Contactar

El ransomware no es solo cosa de multinacionales. Autónomos y pymes son objetivos atractivos: menos segmentación, copias mal hechas, un solo administrador para todo y prisa por «volver a abrir». En seguridad el patrón se repite: alguien abre un adjunto, un escritorio remoto queda expuesto con contraseña floja, o un usuario con permisos de dominio ejecuta un instalador falso.

Lo que sigue asume un negocio pequeño en España, 2026. No sustituye a un abogado ni a un perito si tu sector exige denuncia formal o hay datos de salud/menores implicados. Sí te da un orden de acciones para no empeorar el desastre.

Señales típicas

  • Extensiones nuevas en muchos archivos (.locked, .encrypted, o nombres raros).
  • Un fichero README, HOW_TO_DECRYPT o similar en cada carpeta.
  • Unidades de red inaccesibles o lentísimas mientras «algo» recorre el servidor.
  • Copias de seguridad que de pronto fallan o aparecen cifradas también.
  • CPU/disco al máximo en un equipo que nadie está usando.

Si solo un archivo no abre, puede ser corrupción local. Si son cientos en red, actúa como incidente.

Minuto 0–30: contener

  1. Desconecta de la red el equipo sospechoso: cable fuera, WiFi off. No lo apagues aún si necesitas preservar evidencia en memoria y no sabes forense; en pyme pequeña, prioriza parar la propagación. Si el cifrado sigue activo, desconectar manda.
  2. No apagues el NAS o el servidor de backups a lo loco si puedes aislarlo: quita su cable de red o desactiva el share. El objetivo es que el malware deje de escribir.
  3. Avisa al resto: nadie abre adjuntos, nadie conecta discos USB «para mirar», nadie paga todavía.
  4. Cambia contraseñas críticas desde un dispositivo limpio: correo admin, panel del hosting, banca, Microsoft 365. Asume que pudieron robar credenciales.

No reformatees el primer PC que veas «para limpiar» si es la única copia de logs o del note de rescate: fotografía la pantalla del mensaje y guarda una copia del note en un USB que no vuelvas a conectar a la red infectada.

Qué no hacer

  • No pagues de inmediato. Pagar no garantiza descifrado, financia delito y te marca como pagador. Valóralo solo con asesoramiento serio si no hay backup y el negocio se muere — y aun así es un mal negocio estadístico.
  • No subas archivos cifrados a webs dudosas de «descifrado gratis» sin verificar que son proyectos conocidos (No More Ransom y similares).
  • No conectes el disco de backup al PC infectado «para restaurar ya». Puedes cifrar también la copia.
  • No borres todo antes de saber si hay copia limpia verificada.

Horas 1–24: evaluar daño y copias

Preguntas clave:

  • ¿Qué equipos y shares están tocados?
  • ¿Hay copia offline o inmutable de antes del incidente? (snapshots de NAS, B2, cinta, disco desconectado)
  • ¿El ransomware tocó también OneDrive/Dropbox versionados?
  • ¿Hay datos personales de clientes afectados? (RGPD: valorar notificación)

Si tienes copias según la regla 3-2-1 y has probado restores, el camino es: máquina limpia → restaurar → rotar secretos → endurecer. Si la «copia» era solo sincronización en el mismo PC, puede estar cifrada también: mira versionado en la nube (historial de archivos de OneDrive/Google Drive a veces salva).

Restaurar con cabeza

  1. Prepara un equipo limpio (formateado o nuevo) con sistema actualizado.
  2. Restaura desde la copia anterior al cifrado, no desde la de hace diez minutos si el malware llevaba horas.
  3. No restaures scripts de inicio o tareas programadas ciegamente: pueden reactivar el malware.
  4. Verifica que abren facturas, base de datos y correo antes de reabrir al público.
  5. Documenta qué se perdió (horas o días de trabajo) para el seguro si lo tienes.

Si no hay copia usable, valora herramientas de descifrado conocidas para esa familia de ransomware y, en paralelo, reconstrucción manual. Un profesional de seguridad o infraestructura ayuda a no restaurar en bucle el mismo vector.

Credenciales y acceso remoto

Muchos ransomware entran por RDP expuesto a internet con contraseña débil, o por VPN vieja. Tras el incidente:

  • Cierra RDP a internet; si hace falta acceso, VPN o túnel con MFA.
  • Revisa usuarios locales y de Microsoft 365: elimina cuentas fantasma.
  • Activa MFA en correo y paneles.
  • Rota claves de NAS, WiFi admin y proveedores.

Para teletrabajo sensato, ver VPN básica para autónomos.

¿Hay que denunciar?

En España puedes denunciar en Policía/Guardia Civil (grupos de delitos telemáticos). Útil para seguros y para constancia. Si hay datos personales afectados en volumen o riesgo alto, el RGPD puede exigir notificar a la AEPD y, en su caso, a interesados. No improvises el texto legal: si el impacto es serio, habla con alguien que sepa privacidad. La política de privacidad de este sitio no es tu política: la tuya debe reflejar tu tratamiento.

Después: endurecer sin teatro

Lista mínima post-incidente para una pyme:

  • Copias 3-2-1 con al menos una copia no montada 24/7 o inmutable.
  • Prueba de restore calendarizada.
  • Usuarios sin admin para el día a día.
  • Actualizaciones de Windows y del firewall/router.
  • Filtro antiphishing básico y formación de cinco minutos: «no abras este tipo de adjuntos».
  • Segmentar: el PC de navegación no necesita escritura al share de backups.

No necesitas un SOC de veinte personas. Necesitas no repetir el mismo agujero.

Costes reales (orientativos)

Un día cerrado de un comercio pequeño puede superar de largo el coste anual de backups serios. Recuperar sin copia puede ser semanas. Pagar el rescate: miles o decenas de miles, sin garantía. Por eso la prevención aburrida gana: es el mismo mensaje que en copias de seguridad.

Checklist de las primeras horas

  • ¿Aislaste los equipos afectados?
  • ¿Fotografiaste el note de rescate?
  • ¿Evitaste conectar backups al PC infectado?
  • ¿Sabes qué copia es anterior al ataque?
  • ¿Rotaste contraseñas admin desde un sitio limpio?
  • ¿Hay datos personales que exijan valoración RGPD?

Phishing: cómo suele entrar

El vector más común en pymes pequeñas no es un zero-day: es un correo que parece de Correos, Hacienda, el banco o «el departamento IT» con un ZIP o un enlace a un falso inicio de sesión. Una vez dentro, el malware espera, roba credenciales y cifra de madrugada. Formación de cinco minutos (enseñar a mirar el remitente real y a no habilitar macros) reduce más riesgo que comprar la suite antivirus más cara del escaparate.

Si el ataque empezó por una cuenta de Microsoft 365 o Google comprometida, cierra sesiones, rota contraseñas y revisa reglas de reenvío ocultas en el buzón — los atacantes dejan reenvíos para seguir robando correo tras el «arreglo». Relacionado con endurecer el correo en Microsoft 365 básico y correo con dominio propio.

Seguro cibernético y proveedores

Si tienes póliza, llama pronto: a veces exigen no destruir evidencia y usar peritos concretos. Si un proveedor (hosting, MSP, contable en la nube) está implicado, documenta fechas y tickets. No asumas que «la nube ya tiene backup»: pregunta retención, versionado y si puedes restaurar a una fecha anterior al cifrado.

Límites de esta guía

No cubro negociación con criminales ni análisis forense de memoria. Si facturas mucho, tienes seguro cibernético o datos sanitarios, llama a quien corresponda en tu póliza y no improvises solo con un tutorial. Para el resto de autónomos y pymes, contención + restore limpio + cerrar el agujero es el 90 % del trabajo útil.

Tampoco prometo recuperación total de cada familia de ransomware: algunas no tienen descifrador público. La diferencia entre un susto y un cierre la marca casi siempre la copia verificada de antes del ataque — aburrido, barato comparado con el rescate, y lo que deberías tener ya.

¿Necesitas ayuda para contener o restaurar? Contacto · Seguridad · Soporte remoto