Los primeros 60 minutos de un incidente de ransomware — playbook para CISOs

El informe Sophos State of Ransomware 2025 muestra que el tiempo medio de permanencia antes del cifrado es ahora inferior a 24 horas, y la fase de cifrado se completa en 4–18 minutos en una red PYME típica. Cuando el personal nota que los equipos se comportan de forma extraña, el cifrado ya está hecho. Lo que haga en los próximos 60 minutos determina si paga un rescate, restaura de backup o acaba en los tribunales explicando una notificación RGPD de 72 horas que omitió.

El error más caro que vemos es tratar la primera alerta como un problema de TI. Active el proceso de respuesta inmediatamente y aísle.

• Declare formalmente el incidente — nombre un Comandante de Incidente (líder TI) y un Responsable de Comunicación
• Desconecte los equipos afectados de la red (cable y Wi-Fi). NO los apague — la RAM contiene oro forense
• Deshabilite VPN y acceso remoto del segmento afectado en el firewall, no en el host
• Suspenda las cuentas de usuario comprometidas en Entra ID / AD; revoque tokens OAuth y refresh activos
• Lleve los sistemas de backup offline de inmediato — el ransomware moderno ataca primero los repositorios de backup

Necesitará la cadena forense para el seguro, el regulador y posiblemente las fuerzas del orden. Hacerlo mal invalida los pagos del ciberseguro.

• Vuelque la memoria de los equipos antes de apagarlos (winpmem, DumpIt)
• Tome snapshots de las VM afectadas a nivel de hipervisor — no escriba en ellas
• Exporte los últimos 7 días de eventos Windows, telemetría EDR, logs de firewall y de correo
• Preserve la nota de rescate exactamente — ruta, hashes, texto completo, canales de contacto
• Documente todo en una línea temporal contemporánea con sellos de tiempo y responsables

Necesita saber qué está cifrado, qué se ha exfiltrado y qué sigue en riesgo. El ransomware moderno es de doble extorsión.

• Use EDR (Bitdefender GravityZone, CrowdStrike, SentinelOne) para identificar paciente cero, ruta de movimiento lateral y cabezas de playa restantes
• Compruebe exfiltración en logs de firewall/proxy — transferencias salientes grandes a MEGA, AnonFiles, salidas Tor o almacenamiento desconocido
• Notifique a su aseguradora de inmediato — la mayoría de pólizas exigen aviso en 24h o pierde la cobertura
• Active IR externo (su retainer o, en su defecto, INCIBE-CERT, que ofrece triaje gratuito en España)
• Notifique al consejo / CEO. Documente la notificación.

El Artículo 33 RGPD le da 72 horas para notificar a la autoridad de control. El Artículo 23 NIS2 le da 24 horas para el aviso temprano. Inicie el reloj ahora, no al terminar la remediación.

• RGPD Art. 33: notificar a la AEPD en 72h si hay datos personales en riesgo
• RGPD Art. 34: notificar a los interesados sin demora si el riesgo es "alto" — habitualmente sí en ransomware con exfiltración
• NIS2 Art. 23: aviso temprano de 24h a INCIBE-CERT / CCN-CERT si es entidad esencial o importante
• PCI DSS Req. 12.10: notificar a las marcas de tarjeta y al adquirente en horas si hay datos de tarjetahabiente
• Reguladores sectoriales: financiero (SEPBLAC), sanidad, telecomunicaciones — relojes separados

Pagar o no es una decisión de consejo dirigida por tres factores: ¿tiene backups limpios?, ¿son los datos exfiltrados lo bastante sensibles para pagar por no publicación?, ¿es legal pagar en su jurisdicción? La posición ENISA (y la guía de sanciones OFAC) hace el pago muy arriesgado si el actor está en lista de sanciones — los grupos rusos más notables lo están. Genesis Dynamics nunca recomienda pagar sin revisión legal y verificación OFAC/UE de la cartera.

Cada incidente de ransomware que hemos triagado en PYMEs se traza a una de cuatro causas raíz: falta de MFA en correo, dispositivo perimetral sin parches, cuenta admin compartida con permisos excesivos o destino de backup alcanzable desde un endpoint comprometido. Las cuatro se solucionan en dos semanas por menos de €5k.

• MFA obligatorio en todo correo y cuentas admin — resistente a phishing (FIDO2/WebAuthn) para admins
• Despliegue EDR (Bitdefender GravityZone Premium mínimo) — no solo AV
• Backups en almacenamiento inmutable y aislado (S3 Object Lock, Veeam Hardened Repository, Wasabi)
• Parche el perímetro mensualmente: VPN, firewalls, gateways RDP, Exchange — y deshabilite RDP expuesto a Internet
• Ejercicio de mesa trimestral — el equipo que lo ha hecho dos veces gestiona el real en 60 minutos; el que no, tarda 6 horas

Ofrecemos un retainer de respuesta a ransomware a precio cerrado que incluye SLA remoto de 1 hora, Comandante de Incidente de guardia, stack Bitdefender + backup inmutable preinstalado y ejercicios de mesa trimestrales. Si nos llama durante la primera hora de un incidente real, ya hemos hecho el 90% del trabajo. Reserve una llamada de descubrimiento y le presupuestamos en un día laborable.