Skip to content

Un ransomware está cifrando activamente los recursos compartidos de archivos por toda la red en este momento. ¿Cuál es tu primera prioridad?

Respuesta breve

La contención prima sobre la recuperación prematura: detén la propagación aislando los segmentos afectados y cortando el vector — desactiva la cuenta de servicio abusada, bloquea SMB entre segmentos, retira el host de staging — preservando evidencia, luego erradica y recupera. Restaurar en una red que aún cifra vuelve a perder los datos restaurados. Pagar el rescate no detiene el cifrado en curso y conlleva riesgo legal y de sanciones. Cortar la electricidad de todas las máquinas destruye evidencia volátil y puede corromper archivos a medio escribir, dificultando una recuperación limpia.

Cuando un ransomware está cifrando activamente, cada segundo de propagación es más datos destruidos y más hosts que recuperar. El instinto de un respondedor débil es empezar a restaurar o hacer que cese el cifrado pagando — ambos fracasan porque ignoran que el motor de propagación sigue funcionando. La primera prioridad correcta es la contención.

Por qué la contención va primero

El ransomware moderno se propaga vía cuentas privilegiadas abusadas, SMB, PsExec/WMI, GPO o herramientas RMM comprometidas. Si no cortas ese camino, el radio de impacto sigue creciendo. Contener significa: aislar los segmentos de red afectados, desactivar la cuenta de servicio/dominio comprometida que el malware usa para autenticarse, bloquear SMB entre segmentos y poner fuera de línea el host de staging/distribución. Hazlo preservando evidencia — necesitarás los IOC y la historia del acceso inicial para delimitar y erradicar. Solo tras detener la propagación y erradicar la persistencia pasas a la recuperación desde copias conocidas como limpias.

Por qué las otras opciones son erróneas

  • Restaurar desde copias de inmediato — restaurar en una red que aún cifra significa que tus recursos recién restaurados también se cifran. Quemas tu ventana de recuperación y puedes volver a perder datos. La recuperación es la última fase, no la primera.
  • Pagar el rescate — el pago no hace nada por detener un cifrado ya en curso, puede violar sanciones u obligaciones legales, financia al adversario y no garantiza un descifrador funcional. Además deja la intrusión y la persistencia intactas.
  • Cortar la electricidad desde los disyuntores — un mazazo que destruye evidencia volátil (memoria, claves de cifrado a veces aún residentes, estado de procesos activos) y puede corromper archivos a medio escribir, dejando los sistemas en un estado inconsistente más difícil de recuperar. El aislamiento dirigido contiene sin el daño colateral.

Qué evalúa el entrevistador

Quiere un respondedor sénior que ordene correctamente el ciclo de respuesta bajo presión — contener, luego erradicar, luego recuperar — y que identifique y corte el mecanismo de propagación en lugar de perseguir hosts cifrados uno a uno. Nombrar la cuenta abusada y SMB como objetivos a cortar, preservando evidencia, señala verdadera madurez operativa.

Posibles preguntas de seguimiento

  • ¿Cómo aíslas los segmentos rápido sin perder la evidencia forense que necesitarás para delimitar el alcance?
  • ¿Qué vectores de propagación más allá de SMB revisarías — GPO, PsExec, herramientas RMM, tareas programadas?
  • ¿Cuándo es seguro restaurar desde copia, y cómo verificas que las propias copias no estén cifradas o con puerta trasera?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.