Ciberseguridad

Cómo responder a un ataque de ransomware: protocolo paso a paso

· Alejandro Garres
← Volver al Blog

Ante un ataque de ransomware en una empresa, los pasos críticos son: aislar los equipos afectados de la red en los primeros cinco minutos, documentar el incidente, notificar al INCIBE para recibir asistencia técnica gratuita y restaurar los sistemas desde copias de seguridad limpias. Bajo ningún concepto se debe pagar el rescate ni apagar los servidores antes de documentar las evidencias.

Por qué los primeros 60 minutos de un ataque ransomware son decisivos

El ransomware no actúa en un instante: cifra los archivos de forma progresiva, avanzando por las unidades compartidas y los sistemas conectados. Cada minuto que transcurre sin aislar los equipos amplía el volumen de datos dañados y aumenta el coste de recuperación.

El INCIBE gestionó 392 ataques de ransomware en 2025, un 116% más que el año anterior, dentro de un total de 122.223 incidentes de ciberseguridad registrados en España (INCIBE, Balance de Ciberseguridad 2025). El 60% de esos incidentes afectó a PYMEs y autónomos. El coste medio de un ataque para una empresa pequeña oscila entre 35.000 y 80.000 euros, y el 60% de las PYMEs que sufren un incidente grave cierran en los seis meses siguientes (National Cyber Security Alliance, Cybersecurity Report 2024).

Estas cifras tienen una consecuencia práctica directa: el protocolo de respuesta no puede improvisarse cuando el sistema ya está cifrado. Debe existir por escrito, con responsabilidades asignadas y accesible sin necesidad de internet —porque cuando llega el ransomware, la red puede estar cortada.

Cómo responder a un ataque de ransomware en 7 pasos

Paso 1 — Detectar y confirmar el ransomware (minutos 0-5)

Los primeros signos de un ataque son inconfundibles: archivos con extensiones desconocidas (.locked, .encrypted, .crypted), mensajes de rescate en pantalla, carpetas compartidas inaccesibles o equipos que repentinamente no responden.

Antes de hacer cualquier otra cosa, confirma que se trata de ransomware y no de un fallo técnico o un error de acceso. La reacción precipitada —apagar servidores, desconectar todo sin criterio— puede destruir evidencias forenses y complicar la recuperación.

Señales de alerta adicionales que confirman el ataque:

  • Actividad inusual en el servidor de ficheros durante la noche o el fin de semana
  • Alertas del antivirus sobre archivos sospechosos en múltiples equipos simultáneamente
  • Procesos desconocidos corriendo con privilegios elevados en el administrador de tareas

Paso 2 — Aislar los sistemas afectados (minutos 5-15)

Esta es la acción más urgente. El objetivo es detener la propagación, no eliminar el malware.

Qué hacer:

  • Desconecta los equipos comprometidos del cable de red físicamente
  • Desactiva el WiFi en los dispositivos afectados
  • Revoca o suspende las sesiones VPN activas desde el panel de administración
  • Deshabilita las unidades de red compartidas en los equipos no afectados para evitar que se cifren también

Qué NO hacer:

  • No apagues los servidores todavía. La memoria RAM puede contener claves de cifrado o rastros del malware que un especialista forense puede recuperar
  • No formatees ni borres nada hasta tener el visto bueno de un especialista
  • No intentes descifrar los archivos con herramientas descargadas de internet sin verificar la variante

Si tienes un sistema de monitorización como Zabbix o una solución EDR (Endpoint Detection and Response) como Bitdefender GravityZone, consulta los logs para identificar el “paciente cero” —el primer equipo infectado— y los vectores de propagación.

Paso 3 — Activar el equipo de respuesta y documentar (minutos 15-30)

Llama al responsable IT, al gerente o director y, si aplica, al responsable legal o de cumplimiento. Asigna roles claros para evitar que varias personas tomen decisiones contradictorias:

  • IT/Técnico: gestión técnica del incidente, aislamiento y análisis forense
  • Dirección: decisiones sobre continuidad del negocio y comunicación externa a clientes o proveedores
  • Legal/Compliance: gestión de las obligaciones de notificación a la AEPD y al INCIBE

Documenta desde el primer minuto:

  • Captura de pantalla del mensaje de rescate con la hora del sistema visible
  • Listado de equipos afectados y hora exacta del descubrimiento
  • Qué equipos tenían acceso a las unidades compartidas comprometidas
  • Últimas conexiones VPN o accesos remotos registradas antes del ataque

Esta documentación es indispensable tanto para la notificación a las autoridades como para cualquier reclamación al ciberseguro.

Paso 4 — Notificar al INCIBE y evaluar obligaciones legales (primera hora)

Muchas PYMEs desconocen que el INCIBE (Instituto Nacional de Ciberseguridad) ofrece asistencia técnica gratuita ante incidentes de ciberseguridad. Su equipo de respuesta puede ayudarte a identificar la variante de ransomware, evaluar las opciones de recuperación y orientarte en los pasos siguientes sin coste.

Cómo contactar con el INCIBE:

  • Teléfono: 017 (gratuito, disponible las 24 horas)
  • Web: incibe.es/en-caso-de-incidente

Obligaciones de notificación según el tipo de empresa:

SituaciónAutoridadPlazo máximo
Datos personales afectados (cualquier empresa)AEPD72 horas desde la detección
Empresa sujeta a NIS2 (sectores críticos, >50 empleados)INCIBE / CCN-CERT24 h (alerta temprana) + 72 h (informe completo)
Fraude o extorsión con pago de rescatePolicía Nacional / Guardia CivilCuanto antes, sin plazo legal fijo

La Directiva NIS2 (Network and Information Security 2, Directiva (UE) 2022/2555) impone estas obligaciones de notificación como requisito explícito del artículo 23. Incumplir el plazo de la AEPD puede acarrear multas de hasta el 4% de la facturación global anual. Si tienes dudas sobre si aplica la NIS2 a tu empresa, la política de ciberseguridad empresarial debe haber respondido esa pregunta antes de que llegue el incidente.

Paso 5 — Evaluar el alcance real del ataque (horas 1-8)

Con los sistemas aislados, es el momento de entender qué ha pasado exactamente. Esta fase requiere experiencia forense: los errores en la evaluación pueden contaminar evidencias o comprometer sistemas que parecían limpios.

Preguntas clave a responder con un especialista:

  • ¿Qué datos están cifrados? ¿Está limitado a un servidor o ha llegado también a los backups conectados a la red?
  • ¿Hay exfiltración? Los ransomware modernos de doble extorsión copian los datos antes de cifrarlos y amenazan con publicarlos aunque se pagase el rescate
  • ¿Cuándo empezó el acceso realmente? El cifrado visible suele ser el último paso de un acceso que lleva horas o días activo
  • ¿Qué variante de ransomware es? Algunas tienen herramientas de descifrado gratuitas disponibles en el portal NoMoreRansom.org, mantenido por Europol y las principales empresas de ciberseguridad

Paso 6 — Limpiar y reconstruir los sistemas (horas 8-24)

Nunca restaures datos directamente sobre un sistema comprometido. El malware puede haber dejado puertas traseras o mecanismos de persistencia que sobreviven al borrado de archivos y reactivarán el cifrado sobre los datos restaurados.

Proceso correcto de reconstrucción:

  1. Reinstala el sistema operativo desde cero en los equipos afectados, desde medios limpios y verificados
  2. Aplica todos los parches de seguridad disponibles antes de reconectar el equipo a la red
  3. Cambia todas las contraseñas: usuarios locales, cuentas de dominio, servicios en la nube, VPN y cuentas de correo corporativo
  4. Activa o refuerza la autenticación en dos factores en todos los accesos críticos
  5. Cierra el vector de entrada del ataque antes de reconectar: puerto RDP expuesto, credenciales comprometidas, plugin vulnerable en el servidor web

¿Tu empresa no tiene un protocolo de respuesta documentado o necesita verificar que los backups son recuperables antes de que llegue el incidente? En IBERSYA diseñamos planes de ciberseguridad para PYMEs que incluyen simulacros reales de recuperación ante ransomware. Solicita una valoración sin compromiso.

Paso 7 — Restaurar desde copias de seguridad verificadas (horas 24-72)

Aquí se revela si la empresa estaba realmente preparada. Un backup que no se ha probado previamente no es una garantía —es una esperanza.

Orden de restauración recomendado:

  1. Primero los sistemas críticos para la operativa: ERP, servidor de correo, servidor de ficheros
  2. Después las estaciones de trabajo, por orden de criticidad del rol
  3. Por último, equipos auxiliares y sistemas no críticos

Verifica que la copia de seguridad que vas a restaurar es anterior al inicio real del ataque, no solo a la aparición del mensaje de rescate en pantalla. El acceso inicial puede haberse producido días antes del cifrado visible. Si usas un servicio de copias de seguridad en la nube con versionado y retención histórica, podrás retroceder hasta el punto exacto anterior a la infección con precisión de horas.

¿Pagar o no pagar el rescate?

La respuesta es no pagar. Pero conviene entender por qué con datos concretos.

Según el informe Sophos State of Ransomware 2024, solo el 56% de las empresas que pagan el rescate recupera la totalidad de sus datos. El resto recibe archivos corruptos, claves de descifrado que no funcionan o directamente ninguna respuesta tras el pago. Además:

  • Pagar no garantiza que los atacantes no publiquen los datos exfiltrados anteriormente
  • Convierte a tu empresa en un objetivo conocido y dispuesto a pagar, lo que atrae nuevos ataques en los meses siguientes
  • En algunos casos, pagar a grupos bajo sanciones internacionales puede tener implicaciones legales para la empresa
  • Financia directamente la infraestructura criminal que después atacará a otras empresas de tu sector

La única alternativa real al pago es tener copias de seguridad verificadas, con retención suficiente y almacenamiento desconectado de la red —la llamada copia “air-gap”— o en la nube con acceso por credenciales independientes del directorio corporativo comprometido.

Herramientas útiles durante y después del ataque

HerramientaPara qué sirveDónde
NoMoreRansom.orgIdentificar la variante y encontrar descifrador gratuitonomoreransom.org
INCIBE 017Asistencia técnica gratuita para empresas atacadasTeléfono 017
Bitdefender GravityZoneEDR para detectar y aislar endpoints afectadosbitdefender.es
Veeam / AcronisRestauración granular desde backups con versionado
Have I Been PwnedVerificar si credenciales corporativas están expuestashaveibeenpwned.com

Estas herramientas no sustituyen a un especialista durante el incidente activo, pero ayudan a tomar decisiones más rápidas y mejor informadas en los primeros momentos.

Errores frecuentes en la respuesta a un ataque ransomware

Apagar los servidores de inmediato. Parece lo más prudente, pero destruye la memoria RAM donde pueden estar las claves de cifrado y los rastros forenses del atacante. La acción correcta es aislar de la red, no apagar.

Intentar descifrar los archivos sin identificar la variante. Las herramientas de descifrado incorrectas pueden corromper irremediablemente los archivos cifrados. Sin identificar correctamente la variante de ransomware, el intento de descifrado causa más daño que el propio ataque.

No notificar porque “da mala imagen”. El silencio tiene coste legal (multas de la AEPD de hasta el 4% de la facturación) y operativo (perder la asistencia técnica gratuita del INCIBE). La notificación es obligatoria si hay datos personales implicados, independientemente del tamaño de la empresa.

Restaurar sobre el sistema comprometido. Restaurar los datos sin limpiar primero el sistema garantiza que el malware permanecerá activo y volverá a cifrar los archivos restaurados en pocas horas. Siempre limpiar primero, restaurar después.

No identificar el vector de entrada antes de reconectar. Sin cerrar el punto de acceso original, el mismo grupo puede volver a entrar días después. Los vectores más frecuentes en PYMEs son: el puerto RDP (Remote Desktop Protocol) expuesto a internet sin autenticación multifactor, y el phishing con credenciales robadas previamente.

No revisar los backups antes de necesitarlos. En las auditorías de seguridad que IBERSYA Consultoría S.L. realiza para PYMEs, entre el 20 y el 30% de los backups existentes presentan problemas que habrían impedido una restauración completa: errores silenciosos de rotación, backups sin probar durante meses, o copias que estaban en la misma red y quedaron cifradas junto al resto de los datos.

Preguntas frecuentes sobre ransomware

¿Hay que pagar el rescate en un ataque de ransomware?

No. Pagar el rescate no garantiza la recuperación de los datos: según el informe Sophos State of Ransomware 2024, solo el 56% de las empresas que pagan recupera toda su información, y muchas reciben archivos corruptos o incompletos. Además, pagar financia nuevas operaciones criminales y convierte a tu empresa en un objetivo conocido para ataques futuros. La única salida fiable es restaurar desde copias de seguridad limpias anteriores al ataque.

¿Es obligatorio notificar un ataque de ransomware a las autoridades en España?

Sí, en dos vías. Si el ataque afecta a datos personales, el RGPD obliga a notificar a la AEPD en un máximo de 72 horas desde que se detecta la brecha. Si la empresa está sujeta a la NIS2 (más de 50 empleados en sectores críticos), debe notificar al INCIBE en las primeras 24 horas con una alerta temprana, y enviar el informe completo en 72 horas. En cualquier caso, se recomienda contactar con el INCIBE para recibir asistencia técnica gratuita.

¿Cuánto tiempo se tarda en recuperarse de un ataque de ransomware?

Con copias de seguridad actualizadas y un protocolo definido, una PYME puede recuperar sus sistemas críticos en 24 a 72 horas. Sin backups funcionales, el proceso puede alargarse semanas o ser irreversible. Según datos de 2025, casi la mitad de las empresas españolas atacadas por ransomware se recuperaron en menos de una semana, frente al 27% del año anterior.

En IBERSYA ayudamos a PYMEs a diseñar su protocolo de respuesta ante ransomware, incluyendo simulacros de recuperación con los backups reales de la empresa para verificar que funcionan antes de necesitarlos. Si quieres saber si tu empresa podría recuperarse hoy de un ataque, cuéntanos tu situación.

Para reducir la probabilidad de que el ataque llegue a producirse, la guía de ciberseguridad para PYMEs detalla las 10 medidas esenciales que reducen drásticamente la superficie de ataque en empresas de 20 a 100 empleados.

Recursos relacionados

Siguiente paso si quieres llevar este tema al entorno real de tu empresa

Servicio Ver servicio relacionado Siguiente paso práctico para llevar este tema al entorno real de la empresa. BOFU NIS2 en España Riesgos, alcance y plan de adecuación. BOFU SOC gestionado para pymes Vigilancia, respuesta y continuidad proporcionada.

¿Necesitas ayuda con esto?

Cuéntanos tu situación y te asesoramos sin compromiso.

Teléfono 665 87 93 46
Horario Lunes a Viernes: 8:00 - 20:00
¡Te llamamos!
¿Te llamamos?

Déjanos tu teléfono y te contactamos en menos de 1 hora.

Al enviar aceptas nuestra política de privacidad.