Respuesta a incidentes

Runbook de respuesta a ransomware (primeros 60 min)

2580 views

98% helpful

In this guide

Los primeros 60 minutos lo determinan todoMinuto 0-15: ContenerMinuto 15-30: PreservarMinuto 30-60: NotificarLa pregunta de la negociación

Los primeros 60 minutos lo determinan todo

Los datos de Coveware 2025 muestran que el 78% de las pérdidas financieras por ransomware se determinan por decisiones tomadas en la primera hora. Las organizaciones con runbooks ensayados pagan una media de 72.000 € por incidente; las que no, pagan 410.000 €. Este runbook es el guion que su responsable de TI lee cuando entra la llamada a las 03:00.

Tiempo medio de presencia antes del cifrado: 5,5 días (la detección sola no es suficiente)
Demanda mediana de rescate contra PYMEs UE en 2025: 380.000 €
Tiempo medio de inactividad para PYMEs sin runbook: 22 días
Tiempo medio de inactividad con runbook ensayado: 4,5 días

Minuto 0-15: Contener

El primer cuarto de hora va únicamente sobre detener la propagación. No investigar, no negociar, no llamar a prensa. Contener.

Desconecte hosts afectados de la red (saque cable o deshabilite NIC — NO apague)
Deshabilite cuentas de usuario afectadas en AD/Entra ID
Bloquee dominios C2 de ransomware en firewall (use feed IoC de Bitdefender GravityZone)
Suspenda todas las sesiones VPN
Aísle repositorios de copias de seguridad — asuma que también son objetivo

Minuto 15-30: Preservar

La preservación de evidencias determina si puede recuperarse, perseguir, reclamar al seguro y cumplir el RGPD Artículo 33. Saltarse este paso le cuesta los cuatro.

Tome imagen de memoria de un host afectado (FTK Imager, Magnet RAM Capture)
Snapshot de todas las VM afectadas antes de cualquier remediación
Exporte logs completos de EDR, firewall, AD, M365 — a almacenamiento inmutable
Fotografíe cualquier nota de rescate y estado de pantalla
Abra ticket de incidente formal con timestamp de detección (esto ancla los relojes RGPD/NIS2)

Minuto 30-60: Notificar

El RGPD Artículo 33 exige notificación en 72 horas desde el conocimiento. NIS2 Artículo 23 exige la alerta temprana en 24 horas. Ambos relojes empezaron en el minuto 0 — tiene menos tiempo del que cree.

Interno: CEO, DPD, asesor legal, responsable de comunicación
Externo: línea directa del ciberseguro (disparadores de cobertura suelen exigir notificación en 24h)
Reguladores: prepare borrador RGPD Art.33 y alerta temprana NIS2 Art.23 (no envíe aún — coordine con asesor)
Clientes: prepare declaración de espera; sin detalles hasta evaluar impacto
Fuerzas del orden: España — INCIBE-CERT y Policía Nacional UCC

La pregunta de la negociación

Si negociar o no es una decisión del consejo, no de TI. Pero el responsable de TI debe dar al consejo los inputs correctos. Las directrices modernas de agencias UE y de la Recomendación Ransomware del Consejo UE 2024 son inequívocas.

Riesgo de sanciones: pagar a un grupo sancionado (afiliados LockBit, REvil, ciertos grupos RPDC) es un delito penal separado
Tasa de éxito de descifrado al pagar: solo el 61% entrega descifrador funcional (Coveware 2025)
Tasa de re-ataque al pagar: 31% sufre un segundo incidente en 12 meses
Cobertura del seguro: la mayoría de pólizas ahora exigen aprobación previa antes del pago
Financiación/subvenciones públicas: su recepción puede prohibir el pago por completo

¿Necesita ayuda?

Contáctenos para obtener asistencia personalizada con este problema.

Volver a Recursos Contactar