· Jonathan Izquierdo · Ciberseguridad  ·

10 min de lectura

Ransomware forensics: Cómo recuperar evidencias después del ataque

España es el segundo país más atacado por ransomware. Esta guía técnica explica qué hacer DESPUÉS del ataque para recuperar evidencias, reclamar al seguro y preparar la denuncia.

España es el segundo país más atacado por ransomware. Esta guía técnica explica qué hacer DESPUÉS del ataque para recuperar evidencias, reclamar al seguro y preparar la denuncia.

“Ya nos han atacado. ¿Ahora qué?”

Es la llamada que recibo varias veces al mes. Una empresa ha sufrido ransomware, sus sistemas están cifrados, y no saben qué hacer. La mayoría de artículos sobre ransomware hablan de prevención, pero cuando ya te han atacado, la prevención no sirve de nada.

España es el segundo país del mundo más atacado por ransomware según el informe ESET H2 2025. INCIBE gestionó 357 ataques de ransomware solo en 2024, un número que se queda corto porque muchas empresas no reportan. La realidad es que si diriges una empresa en España, la probabilidad de sufrir un ataque es cada vez mayor.

Esta guía está pensada para empresas que ya han sido atacadas, para aseguradoras que necesitan validar reclamaciones, y para abogados que van a llevar el caso. No es sobre prevención. Es sobre qué hacer cuando ya ha pasado.

Los primeros 60 minutos son críticos

Cuando descubres que tu empresa ha sufrido ransomware, el reloj empieza a correr. Lo que hagas en la primera hora puede marcar la diferencia entre recuperarte o perderlo todo.

Lo que DEBES hacer inmediatamente

  1. Desconecta los sistemas afectados de la red - pero NO los apagues
  2. Documenta todo con fotografías de las pantallas
  3. Anota la hora exacta en que detectaste el ataque
  4. Identifica qué sistemas están afectados y cuáles no
  5. No toques nada más hasta que llegue ayuda especializada

Lo que NO debes hacer NUNCA

  • No apagues los equipos: la RAM contiene evidencia forense valiosa que se pierde al apagar
  • No intentes descifrar por tu cuenta: puedes corromper los archivos permanentemente
  • No pagues el rescate inmediatamente: necesitas saber qué pasó primero
  • No restaures backups sin verificar que están limpios
  • No formatees equipos: destruyes la evidencia
  • No contactes al atacante sin asesoramiento previo
Error fatal común

El instinto natural es “limpiar y restaurar” lo antes posible. Pero si lo haces sin análisis forense, nunca sabrás cómo entraron, si siguen dentro, ni qué datos se llevaron. Y tu seguro probablemente rechazará la reclamación.

Por qué necesitas análisis forense post-ataque

El análisis forense de ransomware no es un lujo, es una necesidad operativa, legal y financiera:

Para la recuperación operativa

Sin saber cómo entraron, no puedes estar seguro de que no volverán:

  • ¿Fue un email de phishing? Hay que revisar todas las cuentas
  • ¿Una vulnerabilidad de software? Hay que parchear antes de restaurar
  • ¿Credenciales robadas? Hay que cambiar todas las contraseñas
  • ¿Acceso persistente instalado? Hay que limpiar backdoors

He visto empresas que restauran sus backups y son atacadas de nuevo en menos de 48 horas porque el atacante mantenía acceso.

Para el seguro cibernético

Las pólizas de ciberseguro exigen análisis forense para:

  • Determinar la causa raíz del incidente
  • Verificar que existían medidas de seguridad básicas
  • Cuantificar el daño real sufrido
  • Documentar la respuesta al incidente

Sin informe pericial, la aseguradora puede:

  • Rechazar la reclamación por falta de documentación
  • Reducir la indemnización por negligencia
  • Alegar incumplimiento de obligaciones del asegurado

Para la denuncia penal

Si vas a denunciar (y deberías), necesitas:

  • Evidencia forense preservada con cadena de custodia
  • Identificación del vector de ataque
  • Documentación técnica del malware utilizado
  • Cuantificación del daño para la responsabilidad civil

Para la notificación a la AEPD

Si el ataque comprometió datos personales, tienes 72 horas para notificar. Necesitas saber:

  • Qué datos se vieron afectados
  • Si hubo exfiltración (robo) además de cifrado
  • Cuántos interesados están afectados
  • Qué medidas has tomado

El análisis forense te da estas respuestas.

Qué puede revelar el análisis forense

Cuando analizo un caso de ransomware, busco responder estas preguntas:

Vector de entrada: ¿cómo entraron?

Los más comunes que encuentro:

  • Phishing dirigido (45% de los casos): email con adjunto malicioso o enlace
  • Vulnerabilidad RDP (25%): escritorio remoto expuesto a internet
  • Software sin parchear (15%): vulnerabilidades conocidas no corregidas
  • Credenciales comprometidas (10%): contraseñas filtradas o robadas
  • Supply chain (5%): a través de proveedor de software o servicios

Tiempo de permanencia: ¿cuánto llevaban dentro?

El atacante raramente cifra inmediatamente. Primero:

  • Explora la red interna
  • Identifica sistemas críticos
  • Localiza y elimina backups
  • Exfiltra datos valiosos
  • Escala privilegios

El tiempo medio de permanencia antes del cifrado es de 11 días. Pueden haber estado semanas o meses dentro de tu red.

Movimiento lateral: ¿a qué más accedieron?

Aunque solo hayan cifrado algunos servidores:

  • ¿Accedieron al controlador de dominio?
  • ¿Comprometieron cuentas de administrador?
  • ¿Tocaron sistemas con datos sensibles?
  • ¿Instalaron puertas traseras en otros equipos?

Exfiltración: ¿se llevaron datos?

El ransomware moderno usa doble extorsión:

  1. Cifran tus datos para que no puedas usarlos
  2. Roban tus datos para amenazar con publicarlos

El análisis forense puede detectar:

  • Conexiones a servidores externos sospechosos
  • Volúmenes de datos transferidos anómalos
  • Uso de herramientas de exfiltración conocidas
  • Archivos comprimidos preparados para envío
Dato importante

En el 70% de los ataques de ransomware que he analizado en 2025, hubo exfiltración de datos antes del cifrado. Aunque recuperes tus archivos, el atacante puede tener copia de todo.

Metodología de análisis forense post-ransomware

Mi aproximación sigue un protocolo estructurado:

Fase 1: Triaje y preservación

Primeras 2-4 horas:

  1. Inventario de sistemas afectados: qué está cifrado, qué no
  2. Preservación de memoria volátil: volcado de RAM de sistemas encendidos
  3. Aislamiento de red: contención del incidente
  4. Preservación de logs: copiar antes de que se sobreescriban
  5. Captura de nota de rescate: contiene información sobre la variante

Sistemas prioritarios para preservar:

  • Servidor de Active Directory / controlador de dominio
  • Servidores de correo
  • Sistemas de backup
  • Firewall y logs de red
  • Endpoint “paciente cero” (primer sistema afectado)

Fase 2: Análisis del malware

Días 1-3:

  1. Identificación de la variante: qué familia de ransomware es
  2. Análisis del binario: qué hace exactamente el malware
  3. Detección de capacidades: cifrado, exfiltración, persistencia
  4. Indicadores de compromiso (IoCs): hashes, IPs, dominios
  5. Comprobación de descifrador: algunas variantes tienen herramientas públicas

Lo que revela el análisis:

  • Técnicas utilizadas (MITRE ATT&CK)
  • Nivel de sofisticación del atacante
  • Posible grupo criminal responsable
  • Si existe herramienta de descifrado

Fase 3: Reconstrucción del ataque

Días 2-5:

  1. Timeline forense: cronología exacta de los eventos
  2. Análisis de logs: autenticaciones, accesos, cambios
  3. Trazabilidad del movimiento lateral: cómo se expandieron
  4. Identificación del paciente cero: primer sistema comprometido
  5. Evaluación de exfiltración: qué datos pudieron salir

Fuentes de información:

  • Logs de Windows (Security, System, PowerShell)
  • Logs de firewall y proxy
  • Registros de autenticación (AD, VPN, cloud)
  • Artefactos del sistema de archivos
  • Metadatos de archivos modificados

Fase 4: Evaluación del impacto

Días 3-7:

  1. Inventario de datos afectados: qué información se comprometió
  2. Clasificación por sensibilidad: datos personales, financieros, estratégicos
  3. Evaluación de exfiltración: evidencia de robo de datos
  4. Cuantificación del daño: para seguro y responsabilidad
  5. Evaluación de la respuesta: qué se hizo bien, qué mal

Variantes de ransomware más activas en España

En 2025-2026 estoy viendo principalmente:

LockBit 3.0 y sucesores

  • Prevalencia: la familia más activa en España
  • Características: cifrado rápido, programa de afiliados
  • Exfiltración: sí, con portal de filtraciones
  • Descifrador: no disponible públicamente

ALPHV/BlackCat

  • Prevalencia: alta en sector financiero y legal
  • Características: escrito en Rust, muy rápido
  • Exfiltración: agresiva, con extorsión a terceros afectados
  • Descifrador: no disponible

Royal/BlackSuit

  • Prevalencia: creciente, especialmente en pymes
  • Características: personaliza rescates según víctima
  • Exfiltración: sí, amenaza con publicar
  • Descifrador: no disponible

Clop

  • Prevalencia: especializado en ataques masivos
  • Características: explota vulnerabilidades de día cero
  • Exfiltración: masiva, publica listas de víctimas
  • Descifrador: no disponible
No confíes en descifradores gratis

He visto casos donde la víctima descarga un supuesto descifrador de internet y resulta ser más malware. Solo usa herramientas de fuentes oficiales como No More Ransom (nomoreransom.org) verificando los hashes.

El dilema del rescate: pagar o no pagar

Es la pregunta que todas las víctimas hacen. Mi posición profesional:

Argumentos en contra de pagar

  • No hay garantías: el atacante puede no dar la clave o dar una que no funciona
  • Financias el crimen: el dinero financia más ataques
  • Te conviertes en objetivo: si pagas una vez, volverán
  • Puede ser ilegal: pagar a grupos sancionados (OFAC) tiene consecuencias legales
  • No resuelve la exfiltración: aunque descifres, tienen copia de tus datos

Argumentos a favor de pagar

  • Supervivencia del negocio: a veces no hay alternativa
  • Coste-beneficio: puede ser menor que las pérdidas
  • Los backups no sirven: si también están cifrados o son muy antiguos
  • Datos irrecuperables: no hay otra forma de obtenerlos

Mi recomendación

Antes de decidir, necesitas el análisis forense para saber:

  1. ¿Qué variante es y cuál es su “reputación”? (algunos grupos siempre dan la clave, otros no)
  2. ¿Hay descifrador público disponible?
  3. ¿Los backups están limpios y son recuperables?
  4. ¿Cuál es el daño real si no recuperas?
  5. ¿Qué datos exfiltraron? (pagar no evita que los publiquen)

Si decides pagar, nunca lo hagas directamente:

  • Contrata negociadores especializados
  • Verifica que el grupo no está sancionado
  • Exige prueba de descifrado antes de pagar todo
  • Documenta todo para el seguro

Reclamación al ciberseguro: lo que necesitas

Si tienes póliza de ciberriesgo, el análisis forense es obligatorio para reclamar. Esto es lo que las aseguradoras exigen:

Documentación requerida

  1. Informe forense completo: causa raíz, vector de entrada, alcance
  2. Timeline del incidente: cuándo empezó, cuándo se detectó, acciones tomadas
  3. Evidencia de medidas previas: que cumplías con las obligaciones de la póliza
  4. Cuantificación del daño: pérdidas operativas, costes de recuperación
  5. Gastos de respuesta: facturas de forense, legal, comunicaciones

Errores que hacen que rechacen la reclamación

  • No notificar a tiempo: las pólizas tienen plazos estrictos (24-72h)
  • Destruir evidencia: formatear antes del análisis forense
  • Ocultar información: si descubren que mentiste, pierdes cobertura
  • Incumplir obligaciones: si no tenías las medidas de seguridad exigidas
  • Usar proveedores no aprobados: algunas pólizas exigen sus propios forenses

Coberturas típicas

Las pólizas suelen cubrir:

  • Gastos de respuesta: forense, legal, relaciones públicas
  • Interrupción de negocio: pérdida de ingresos durante la parada
  • Restauración de sistemas: coste de recuperar la operativa
  • Responsabilidad frente a terceros: si se filtraron sus datos
  • Pago de rescate: algunas pólizas lo cubren, otras no
Consejo práctico

Revisa tu póliza ANTES de tener un incidente. Muchas empresas descubren en el peor momento que su cobertura no incluye lo que pensaban. Y asegúrate de que tu equipo conoce el procedimiento de notificación.

Preparación de la denuncia penal

El ransomware es un delito. Denunciar tiene sentido aunque sea difícil atrapar a los responsables:

Por qué denunciar

  • Obligación legal: si hay datos personales afectados
  • Requisito del seguro: muchas pólizas lo exigen
  • Colaboración policial: la información ayuda a investigaciones más amplias
  • Posible recuperación: a veces se intervienen fondos o se captura a afiliados

Qué necesitas para la denuncia

  1. Informe pericial forense con metodología y conclusiones
  2. Preservación de evidencia con cadena de custodia
  3. Nota de rescate y comunicaciones con el atacante
  4. Logs y registros técnicos preservados
  5. Cuantificación del daño para la responsabilidad civil

Dónde denunciar

  • Policía Nacional: Brigada de Investigación Tecnológica
  • Guardia Civil: Grupo de Delitos Telemáticos
  • Fiscalía: especialmente si hay datos personales masivos
  • CCN-CERT: si eres operador esencial o infraestructura crítica

Lecciones aprendidas: qué hacer diferente

Después de cada análisis forense, elaboro un informe de lecciones aprendidas. Los patrones se repiten:

Lo que habría evitado el ataque

En el 90% de los casos que analizo:

  • MFA en accesos remotos: habría bloqueado el acceso inicial
  • Segmentación de red: habría limitado el movimiento lateral
  • Backups offline: habrían permitido recuperación sin pagar
  • Parches de seguridad: la vulnerabilidad explotada tenía parche disponible
  • Formación de empleados: el phishing inicial habría sido detectado

Lo que habría reducido el impacto

  • Detección temprana: el atacante estuvo días/semanas dentro sin ser detectado
  • Plan de respuesta: la improvisación causó errores críticos
  • Preservación de evidencia: se destruyó información valiosa
  • Comunicación coordinada: el caos interno empeoró la situación

Inversión post-incidente recomendada

Después del ataque, mis recomendaciones típicas:

  1. EDR/XDR en todos los endpoints: detección de comportamientos anómalos
  2. SIEM centralizado: correlación de eventos de seguridad
  3. Backups 3-2-1: tres copias, dos medios, una offline
  4. Zero Trust Network: no confiar en nada dentro del perímetro
  5. Ejercicios de respuesta: simular incidentes para estar preparados

Coste del análisis forense post-ransomware

Transparencia con los números:

Análisis forense básico:

  • Triaje y preservación inicial: 2.000-4.000€
  • Análisis de 1-3 sistemas: 3.000-6.000€
  • Informe ejecutivo: incluido

Análisis forense completo:

  • Preservación de múltiples sistemas: 4.000-8.000€
  • Análisis de red y logs: 3.000-5.000€
  • Reconstrucción del ataque: 4.000-8.000€
  • Análisis de malware: 2.000-4.000€
  • Informe completo para seguro/legal: 2.000-3.000€
  • Total típico: 15.000-28.000€

Factores que aumentan el coste:

  • Número de sistemas afectados
  • Complejidad del entorno (multinube, múltiples sedes)
  • Urgencia (trabajo 24/7)
  • Necesidad de declaración en juicio

Comparación con el coste del ataque:

  • Rescate medio solicitado: 50.000-500.000€
  • Pérdida de facturación durante parada: variable (días a semanas)
  • Multas RGPD potenciales: hasta 20M€ o 4% facturación
  • Daño reputacional: incalculable

El análisis forense no es un gasto, es la inversión que te permite recuperarte.

Conclusión: después del ataque, no improvises

El ransomware es una realidad que afecta cada vez a más empresas españolas. Cuando te toque (y estadísticamente, es cuestión de tiempo), la diferencia entre una crisis gestionable y un desastre está en cómo respondes.

Mi recomendación después de analizar cientos de incidentes:

Para empresas atacadas:

  • No apagues equipos, desconéctalos de la red
  • Llama a expertos antes de hacer nada más
  • No pagues sin tener toda la información
  • Preserva la evidencia como si fueras a juicio (probablemente irás)

Para aseguradoras:

  • El análisis forense no es opcional, es necesario
  • La calidad del informe determina la validez de la reclamación
  • Exige metodología rigurosa y cadena de custodia
  • Verifica que el asegurado cumplía sus obligaciones

Para abogados:

  • El informe pericial es tu arma principal
  • Involucra al forense desde el minuto uno
  • Prepara la denuncia mientras se investiga
  • Coordina con el seguro la estrategia legal

España es el segundo país más atacado por ransomware. No es cuestión de si te atacarán, sino de cuándo. Y cuando pase, tener el análisis forense correcto es la diferencia entre recuperarte y hundirte.

¿Tu empresa ha sufrido un ataque de ransomware?

Como perito judicial especializado en respuesta a incidentes, analizo ataques de ransomware con metodología forense válida para seguros, denuncias y recuperación operativa. Respuesta en menos de 2 horas.

Emergencia: contactar ahora

Artículo actualizado el 3 febrero 2026 basado en el informe ESET H2 2025, datos de INCIBE y mi experiencia en respuesta a incidentes de ransomware en España.

Sobre el autor

Jonathan Izquierdo es perito informático forense especializado en Ciberseguridad con conocimientos en blockchain, criptomonedas, AWS Cloud, desarrollo de software y seguridad. Experiencia tecnológica de más de 20 años al servicio de la justicia digital, liderando equipos de desarrollo de software en ámbitos internacionales.

Ver más sobre mí

Volver al Blog

Posts Relacionados

Ver Todos los Posts »
Jonathan Izquierdo

Jonathan Izquierdo · Perito Forense

+15 años experiencia · AWS Certified

WhatsApp