordPress.
• Paneles cloud.
• NAS accesibles desde fuera.
• Aplicaciones con login público.

Crea un calendario de parches

Para pymes, una rutina sencilla puede ser:

• Revisión semanal de actualizaciones críticas.
• Revisión mensual general.
• Actualización urgente ante vulnerabilidades graves.
• Prueba previa en sistemas críticos.
• Registro de cambios.
• Responsable asignado.

No olvides firmware

Muchos dispositivos de red quedan olvidados:

• Routers.
• Switches.
• Firewalls.
• Puntos WiFi.
• NAS.
• Cámaras.
• Impresoras.
• Dispositivos IoT.

---

3. Activa autenticación multifactor

La MFA o autenticación multifactor añade una capa extra de seguridad. Aunque roben una contraseña, el atacante necesita un segundo factor.

Debe activarse en:

• Correo corporativo.
• Microsoft 365.
• Google Workspace.
• VPN.
• Escritorio remoto.
• CRM.
• ERP.
• Hosting.
• Panel cloud.
• Banco.
• Gestor de contraseñas.
• Copias de seguridad.
• Herramientas de administración.
• Accesos de proveedores.

Prioriza MFA resistente al phishing

Opciones recomendables:

• Llaves físicas FIDO2.
• Passkeys.
• Aplicaciones autenticadoras.
• Push con número de verificación.
• Certificados.

Evita depender solo de SMS si puedes, porque es más débil frente a duplicados de SIM o ingeniería social.

Obliga MFA a administradores

Las cuentas con más privilegios son las más peligrosas. Deben tener MFA sí o sí.

---

4. Usa contraseñas fuertes y un gestor de contraseñas

Las contraseñas débiles y reutilizadas son una puerta de entrada habitual.

Buenas prácticas

• Contraseña única para cada servicio.
• Longitud mínima alta.
• Evitar datos personales.
• No reutilizar claves.
• No compartir contraseñas por WhatsApp o email.
• Cambiar contraseñas comprometidas.
• Usar gestor de contraseñas.
• Revisar filtraciones.
• Eliminar cuentas antiguas.

Usa un gestor empresarial

Para empresas, un gestor permite:

• Compartir accesos de forma segura.
• Revocar usuarios.
• Exigir MFA.
• Auditar contraseñas débiles.
• Organizar credenciales por departamentos.
• Evitar hojas de cálculo con claves.
• Dar acceso temporal a proveedores.
• Separar cuentas personales y profesionales.

Elimina cuentas que ya no se usan

Muchas intrusiones usan cuentas antiguas:

• Empleados que se fueron.
• Proveedores antiguos.
• Usuarios de prueba.
• Cuentas compartidas.
• Administradores duplicados.
• Accesos temporales olvidados.

---

5. Protege el correo electrónico

El correo es una de las principales vías de entrada del ransomware.

Medidas básicas

• Filtro antispam.
• Antiphishing.
• Análisis de adjuntos.
• Protección de enlaces.
• Bloqueo de macros.
• Autenticación SPF, DKIM y DMARC.
• Avisos para remitentes externos.
• MFA en cuentas de correo.
• Bloqueo de reenvíos automáticos sospechosos.
• Revisión de reglas de correo.
• Formación de usuarios.

Configura SPF, DKIM y DMARC

Estas medidas ayudan a reducir suplantaciones de dominio.

• SPF: indica qué servidores pueden enviar correo por tu dominio.
• DKIM: firma los correos para verificar autenticidad.
• DMARC: define qué hacer si SPF o DKIM fallan.

Bloquea adjuntos peligrosos

Tipos de archivo a limitar o revisar:

• .exe
• .scr
• .js
• .vbs
• .bat
• .cmd
• .ps1
• .iso
• .lnk
• .hta
• .jar
• .docm
• .xlsm

Desactiva macros por defecto

Las macros de Office siguen siendo un riesgo. No deberían ejecutarse salvo necesidad real y bajo control.

Revisa reglas sospechosas

Si una cuenta de correo se compromete, el atacante puede crear reglas para ocultar mensajes o reenviar información.

---

6. Instala protección endpoint, EDR o XDR

Un antivirus tradicional puede no ser suficiente. Las empresas deberían valorar soluciones de protección endpoint con capacidades antiransomware y, cuando sea posible, EDR.

Qué debe incluir

• Protección en tiempo real.
• Detección de comportamiento.
• Protección antiransomware.
• Bloqueo de exploits.
• Análisis de scripts.
• Protección web.
• Control de dispositivos USB.
• Firewall.
• Aislamiento de equipos.
• Consola centralizada.
• Alertas.
• Informes.
• Respuesta automática.

Qué es EDR

El EDR permite detectar y responder a actividad sospechosa en endpoints. Ayuda a ver qué ocurrió, qué proceso inició el ataque, qué archivos se modificaron y qué equipos pueden estar afectados.

Qué es XDR

El XDR amplía la detección a correo, red, identidad, nube y endpoints. Es más completo, pero también más complejo.

Recomendación para pymes

Para una pyme, lo mínimo recomendable es:

• Protección endpoint empresarial.
• Consola centralizada.
• Antiransomware.
• Alertas.
• Control de dispositivos.
• Protección web.
• EDR si se manejan datos sensibles o hay teletrabajo.

---

7. Limita permisos de usuario

El ransomware hace más daño cuando los usuarios tienen permisos excesivos.

Aplica el principio de mínimo privilegio

Cada usuario debe tener solo los permisos que necesita para trabajar.

Evita:

• Usuarios normales como administradores.
• Acceso total a carpetas compartidas.
• Cuentas genéricas.
• Contraseñas compartidas.
• Permisos heredados sin revisar.
• Acceso de escritura a datos que solo se consultan.

Separa cuentas administrativas

Un administrador no debería usar su cuenta privilegiada para navegar, leer correo o trabajar a diario.

Mejor práctica:

• Cuenta normal para uso diario.
• Cuenta admin solo para tareas administrativas.
• MFA obligatorio.
• Registro de actividad.

Revisa permisos en carpetas compartidas

Preguntas clave:

• ¿Quién puede leer?
• ¿Quién puede modificar?
• ¿Quién puede borrar?
• ¿Quién necesita acceso realmente?
• ¿Hay usuarios antiguos?
• ¿Hay permisos por grupos?
• ¿Hay carpetas críticas sin protección?

---

8. Segmenta la red

La segmentación limita el movimiento lateral. Si un equipo se infecta, no debería poder alcanzar toda la empresa.

Segmentos recomendables

• Usuarios.
• Servidores.
• Administración.
• Invitados.
• WiFi de clientes.
• Producción.
• Copias de seguridad.
• Cámaras e IoT.
• Sistemas críticos.
• Laboratorio o pruebas.

Separa la red WiFi de invitados

Nunca mezcles invitados con la red interna.

Protege servidores

Los servidores críticos no deberían estar accesibles desde cualquier equipo sin control.

Aísla backups

Los sistemas de copia deben estar especialmente protegidos, con credenciales separadas y acceso limitado.

---

9. Controla el acceso remoto

El acceso remoto es cómodo, pero peligroso si está mal configurado.

Recomendaciones

• No exponer RDP directamente a internet.
• Usar VPN segura.
• Activar MFA.
• Limitar por IP si es posible.
• Revisar usuarios autorizados.
• Desactivar accesos antiguos.
• Actualizar VPN y firewalls.
• Registrar conexiones.
• Usar Zero Trust si procede.
• Revisar herramientas como AnyDesk, TeamViewer o similares.

Acceso de proveedores

Los proveedores deben tener:

• Usuario individual.
• MFA.
• Permisos mínimos.
• Acceso temporal.
• Registro de actividad.
• Revocación al terminar el trabajo.
• Contrato o condiciones claras.

---

10. Forma a los empleados

La formación es una de las defensas más rentables. Un empleado preparado puede detectar un correo sospechoso antes de que se convierta en incidente.

Qué deben aprender

• Identificar phishing.
• Revisar remitentes.
• No abrir adjuntos sospechosos.
• No activar macros.
• No introducir contraseñas tras enlaces extraños.
• Reportar incidentes rápido.
• Usar contraseñas seguras.
• Activar MFA.
• No instalar software no autorizado.
• Verificar pagos y cambios de cuenta bancaria.
• Desconectar el equipo si nota algo raro.

Simulaciones de phishing

Puedes hacer pruebas periódicas para mejorar la detección. No deben usarse para castigar, sino para formar.

Cultura de reporte

Los empleados deben sentirse cómodos avisando. Si alguien abre un archivo sospechoso, lo peor es que lo oculte por miedo.

Mensaje clave: avisar rápido reduce el daño.

---

11. Bloquea software no autorizado

Muchas infecciones empiezan con instalaciones no controladas.

Medidas útiles

• Lista blanca de aplicaciones.
• Bloqueo de ejecutables en carpetas temporales.
• Restricción de PowerShell.
• Control de scripts.
• Bloqueo de instaladores no firmados.
• Gestión centralizada de software.
• Eliminación de herramientas innecesarias.
• Control de extensiones del navegador.

Cuidado con herramientas legítimas abusadas

Los atacantes pueden usar herramientas legítimas para moverse por la red:

• PowerShell.
• PsExec.
• RDP.
• WMI.
• AnyDesk.
• TeamViewer.
• WinRAR.
• 7-Zip.
• Herramientas de administración remota.
• Scripts de Windows.

No se trata de bloquear todo, sino de registrar y controlar su uso.

---

12. Protege servidores y sistemas críticos

Los servidores suelen ser el objetivo principal porque contienen datos compartidos.

Medidas básicas

• Parches al día.
• MFA en administración.
• Acceso limitado.
• Copias probadas.
• EDR para servidores.
• Registro de eventos.
• Firewall interno.
• Usuarios separados.
• No usar servidor como puesto de trabajo.
• Desactivar servicios innecesarios.
• Revisar permisos.
• Monitorización.
• Cifrado.
• Segmentación.

Bases de datos

Protege especialmente:

• ERP.
• CRM.
• Facturación.
• Bases de clientes.
• Aplicaciones internas.
• Tienda online.
• Sistemas contables.

---

13. Protege Microsoft 365 y Google Workspace

Muchas empresas tienen sus datos en la nube y creen que eso las protege completamente. No es así.

Riesgos

• Robo de cuentas.
• Phishing.
• Borrado accidental.
• Reglas maliciosas.
• Ransomware en archivos sincronizados.
• Compartición externa excesiva.
• Usuarios antiguos.
• Falta de MFA.
• Falta de backup independiente.

Medidas recomendadas

• MFA obligatorio.
• Políticas de acceso condicional.
• Revisión de permisos.
• Bloqueo de reenvíos externos.
• Alertas de inicio de sesión sospechoso.
• Backup independiente de Microsoft 365 o Google Workspace.
• Auditoría de compartición externa.
• Revisión de administradores.
• Protección antiphishing.
• DLP si manejas datos sensibles.

---

14. Haz inventario de activos

No puedes proteger lo que no conoces.

Debes saber qué tienes

• Ordenadores.
• Portátiles.
• Servidores.
• NAS.
• Móviles.
• Tablets.
• Impresoras.
• Routers.
• Firewalls.
• Aplicaciones.
• Bases de datos.
• Servicios cloud.
• Dominios.
• Hosting.
• Cuentas administrativas.
• Proveedores con acceso.
• Herramientas SaaS.
• Copias de seguridad.

Clasifica por criticidad

• Crítico.
• Importante.
• Secundario.
• Obsoleto.
• Desconocido.

Los activos desconocidos suelen ser un riesgo enorme.

---

15. Monitoriza y registra actividad

La detección temprana puede marcar la diferencia.

Qué monitorizar

• Inicios de sesión fallidos.
• Accesos desde países extraños.
• Creación de usuarios admin.
• Cambios masivos de archivos.
• Desactivación de antivirus.
• Borrado de backups.
• Conexiones RDP.
• Uso de PowerShell sospechoso.
• Cambios de reglas de correo.
• Transferencias grandes de datos.
• Acceso a carpetas críticas.

Alertas útiles

• Muchas modificaciones en poco tiempo.
• Muchos fallos de login.
• Inicio de sesión de administrador fuera de horario.
• Nuevo dispositivo conectado.
• Usuario antiguo reactivado.
• Copia de seguridad fallida.
• Espacio de backup eliminado.
• Antivirus desinstalado.

---

16. Prepara un plan de respuesta ante incidentes

Tener un plan antes del ataque reduce el caos.

INCIBE recomienda aplicar el plan de respuesta ante incidentes para minimizar daños y recuperar la actividad lo antes posible; también destaca la importancia de obtener evidencias que sirvan para una posible denuncia.

Qué debe incluir el plan

• Responsable de incidentes.
• Teléfonos de emergencia.
• Proveedor IT.
• Contacto legal.
• Contacto de ciberseguridad.
• Contacto de protección de datos.
• Aseguradora.
• Procedimiento de aislamiento.
• Procedimiento de comunicación interna.
• Procedimiento de restauración.
• Lista de sistemas críticos.
• Ubicación de backups.
• Credenciales de emergencia.
• Plantillas de comunicación.
• Criterios de notificación.
• Registro de decisiones.
• Procedimiento de denuncia.

Roles mínimos

Incluso en una pyme pequeña, define:

• Responsable de negocio.
• Responsable técnico.
• Responsable de comunicación.
• Responsable legal/RGPD.
• Responsable de contacto con clientes.
• Responsable de relación con proveedores.

Ten contactos impresos

Si el correo o los sistemas están caídos, necesitas tener contactos fuera del entorno comprometido.

---

Qué hacer si tu empresa sufre ransomware

La respuesta debe ser rápida y ordenada.

---

Paso 1: mantén la calma y no pagues de inmediato

Pagar no garantiza recuperar datos ni evita que los atacantes publiquen información. Además, puede convertir a la empresa en objetivo futuro.

INCIBE advierte que pagar no garantiza que se recupere la información ni que no vuelvan a exigir un segundo rescate.

---

Paso 2: aísla los equipos afectados

Desconecta de la red:

• Equipos con nota de rescate.
• Servidores afectados.
• Equipos con actividad sospechosa.
• Carpetas compartidas comprometidas.
• Dispositivos que cifran archivos.

Puedes:

• Desconectar cable de red.
• Apagar WiFi.
• Aislar VLAN.
• Bloquear puertos.
• Deshabilitar cuentas comprometidas.
• Cortar VPN temporalmente.

No conectes discos de backup a equipos sospechosos.

---

Paso 3: no borres evidencias

Evita actuar impulsivamente.

No hagas, salvo indicación profesional:

• Formatear inmediatamente.
• Borrar notas de rescate.
• Eliminar logs.
• Reinstalar todos los equipos sin preservar evidencias.
• Pagar sin asesoramiento.
• Comunicar públicamente sin verificar.

Guarda:

• Nota de rescate.
• Capturas.
• Nombres de archivos.
• Extensiones.
• Hora de detección.
• Equipos afectados.
• Usuarios conectados.
• Logs.
• Correos sospechosos.
• IPs extrañas.
• Muestras de archivos cifrados.

---

Paso 4: avisa al responsable y al proveedor IT

Contacta con:

• Responsable interno.
• Proveedor informático.
• Especialista en ciberseguridad.
• Asesor legal.
• Delegado de protección de datos, si existe.
• Aseguradora cyber, si tienes póliza.

---

Paso 5: identifica alcance

Preguntas clave:

• ¿Qué equipos están afectados?
• ¿Qué servidores?
• ¿Qué carpetas?
• ¿Qué usuarios?
• ¿Hay datos robados?
• ¿Cuándo empezó?
• ¿Qué cuenta fue usada?
• ¿Qué copias siguen intactas?
• ¿Hay sistemas críticos operativos?
• ¿Hay propagación activa?
• ¿Qué variante puede ser?

---

Paso 6: corta accesos comprometidos

Acciones habituales:

• Deshabilitar cuentas sospechosas.
• Cambiar contraseñas.
• Revocar sesiones.
• Cortar VPN.
• Revocar tokens.
• Revisar MFA.
• Desactivar reglas de correo sospechosas.
• Revisar accesos de proveedores.
• Rotar claves API.

---

Paso 7: contacta con organismos de ayuda

En España, INCIBE ofrece ayuda para empresas afectadas por ransomware y dispone de servicio antiransomware.

También puedes valorar denuncia ante Fuerzas y Cuerpos de Seguridad del Estado, especialmente si hay extorsión, robo de datos o impacto relevante.

---

Paso 8: analiza si hay brecha de datos

Si hay datos personales afectados, debes evaluar:

• Qué datos se han visto comprometidos.
• Cuántas personas.
• Qué tipo de información.
• Riesgo para los afectados.
• Si hubo exfiltración.
• Si hay obligación de notificar.
• Plazos aplicables.
• Comunicación a clientes.

Esto debe revisarse con asesoría legal o responsable de protección de datos.

---

Paso 9: restaura desde copias limpias

Antes de restaurar, asegúrate de que:

• El atacante ya no tiene acceso.
• La vulnerabilidad inicial está corregida.
• Las credenciales comprometidas han sido cambiadas.
• Los backups son anteriores al ataque.
• Las copias no contienen malware.
• El entorno de restauración está limpio.

NIST recomienda identificar la versión correcta del backup, libre de código malicioso, antes de restaurar datos.

---

Paso 10: documenta todo

Registra:

• Qué ocurrió.
• Cuándo se detectó.
• Sistemas afectados.
• Acciones realizadas.
• Personas implicadas.
• Decisiones tomadas.
• Evidencias.
• Costes.
• Tiempo de recuperación.
• Lecciones aprendidas.

Esta documentación será útil para seguros, denuncias, auditorías, clientes y mejora interna.

---

Herramientas recomendadas para proteger una pyme

No existe una única herramienta que lo resuelva todo. Lo recomendable es combinar varias.

Protección endpoint

Opciones habituales:

• Microsoft Defender for Business.
• Bitdefender GravityZone.
• Sophos Endpoint.
• ESET PROTECT.
• CrowdStrike Falcon.
• SentinelOne.
• Trend Micro.
• Malwarebytes for Business.

Backup

Opciones habituales:

• Acronis Cyber Protect.
• Veeam.
• Datto.
• Backblaze B2.
• Wasabi.
• Synology C2.
• IDrive Business.
• CrashPlan.
• Microsoft 365 Backup.
• Soluciones gestionadas por MSP.

Gestor de contraseñas

Opciones habituales:

• 1Password Business.
• Bitwarden Teams/Enterprise.
• Keeper Business.
• Dashlane Business.
• NordPass Business.

Seguridad de correo

Opciones habituales:

• Microsoft Defender for Office 365.
• Google Workspace security.
• Proofpoint.
• Mimecast.
• Barracuda.
• Sophos Email.
• Check Point Harmony Email.

Monitorización y respuesta

Opciones:

• EDR.
• XDR.
• SIEM.
• MDR.
• SOC externo.
• Monitorización gestionada por proveedor IT.

Para una pyme sin equipo técnico, puede ser mejor contratar un servicio gestionado de ciberseguridad que comprar herramientas avanzadas y no revisarlas.

---

Plan mínimo de protección contra ransomware para una pyme

Si tienes pocos recursos, empieza por lo esencial.

Nivel básico

Imprescindible para cualquier empresa:

• Copias automáticas.
• Copia offline o inmutable.
• Pruebas de restauración.
• Antivirus empresarial.
• Actualizaciones.
• MFA en correo.
• MFA en accesos remotos.
• Gestor de contraseñas.
• Formación básica.
• Bloqueo de macros.
• Revisión de usuarios antiguos.
• Plan de respuesta sencillo.

Nivel intermedio

Para empresas con varios empleados:

• EDR.
• Backup cloud + local.
• Segmentación básica.
• Protección avanzada de correo.
• Control de permisos.
• Revisión mensual de vulnerabilidades.
• Políticas de acceso remoto.
• Cifrado de portátiles.
• Simulaciones de phishing.
• Registro de eventos.
• Acceso de proveedores controlado.

Nivel avanzado

Para empresas con datos sensibles:

• XDR o MDR.
• SIEM.
• Copias inmutables.
• Zero Trust.
• Gestión de parches.
• Hardening de servidores.
• Auditorías periódicas.
• Pruebas de respuesta.
• Escaneos externos.
• Gestión de identidades.
• DLP.
• Plan formal de continuidad.
• Ejercicios de recuperación.

---

Checklist de prevención contra ransomware

Copias de seguridad

• ¿Hay backup automático?
• ¿Hay copia fuera de la empresa?
• ¿Hay copia offline o inmutable?
• ¿Los backups están cifrados?
• ¿Se prueban restauraciones?
• ¿Hay retención suficiente?
• ¿Los backups usan credenciales separadas?
• ¿Hay alertas si falla una copia?

Accesos

• ¿Hay MFA?
• ¿Hay gestor de contraseñas?
• ¿Se eliminan usuarios antiguos?
• ¿Los administradores tienen cuentas separadas?
• ¿Los proveedores tienen acceso limitado?
• ¿RDP está cerrado a internet?
• ¿VPN está actualizada?

Equipos

• ¿Todos tienen protección endpoint?
• ¿Hay EDR?
• ¿Los usuarios no son administradores?
• ¿Se actualiza el sistema?
• ¿Se bloquea software no autorizado?
• ¿Se controla USB?

Correo

• ¿Hay filtro antiphishing?
• ¿SPF, DKIM y DMARC están configurados?
• ¿Se bloquean adjuntos peligrosos?
• ¿Las macros están desactivadas?
• ¿Los usuarios saben reportar correos sospechosos?

Red

• ¿Hay segmentación?
• ¿La WiFi de invitados está separada?
• ¿Los servidores están protegidos?
• ¿Los backups están aislados?
• ¿Hay firewall interno o reglas de acceso?

Respuesta

• ¿Existe plan de respuesta?
• ¿Hay contactos de emergencia?
• ¿Se sabe quién decide?
• ¿Hay procedimiento de aislamiento?
• ¿Hay procedimiento de restauración?
• ¿Se ha probado el plan?

---

Errores comunes que dejan a una empresa expuesta

Tener backups conectados siempre

Si el ransomware alcanza el disco o repositorio de backup, puede cifrarlo también.

No probar restauraciones

Creer que tienes backup no significa que puedas recuperar.

Usar cuentas compartidas

Si todos usan la misma cuenta, no puedes saber quién hizo qué ni revocar accesos bien.

No activar MFA

Una contraseña robada sin MFA puede abrir la puerta a toda la empresa.

Exponer RDP a internet

Es una de las prácticas más peligrosas si no está protegida adecuadamente.

No actualizar VPN o firewall

Muchas intrusiones empiezan por dispositivos perimetrales sin parchear.

Dar permisos de administrador a todos

Un usuario con privilegios excesivos puede facilitar la propagación.

No formar a empleados

La tecnología ayuda, pero un clic puede iniciar el ataque.

No tener plan de respuesta

Durante un incidente no hay tiempo para improvisar.

Pagar sin asesoramiento

Puede no servir de nada, generar más extorsión y complicar la situación legal.

---

Ejemplo práctico de estrategia para una empresa pequeña

Imaginemos una asesoría con 12 empleados, Microsoft 365, un servidor de archivos, software fiscal, portátiles y teletrabajo.

Medidas recomendadas

1. Activar MFA en Microsoft 365.
2. Proteger todos los equipos con EDR.
3. Hacer backup del servidor cada pocas horas.
4. Tener copia local rápida y copia cloud inmutable.
5. Hacer backup independiente de Microsoft 365.
6. Desactivar RDP expuesto.
7. Usar VPN con MFA.
8. Separar permisos por departamentos.
9. Implantar gestor de contraseñas.
10. Configurar SPF, DKIM y DMARC.
11. Bloquear macros.
12. Formar al equipo en phishing.
13. Revisar usuarios antiguos.
14. Crear plan de respuesta.
15. Probar restauración cada trimestre.

---

Ejemplo práctico para una tienda online

Una tienda online con WooCommerce, almacén, atención al cliente y campañas de publicidad necesita proteger tanto equipos internos como web.

Medidas recomendadas

1. Backup diario de web y base de datos.
2. Backup antes de actualizar plugins.
3. Copia externa al hosting.
4. WAF en la web.
5. Actualizar WordPress, plugins y temas.
6. MFA para administradores.
7. Limitar usuarios admin.
8. Protección endpoint en equipos.
9. MFA en correo y herramientas de pago.
10. Copias de pedidos y clientes.
11. Monitorización de cambios.
12. Plan de recuperación de tienda.
13. Protección de cuentas publicitarias.
14. Revisión de accesos de agencia y proveedores.

---

Ejemplo práctico para una clínica

Una clínica maneja datos especialmente sensibles, por lo que necesita medidas reforzadas.

Medidas recomendadas

1. Cifrado de portátiles.
2. MFA en correo y software clínico.
3. Backup cifrado e inmutable.
4. Control estricto de permisos.
5. EDR en todos los equipos.
6. Segmentación de red.
7. WiFi de pacientes separada.
8. Formación específica.
9. Plan de brecha de datos.
10. Revisión de proveedores.
11. Copias probadas.
12. Registro de accesos.
13. Protección de historias clínicas.
14. Procedimiento de notificación.

---

Preguntas frecuentes sobre ransomware

¿Qué es el ransomware?

Es un tipo de malware que bloquea o cifra archivos y exige un rescate para recuperarlos. En ataques modernos, también puede implicar robo de información y amenaza de publicación.

¿El ransomware afecta solo a grandes empresas?

No. Las pymes suelen ser objetivos atractivos porque muchas tienen menos medidas de seguridad, menos personal técnico y copias de seguridad débiles.

¿Un antivirus evita el ransomware?

Ayuda, pero no basta. Debe combinarse con copias seguras, actualizaciones, MFA, formación, control de accesos y plan de respuesta.

¿Qué es lo más importante para protegerse?

Las tres medidas más críticas son: copias de seguridad offline o inmutables probadas, MFA en accesos críticos y actualización constante de sistemas.

¿Debo pagar el rescate?

No es recomendable pagar sin asesoramiento. Pagar no garantiza recuperar archivos ni evita filtraciones. INCIBE advierte que el pago no garantiza la recuperación ni que no haya nuevas exigencias.

¿Qué hago si aparece una nota de rescate?

Aísla el equipo, no borres evidencias, avisa al responsable, contacta con soporte especializado y revisa el alcance antes de restaurar.

¿Puedo recuperar archivos sin pagar?

Depende de la variante, de si hay copias limpias y de si existe herramienta de descifrado. En muchos casos, la recuperación depende de tener backups.

¿Las copias en la nube protegen contra ransomware?

Sí, si tienen versionado, retención, MFA, aislamiento e inmutabilidad. Si solo sincronizan archivos cifrados, pueden no ser suficientes.

¿Google Drive, OneDrive o Dropbox son backup?

Son herramientas de sincronización y almacenamiento. Pueden ayudar, pero no sustituyen necesariamente una estrategia de backup empresarial con retención, restauración e inmutabilidad.

¿Qué es una copia inmutable?

Es una copia que no puede modificarse ni eliminarse durante un periodo definido. Es muy útil para evitar que el ransomware destruya backups.

¿Qué es EDR?

EDR significa Endpoint Detection and Response. Permite detectar, investigar y responder a actividad sospechosa en equipos y servidores.

¿Qué es doble extorsión?

Es cuando los atacantes cifran datos y, además, amenazan con publicar información robada si la empresa no paga.

¿Cómo sé si han robado datos?

Se necesita análisis técnico: logs, tráfico de red, actividad de cuentas, herramientas usadas por atacantes y evidencias de exfiltración.

¿Tengo que avisar a clientes?

Depende de si hay datos personales o información sensible afectada. Debe evaluarse con asesoría legal o responsable de protección de datos.

¿Cada cuánto debo probar los backups?

Como mínimo, cada trimestre en una pyme. En sistemas críticos, debería probarse con más frecuencia.

¿Qué empleados deben recibir formación?

Todos. Administración, ventas, dirección, soporte, técnicos, recepción y cualquier persona con correo o acceso a sistemas.

¿Qué hago si un empleado abre un archivo sospechoso?

Debe avisar de inmediato. El equipo puede aislarse, analizarse y revisar si hubo ejecución de malware o robo de credenciales.

¿Cómo protejo el teletrabajo?

Con MFA, VPN segura, equipos gestionados, EDR, cifrado de disco, actualizaciones, gestor de contraseñas y políticas claras.

¿Qué sistemas debo proteger primero?

Correo, copias de seguridad, servidores, ERP, CRM, facturación, bases de datos, VPN, acceso remoto y cuentas administrativas.

¿Cuánto cuesta proteger una pyme?

Depende del tamaño y riesgo. Una pyme puede empezar con medidas básicas de bajo coste, pero debería invertir en backup serio, MFA, protección endpoint y soporte técnico. El coste de no protegerse suele ser mucho mayor que el de prevenir.

¿Cuál es la mejor estrategia contra ransomware?

La mejor estrategia combina prevención, detección y recuperación: backups seguros, MFA, actualizaciones, EDR, formación, mínimos privilegios, segmentación, monitorización y un plan de respuesta probado.

Si quieres conocer otros artículos parecidos a Cómo proteger tu empresa contra ransomware: guía práctica puedes visitar la categoría Blog.