Grupos como Phobos, Akira y LockBit siguen activos contra empresas mexicanas, y la mayoría de las víctimas comete los mismos errores en las primeras horas: apagan servidores sin documentar, borran evidencia sin querer, o intentan restaurar backups antes de confirmar que el atacante ya no tiene acceso. Aquí está el orden correcto.
Hora 0–1: Contención inmediata
El objetivo de la primera hora no es "arreglar" nada — es cortar el acceso del atacante sin destruir evidencia.
- Aísla, no apagues. Desconecta los equipos afectados de la red (cable de red o Wi-Fi), pero evita apagarlos por completo: la memoria RAM contiene evidencia forense valiosa que se pierde al apagar.
- Identifica el alcance. ¿Es un solo endpoint o ya se propagó por la red? Revisa si hay movimiento lateral hacia servidores críticos, Active Directory o backups.
- Preserva los logs. No borres ni reinicies el SIEM, firewall o EDR — ahí está la línea de tiempo del ataque.
- Notifica internamente a dirección y al equipo legal. En México, dependiendo del sector, puede haber obligaciones de notificación regulatoria.
Reiniciar servidores "para ver si ya jaló" es de los errores más costosos que vemos en campo: borra la memoria volátil y puede reactivar el cifrado si el ransomware seguía en ejecución.
Hora 1–2: Evaluación y triage
Con el ataque contenido, el equipo de DFIR debe responder tres preguntas antes de tomar cualquier decisión:
- ¿Qué variante de ransomware es? La extensión de los archivos cifrados y la nota de rescate suelen identificarla. Esto determina si existe un descifrador público conocido.
- ¿Hubo exfiltración de datos? Casi todos los grupos modernos de ransomware ("doble extorsión") roban datos antes de cifrar. Revisar tráfico saliente anómalo y conexiones a servicios de transferencia de archivos es crítico.
- ¿Los backups están limpios? Verifica que los respaldos no estén también cifrados o comprometidos antes de asumir que la recuperación será simple.
Hora 2–3: Preservación de evidencia y comunicación
Aunque decidas no pagar el rescate (recomendación general), necesitas evidencia forense sólida por tres razones: posible reclamo de seguro cibernético, obligaciones legales/regulatorias, y para entender cómo entró el atacante y cerrar esa puerta.
- Toma imágenes forenses de los sistemas afectados antes de cualquier remediación.
- Documenta la nota de rescate, el correo/wallet de contacto y el timestamp exacto del primer indicador de compromiso.
- Si tienes seguro cibernético, notifica a la aseguradora — muchas pólizas exigen contacto dentro de ventanas de tiempo específicas.
Hora 3–4: Plan de recuperación
Con el alcance claro y la evidencia preservada, se define la ruta de recuperación: restauración desde backups verificados como limpios, reconstrucción de sistemas desde cero en casos de compromiso profundo, o — solo como último recurso y con asesoría legal — evaluación de la vía de negociación.
El costo promedio de una brecha de ransomware en la región supera los $4.9M USD cuando se cuenta el tiempo de inactividad, no solo el rescate. La velocidad de contención en las primeras horas es el factor que más reduce ese costo.
Cómo prepararte antes de que pase (porque va a pasar)
El 60% de las brechas explotan vulnerabilidades con parche disponible, y el phishing sigue siendo el vector #1. Un servicio de SOC-as-a-Service con EDR y respuesta 24/7 reduce el tiempo de detección de días a minutos — que es, literalmente, la diferencia entre un incidente menor y una crisis de negocio.
¿Tu empresa sufrió un incidente o quieres prevenir uno?
Black Husk Security ofrece respuesta a incidentes (DFIR) y monitoreo 24/7 para empresas en México y LATAM.
Hablar con un experto ahora