El ransomware no avisa. Un empleado abre un adjunto, hace clic en un enlace o simplemente conecta un USB, y de repente los archivos dejan de abrirse y aparece un mensaje pidiendo dinero. En ese momento, la mayoría de empresas no sabe qué hacer.
Esta guía es para ese momento. Lo que debes hacer, en orden, en los primeros 60 minutos.
Dato: el 31% de las pymes españolas sufrió un ataque de ransomware el último año. Y más de 4 de cada 10 que pagaron el rescate no recuperaron sus datos. Fuente: Informe de Ciberpreparación Hiscox 2025.
Paso 1: desconecta, no apagues
Lo primero que tienes que hacer es aislar los equipos afectados de la red. Desconecta el cable de red o desactiva el WiFi de los ordenadores que muestran el mensaje de ransomware. No los apagues: algunos ransomwares destruyen datos al detectar un apagado forzado, y además puede haber evidencias en la memoria RAM que necesitarás más tarde.
Paso 2: identifica hasta dónde ha llegado
Revisa qué otros equipos de la red tienen archivos cifrados. Presta especial atención a las carpetas compartidas y a cualquier sistema de copias de seguridad que esté conectado a la red. Si tus backups están en un disco conectado permanentemente al ordenador infectado, probablemente también estén comprometidos.
Paso 3: llama antes de tocar nada más
Antes de intentar recuperar nada por tu cuenta, llama a tu soporte IT. Si no tienes, este es el momento de buscar uno. Tocar los archivos cifrados sin saber lo que haces puede hacer irrecuperable algo que todavía tiene solución.
Si eres cliente de BarcelonaIT, llámame directamente. Tenemos un protocolo para esto y el tiempo importa.
Paso 4: no pagues todavía
El pago del rescate no garantiza nada. Como muestra el dato de arriba, más de 4 de cada 10 empresas que pagaron se quedaron sin sus datos y sin el dinero. Antes de considerar el pago, agota todas las opciones de recuperación desde copias de seguridad limpias.
Paso 5: reporta el incidente
En España estás obligado a reportar brechas de seguridad a la AEPD en un plazo de 72 horas si el ataque ha comprometido datos personales de clientes o empleados. No reportarlo puede acarrear sanciones adicionales. También puedes denunciar ante el INCIBE llamando al 017.
La buena noticia: si tienes copias de seguridad automáticas, cifradas y desconectadas de la red, la recuperación es cuestión de horas. Ese es exactamente el tipo de backup que configuro para mis clientes.
Cómo evitar que esto pase
El ransomware casi siempre entra por tres vías: un email con adjunto malicioso, un programa sin actualizar o credenciales robadas. Las tres tienen solución antes de que ocurra el problema:
- Copias de seguridad automáticas, probadas y aisladas de la red
- Actualizaciones automáticas activadas en todos los equipos
- Verificación en dos pasos en el correo y las aplicaciones clave
- Un plan de respuesta escrito antes de que haga falta
Si no sabes si tienes alguna de estas cosas, haz el test de seguridad gratuito. Son 10 preguntas y en 5 minutos sabrás exactamente cuál es tu situación.
¿Está tu empresa preparada para un ataque?
Descubre en 5 minutos cuáles son tus puntos débiles reales. Son 10 preguntas de sí o no y el resultado es inmediato.
Haz el test de seguridad gratis