En 2024 Chile registró más de 6.400 millones de intentos de ciberataque. El ransomware es la amenaza que más daño opera: cifra los archivos de tu empresa, te deja sin acceso y te pide dinero para recuperarlos. El CSIRT de Gobierno reportó más de 20.000 incidentes de ciberseguridad ese año. Y el 70% de las pymes chilenas no tiene defensas adecuadas para enfrentarlo.

Esta guía tiene dos partes: qué hacer si ya está pasando, y cómo evitar llegar a ese punto.

El costo promedio de recuperación de un ataque de ransomware en América Latina supera los USD 200.000 para medianas empresas. El tiempo promedio de inactividad es de 21 días. No es un número abstracto: son tres semanas sin operar.

Las primeras 24 horas si el ataque ya ocurrió

Primeros 60 minutos: aislar y preservar

  1. Desconectar los equipos afectados de la red inmediatamente. No apagar, solo desconectar del cable o del Wi-Fi. Apagar puede destruir evidencia forense valiosa.
  2. Desconectar también los dispositivos de respaldo que estén conectados a la red. El ransomware busca activamente los backups para cifrarlos también.
  3. Fotografiar o capturar pantalla de los mensajes que aparecen en los equipos infectados. Es evidencia para la denuncia y para identificar la variante del ataque.
  4. Identificar el alcance: ¿cuántos equipos están afectados? ¿Llegó al servidor? ¿Al correo? ¿A qué archivos tenía acceso el equipo infectado?

Primera hora: avisar a las personas correctas

  • Informar al gerente o directivo responsable de TI. No tomar decisiones unilaterales sobre pagar el rescate.
  • Contactar al proveedor TI de confianza para iniciar la respuesta técnica.
  • Si eres prestador de servicios esenciales bajo la Ley 21.663: tienes 3 horas para notificar al CSIRT Nacional (csirt.gob.cl).
  • No comunicar el incidente públicamente hasta tener un diagnóstico claro.

Antes de las 24 horas: evaluar opciones de recuperación

  1. Identificar si existen respaldos limpios (offline o en nube con versiones anteriores) desde antes del ataque.
  2. Consultar nomoreransom.org: un repositorio mantenido por Europol y la industria de seguridad con herramientas gratuitas de descifrado para cientos de variantes de ransomware. Algunas veces hay solución sin pagar.
  3. No pagar el rescate sin asesoría técnica especializada. El pago no garantiza la recuperación de los datos, puede generar responsabilidades legales y financia más ataques.
  4. Denunciar a la BRICIB de la PDI o a la Fiscalía. La ley 21.459 tipifica este ataque como delito: preserva los logs y capturas de pantalla.

nomoreransom.org es gratuito y está disponible en español. Carga el mensaje de rescate o uno de los archivos cifrados y el sistema identifica la variante e indica si existe una herramienta de descifrado disponible.

Cómo no llegar a ese punto: la defensa práctica

La regla 3-2-1 para respaldos

Es el estándar mínimo aceptable para cualquier empresa con datos críticos: 3 copias de los datos, en 2 tipos de almacenamiento distintos, con 1 copia fuera de la ubicación principal (o en la nube). Además, los respaldos deben ser inmutables o estar desconectados de la red: si el ransomware puede alcanzarlos, puede cifrarlos también.

Y el punto que mucha gente olvida: hay que probar que los respaldos funcionan. Un backup que nunca se restauró es un backup del que no sabes si sirve.

Segmentación de red

Si toda tu infraestructura está en la misma red plana, un equipo comprometido puede moverse lateralmente por toda la organización. La segmentación de red divide los ambientes: los sistemas críticos no deben ser accesibles desde los computadores de usuarios generales.

MFA y parches al día

El 90% de los ataques ransomware exitosos entran por dos vectores: credenciales comprometidas (MFA lo bloquea en el 99,9% de los casos) o vulnerabilidades sin parchear. Mantener los sistemas actualizados y el MFA activo son las dos medidas de mayor impacto relativo al costo.

Capacitación real, no solo un correo de concientización

El vector más común de entrada sigue siendo el phishing: un correo con un link o un archivo que parece legítimo. La capacitación que funciona no es mandar un correo al equipo con "cuidado con los links sospechosos". Es hacer simulaciones controladas de phishing, medir quién cae y capacitar a esas personas específicamente.

Las empresas con backups correctamente configurados se recuperan de ransomware en promedio 3 veces más rápido que las que no los tienen. Y la diferencia de costo entre tener backups y no tenerlos es mínima comparada con el costo del incidente.

El ransomware no es un problema de las grandes empresas. Es un problema de cualquier empresa con datos valiosos y defensas débiles. Y en Chile, los números indican que la mayoría de las pymes sigue en esa segunda categoría.