Ransomware: qué hacer

Aísla el equipo infectado de inmediato para evitar el movimiento lateral del ransomware hacia servidores o backups.

• Desenchufa el cable Ethernet.
• Desactiva el Wi-Fi y el Bluetooth.
• No apagues el equipo por completo si es posible, ya que la memoria RAM puede contener claves de cifrado volátiles útiles para expertos forenses. Listo, cuando: El dispositivo no tiene comunicación con ningún otro sistema o red externa.

Utiliza un dispositivo limpio para acceder a id-ransomware.malwarehunterteam.com.

• Sube la nota de rescate (archivo .txt o .html).
• Sube un archivo cifrado de muestra.
• El sistema identificará si te enfrentas a variantes como LockBit, BlackCat o Phobos. Listo, cuando: Has identificado el nombre técnico de la cepa de ransomware que te ha atacado.

Accede al portal oficial nomoreransom.org (iniciativa de Europol e Interpol).

• Introduce el nombre de la variante identificada.
• Descarga el decryptor oficial si está disponible (ej. para variantes antiguas de GandCrab o Shade).
• Nunca pagues el rescate, ya que no garantiza la recuperación y financia el cibercrimen. Listo, cuando: Has verificado la existencia de una clave de descifrado pública para tu caso.

En España, el Instituto Nacional de Ciberseguridad (INCIBE) ofrece una línea de ayuda gratuita.

• Llama al 017 para recibir asesoramiento técnico especializado.
• Sigue sus instrucciones para la preservación de evidencias y gestión del incidente. Listo, cuando: Has hablado con un técnico del INCIBE y tienes una hoja de ruta oficial.

Presenta una denuncia formal ante la Unidad de Delincuencia Especializada y Violenta (UDEV) o el Grupo de Delitos Telemáticos.

• Aporta capturas de pantalla, la nota de rescate y el ID del incidente proporcionado por el INCIBE.
• Esto es esencial para reclamaciones de seguros y cumplimiento de la RGPD si hubo fuga de datos. Listo, cuando: Posees el resguardo oficial de la denuncia interpuesta.

Antes de intentar recuperar archivos, debes asegurar que el atacante ya no tiene acceso.

• Realiza un escaneo profundo con Malwarebytes Premium o Kaspersky Endpoint Security.
• Elimina troyanos de acceso remoto (RAT) y binarios del ransomware. Listo, cuando: El software antivirus confirma que el sistema está 100% libre de amenazas activas.

Recupera la información desde tus copias de seguridad siguiendo el estándar de 2025:

• 3 copias de datos.
• 2 soportes diferentes.
• 1 copia off-site (nube).
• 1 copia inmutable o offline (ej. en Backblaze B2 con Object Lock).
• 0 errores tras verificar la integridad del restore. Listo, cuando: Los archivos críticos son accesibles y su integridad ha sido verificada.

Sustituye el antivirus tradicional por una solución de Endpoint Detection and Response (EDR).

• Configura SentinelOne Singularity o CrowdStrike Falcon.
• Estos sistemas utilizan IA para detectar comportamientos de cifrado sospechosos en tiempo real y pueden realizar un Rollback automático de archivos cifrados. Listo, cuando: El agente EDR está desplegado y activo en todos los dispositivos.

El 80% de los ataques de ransomware entran por credenciales robadas.

• Configura Microsoft Authenticator o utiliza llaves físicas Yubikey.
• Aplícalo especialmente en VPN, correo electrónico y accesos de administrador. Listo, cuando: Todas las cuentas críticas requieren un segundo factor de forma obligatoria.

Crea recordatorios recurrentes para revisar la salud de tu infraestructura de identidad.

• Revisa permisos de Active Directory / Entra ID.
• Realiza un simulacro de restauración completo cada 3 meses.
• Próximas fechas sugeridas: 1 de abril, 1 de julio, 1 de octubre. Listo, cuando: Los recordatorios están configurados en el calendario corporativo.