Ransomware 2026: Respuesta a incidentes en los primeros 60 minutos

1 min de lectura

El ransomware sigue siendo la mayor amenaza cibernética para las empresas. Cuando ocurre el peor escenario, los primeros 60 minutos determinan el alcance del daño. Una guía para la fase crítica entre la detección y el contención.

En resumen

La primera hora es decisiva: cuanto antes se contenga, menor será el daño. El tiempo de ruptura es de 48 minutos.
No pagar: el BSI y el BKA desaconsejan el pago de rescates – financian a los delincuentes y no garantizan la descifrado.
Aislamiento antes del análisis: desconectar inmediatamente los sistemas afectados de la red, no apagarlos.
Preparar la comunicación: comunicación de crisis, obligaciones de notificación (NIS2: 24 h) y notificación a la aseguradora.
Las copias de seguridad son la clave: quien prueba regularmente y guarda copias de seguridad offline sobrevive al ransomware sin pagar rescate.

Minuto 0-15: Detección y alarma

Se detecta el ataque – a través de una alarma del sistema EDR, por empleados que informan de archivos cifrados o por una demanda de rescate en la pantalla. Ahora cada minuto cuenta.

Medidas inmediatas: alertar al responsable de seguridad informática, activar el equipo de respuesta a incidentes, documentar la marca de tiempo y las primeras observaciones. No entrar en pánico – seguir el plan preparado.

Minuto 15-30: Aislamiento y contención

Desconectar inmediatamente los sistemas afectados de la red – retirar los cables de red, desactivar el Wi-Fi. Importante: no apagar los sistemas, ya que los datos volátiles en la RAM son valiosos para el análisis forense. Aislar segmentos de red, bloquear accesos VPN, desactivar cuentas privilegiadas preventivamente.

Verificar si los sistemas de copia de seguridad están afectados. Si no es así: proteger inmediatamente contra escritura. Los atacantes apuestan deliberadamente por las copias de seguridad para fortalecer su posición de negociación.

Minuto 30-45: Evaluación de la situación y comunicación

Evaluación inicial: ¿Qué sistemas están afectados? ¿Qué familia de ransomware? ¿Hay indicadores de compromiso (IoCs)? ¿Se han exfiltrado datos (doble extorsión)?

Iniciar la comunicación de crisis: informar a la dirección, activar proveedores externos de servicios forenses, contactar con un abogado (obligaciones de notificación!). En caso de afectación por NIS2: el plazo de 24 horas para la primera notificación al BSI comienza a contar.

Minuto 45-60: Forense y planificación de la recuperación

Iniciar la seguridad forense: imágenes de almacenamiento, datos de registro, capturas de red. Identificar el vector de ataque – correo electrónico de phishing, accesos RDP comprometidos, ataque de cadena de suministro? Planificar la recuperación en paralelo: verificar la integridad de la copia de seguridad, preparar un entorno de sala limpia, priorizar los sistemas según el impacto empresarial.

Lo que nunca se debe hacer

Pagar el rescate: financia a los delincuentes, no hay garantía de descifrado, convierte a la empresa en un objetivo de repetición.

Apagar los sistemas: destruye las pruebas forenses en la RAM.

Contactar con los atacantes: no sin coordinación con expertos forenses y abogados.

Comunicación de pánico: no hacer declaraciones públicas precipitadas sin coordinación con PR y el departamento legal.

La preparación es fundamental

La primera hora no se puede improvisar. Las empresas necesitan un plan de respuesta a incidentes probado con roles claros, listas de contactos (también disponibles offline), copias de seguridad verificadas regularmente y almacenadas offline, proveedores de servicios forenses contratados y una póliza de seguro cibernético con condiciones claras.

Datos clave de un vistazo

Tiempo de ruptura: 48 minutos (CrowdStrike 2025)

Vector más frecuente: phishing, accesos RDP comprometidos, vulnerabilidades

Doble extorsión: más del 70 % de los ataques de ransomware también exfiltran datos

Obligación de notificación NIS2: 24 horas para la primera notificación al BSI

Recomendación del BSI: no pagar el rescate

Regla de copia de seguridad: 3-2-1 (3 copias, 2 medios, 1 fuera del sitio/ofline)

Hecho: el tiempo medio de inactividad después de un ataque de ransomware es de 23 días, según Sophos.

Hecho: según Chainalysis, las empresas pagaron en todo el mundo más de 1.100 millones de dólares estadounidenses en rescates de ransomware en 2025 – a pesar de una menor disposición a pagar.

Preguntas frecuentes

¿Debería pagarse el rescate?

El BSI y el BKA desaconsejan firmemente hacerlo. Los pagos financian a los delincuentes, no garantizan el descifrado y convierten a la empresa en un objetivo preferente de repetición. En su lugar: utilizar copias de seguridad, contratar servicios forenses, presentar una denuncia.

¿Con qué rapidez debemos notificar el incidente?

Según NIS2: 24 horas para la primera alerta al BSI, 72 horas para el informe detallado. También las autoridades de protección de datos (DSGVO, 72 h) y las aseguradoras cibernéticas tienen sus propios plazos de notificación.

¿Por qué no se deben apagar los sistemas?

En la RAM se encuentran datos volátiles como claves de cifrado, conexiones de red activas e información de procesos. Apagar destruye estas pruebas, que son decisivas para la forense y posiblemente para el descifrado.

¿Cómo se protegen las copias de seguridad del ransomware?

Regla 3-2-1: tres copias en dos medios diferentes, uno de ellos offline o inmutable. Las copias de seguridad desconectadas son la mejor protección. Además: pruebas regulares de restauración y credenciales de copia de seguridad separadas.

¿Cuánto cuesta un ataque de ransomware?

Según IBM, un incidente de ransomware cuesta de media 4,5 millones de euros – sin rescate. Los costes se deben a la interrupción del servicio, la forense, la asesoría legal, la notificación a los clientes y el daño a la reputación.