El ransomware es el tipo de ciberataque más devastador para las pymes. Cifra todos los archivos de tu empresa y exige un rescate (normalmente en criptomonedas) para devolverte el acceso. El coste medio de un ataque de ransomware para una pyme en 2025 superó los 85.000€, contando rescate, tiempo de inactividad y recuperación. Esto es lo que debes hacer.
Señales de que estás siendo atacado
- Los archivos cambian de extensión de forma masiva (aparecen extensiones extrañas como .locked, .encrypted)
- El ordenador va muy lento sin razón aparente
- Aparece un mensaje en pantalla exigiendo un pago
- No puedes abrir documentos que antes funcionaban
Qué hacer en los primeros minutos (crucial)
Si sospechas o confirmas un ataque de ransomware, actúa de inmediato:
- Desconecta el equipo afectado de la red (cable y WiFi). Esto evita que el ransomware se propague al resto de equipos
- Apaga los equipos que estén en proceso de cifrado si puedes identificarlos
- No pagues el rescate. El 40% de las empresas que pagan no recuperan sus datos, y quedan marcadas para futuros ataques
- Llama a tu proveedor IT inmediatamente. Cada minuto que pasa puede significar más datos cifrados
- Documenta todo: Haz fotos de los mensajes en pantalla, anota la hora del descubrimiento
Recuperación tras el ataque
Si tienes copias de seguridad correctamente configuradas (y verificadas), la recuperación es posible:
- Identificar el vector de entrada (cómo entró el ransomware) para cerrarlo antes de restaurar
- Limpiar o reformatear los equipos afectados
- Restaurar desde la última copia limpia (anterior al ataque)
- Verificar la integridad de los datos restaurados
Cómo prevenir un ataque de ransomware
La prevención es siempre mejor que el tratamiento:
- Firewall empresarial: Un FortiGate con filtrado de contenido bloquea la mayoría de intentos. Consulta nuestro servicio de redes y seguridad para proteger tu empresa
- Formación al equipo: El 90% de los ataques de ransomware entran por un correo de phishing que alguien abre
- Copias de seguridad inmutables: Copias que el ransomware no puede cifrar porque están en un sistema separado
- Actualizaciones al día: La mayoría de ransomware explota vulnerabilidades conocidas en sistemas sin parchear
- Autenticación multifactor: Especialmente en accesos remotos y correo corporativo
Denuncia el ataque
Estás obligado a denunciar un incidente de seguridad ante la AEPD en un plazo de 72 horas si hay datos personales afectados. En Ionia IT te ayudamos tanto en la respuesta al incidente como en la gestión de la notificación a las autoridades. Contáctanos si has sufrido un ataque o quieres reforzar la seguridad de tu empresa antes de que sea tarde.