Skip to content

¿Qué es el ransomware y explícame cómo respondes una vez que está cifrando sistemas activamente?

Respuesta breve

El ransomware es malware que cifra (y cada vez más exfiltra) datos y luego exige pago. En un caso activo: aislar los hosts afectados de la red sin apagarlos si puedes preservar la memoria, identificar el alcance, el paciente cero y la cepa, preservar la evidencia, encontrar y expulsar el punto de apoyo y cualquier puerta trasera, y luego restaurar desde copias offline reconocidas como limpias. Pagar es un último recurso y nunca garantiza la recuperación.

El ransomware es malware que deniega el acceso a los datos, clásicamente cifrando archivos y exigiendo pago por la clave. Los operadores modernos añaden la doble extorsión —robar los datos primero y amenazar con filtrarlos— de modo que ni copias de seguridad perfectas eliminan la palanca. Los entrevistadores quieren una respuesta calmada y ordenada, no pánico.

Contener primero

La prioridad es detener la propagación. Aísla los hosts afectados —corta el acceso de red, desactiva cuentas, segmenta la VLAN— idealmente sin apagar las máquinas, porque la RAM contiene claves, código inyectado y otra evidencia volátil que desaparece al apagar. Si un host debe apagarse para salvar datos, documenta la decisión.

Delimitar e identificar

Determina hasta dónde se propagó, encuentra el paciente cero y el vector de acceso inicial (phishing, RDP expuesto, una VPN sin parchear), e identifica la cepa (nota de rescate, extensión de archivo, muestra en ID-Ransomware). Conocer la cepa te dice si existe un descifrador gratuito y cómo opera normalmente el grupo.

Erradicar y recuperar

Encuentra y elimina el punto de apoyo y cualquier puerta trasera o cuenta nueva que los operadores crearan; restaurar mientras el atacante aún tiene acceso solo logra que te vuelvan a cifrar. Luego recupera desde copias reconocidas como limpias, offline o inmutables, reconstruyendo en vez de confiar en hosts comprometidos. Restablece credenciales ampliamente, ya que probablemente fueron cosechadas. En todo momento, preserva la evidencia para la forense, el seguro y cualquier colaboración con las fuerzas del orden.

Sobre pagar

Trata el pago como un último recurso: financia el crimen, puede incumplir sanciones, no garantiza un descifrador funcional y no deshace el robo de datos. La decisión es legal y ejecutiva, no del analista.

Por qué importa

Una buena respuesta sigue el ciclo de vida de la RI, encabeza con el aislamiento frente al apagado por pánico, subraya la preservación de evidencia y las copias offline limpias, y muestra conciencia de que la exfiltración cambia el cálculo. Eso señala compostura ante uno de los incidentes de mayor presión que enfrenta un SOC.

Posibles preguntas de seguimiento

  • ¿Por qué aislar en vez de apagar de inmediato una máquina infectada?
  • ¿Qué es la «doble extorsión» y cómo cambia la respuesta?
  • ¿Por qué las copias deben ser offline o inmutables para ser fiables aquí?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.