LEGALAUDIT
Cyber Coach

Ransomware

Ransomware: manual para víctimas, consumidores y pymes

Los archivos están cifrados, un README tiene instrucciones en inglés. Qué hacer en los primeros 60 minutos y las siguientes 72 horas.

15 min de lecturaExperto

Señales de alerta a reconocer

  • Archivos con nuevas extensiones (.locked, .encrypted, .lockbit, .akira, .blackcat)
  • README en cada carpeta con instrucciones de pago en Bitcoin o Monero
  • Fondo de pantalla cambiado con una cuenta atrás
  • Copias de seguridad en red inaccesibles (el ransomware moderno también cifra las copias conectadas)
  • Windows Defender y las Instantáneas de volumen desactivados
  • Sitio Tor del grupo amenazando con publicar los datos exfiltrados (doble extorsión)
  • Movimiento lateral: varias estaciones de trabajo cifradas al mismo tiempo

Qué hacer ahora

  • Desconecta los dispositivos infectados de la red (cable + Wi-Fi apagado) pero no los apagues
  • NO pagues el rescate: financias a delincuentes y a menudo no recuperarás los datos
  • Consulta No More Ransom: existen descifradores gratuitos para muchas variantes
  • Conserva la memoria volátil y los registros: vitales para el análisis forense y la atribución
  • Contacta con tu CSIRT nacional
  • Notifica a la autoridad de privacidad en 72h si hay datos personales implicados (RGPD)
  • Notifica a clientes y proveedores según las obligaciones contractuales
  • Restaura desde una copia de seguridad offline limpia tras una remediación completa

Caso real

Ransomware LockBit en una pyme manufacturera, Emilia 2025

Una pyme metalúrgica de Módena con 42 empleados amanece el lunes por la mañana con 78 PC cifrados. El README en inglés exige 320.000 USD en Bitcoin en 72 horas, de lo contrario se publicarán 240GB de datos exfiltrados en el sitio Tor de LockBit.

El CEO no paga. Activa el CSIRT, notifica a la autoridad de privacidad y avisa a los clientes. Mythos analiza una imagen forense de un endpoint: punto de entrada un RDP expuesto sin MFA, credenciales tomadas de una filtración de 2023 nunca cambiadas. Movimiento lateral con BloodHound, exfiltración vía Rclone a una cuenta de Mega.

La pyme restaura la producción en 14 días desde la copia de seguridad offline. Los datos exfiltrados se publican de todos modos. Mythos generó el dossier para la denuncia penal, el apoyo a la notificación RGPD y la reconstrucción técnica para la demanda contra los proveedores de TI responsables de las copias de seguridad. No More Ransom confirmó que no hay descifrador disponible para la variante utilizada.

Qué puede hacer Mythos en este caso

  • Identificación de la variante de ransomware a partir de los archivos cifrados y el README
  • Comprobación de disponibilidad de descifrador en No More Ransom
  • Análisis del punto de entrada (RDP, phishing, vulnerabilidades)
  • Reconstrucción del movimiento lateral y la exfiltración
  • Dossier para la notificación al CSIRT/autoridad de privacidad y la reclamación al seguro
  • Cadena de custodia forense para una posible acción civil/penal

Próximos pasos

Habla con Mythos ahoraConsulta los descifradores en No More Ransom