· Jonathan Izquierdo · Respuesta a Incidentes ·
Ransomware en 2026: cómo preservar la evidencia cuando tu empresa está bajo ataque
Las primeras horas tras un ataque de ransomware determinan si podrás denunciar, reclamar al seguro o identificar al atacante. Como perito forense, te explico los errores que destruyen la evidencia y cómo evitarlos.
Son las 7 de la mañana y tu empresa acaba de arder
El teléfono suena. Es el director de IT con la voz quebrada:
“Jonny, estamos jodidos. Todo cifrado. Servidores, backups, el NAS… hasta el correo. Nos piden 2,3 millones en Bitcoin y tenemos 72 horas. ¿Qué hacemos?”
Lo que esa empresa haga en las próximas horas determinará si pueden denunciar con pruebas sólidas, si el seguro cibernético responderá, si identificarán al atacante, o si simplemente pagarán el rescate y rezarán para que no vuelva a pasar.
He participado en más de 40 respuestas a incidentes de ransomware en los últimos tres años. Y puedo decirte algo con certeza: la mayoría de empresas destruyen la evidencia en las primeras horas, sin darse cuenta, mientras intentan “arreglar” el problema.
El error más común
El instinto natural es “recuperar todo lo antes posible”. Pero cada reinicio, cada restauración precipitada, cada “a ver si limpiando esto…” está destruyendo las pruebas que necesitarás después.
Ransomware en 2026: ya no es un virus, es una industria
Olvida la imagen del hacker solitario en un sótano. El ransomware de 2026 es un negocio organizado con estructura empresarial:
- Desarrolladores que crean y actualizan el malware
- Afiliados que ejecutan los ataques a cambio de un porcentaje
- Negociadores profesionales que gestionan las comunicaciones con las víctimas
- Equipos de soporte que “ayudan” a las empresas a pagar y descifrar
- Especialistas en lavado que convierten el Bitcoin en dinero limpio
Según informes del sector, los ataques de ransomware continúan creciendo a doble dígito anualmente. El tiempo medio desde la intrusión inicial hasta el cifrado ha bajado a menos de 24 horas. Y los grupos más sofisticados —LockBit, BlackCat, Royal— operan con la eficiencia de una startup tecnológica.
El coste real
El rescate es solo la punta del iceberg. El coste total de un ataque de ransomware incluye: paralización operativa, pérdida de clientes, daño reputacional, sanciones por brechas de datos, y los honorarios de todos los especialistas que tendrás que contratar. Según IBM, el coste medio de una brecha de datos en 2025 fue de 4,45 millones de dólares.
Los 7 errores que destruyen la evidencia (y que veo constantemente)
1. Reiniciar los equipos afectados
“A ver si reiniciando…” No. La memoria RAM contiene información crítica: procesos del malware en ejecución, conexiones de red activas, claves de cifrado que a veces —solo a veces— están ahí. Un reinicio borra todo eso para siempre.
2. Restaurar backups inmediatamente
Entiendo la urgencia. Pero si restauras antes de entender cómo entraron, el atacante probablemente sigue dentro. Y lo que es peor: estás sobrescribiendo los sistemas comprometidos, eliminando los logs y artefactos que necesitas para la investigación.
3. Formatear equipos “para estar seguros”
He visto empresas que, presa del pánico, formatean todo. Enhorabuena: acabas de destruir toda posibilidad de análisis forense, de denuncia fundamentada, y probablemente de cobrar el seguro.
4. No preservar los logs antes de actuar
Los logs del firewall, del antivirus, del Active Directory, del servidor de correo… tienen fecha de caducidad. Muchos sistemas rotan logs automáticamente. Si no los copias antes de que se sobrescriban, pierdes la línea temporal del ataque.
5. Comunicarte con el atacante desde el email corporativo
Si el atacante tiene acceso a tu correo (que probablemente lo tiene), está leyendo tu estrategia de negociación en tiempo real. He visto casos donde el rescate subía después de que la empresa mencionara por email interno que “podemos pagar hasta X”.
6. Desconectar todo de golpe sin documentar
Desconectar de la red está bien. Pero antes: documenta qué estaba conectado, qué IPs tenía cada equipo, qué servicios estaban activos. Desenchufar todo sin orden convierte la investigación posterior en un puzzle sin piezas.
7. No llamar a un forense hasta semanas después
“Primero recuperamos, luego investigamos.” Cuando me llaman semanas después, lo único que encuentro son cenizas. La evidencia volátil ha desaparecido, los logs se han rotado, los equipos han sido formateados o reutilizados.
Metodología forense: qué hacer en las primeras horas
PARA. RESPIRA. DOCUMENTA.
Antes de tocar nada, documenta el estado actual:
- Hora exacta en que se detectó el incidente
- Qué sistemas muestran signos de cifrado
- Qué nota de rescate ha aparecido (fotografíala)
- Quién ha tocado qué desde que se descubrió
Esta información es oro para la investigación posterior.
Aísla sin destruir
- Desconecta los equipos de la red (cable, no apagado)
- No reinicies ningún equipo afectado
- Desconecta los backups si aún no están cifrados
- Documenta el estado de cada sistema antes de tocarlo
El objetivo es contener la propagación sin destruir evidencia.
Preserva la memoria RAM (si es posible)
Si tienes capacidad técnica, volca la RAM de los equipos afectados antes de apagarlos:
# Windows (con WinPMEM como administrador) winpmem_mini_x64.exe memoria_ram.raw # Linux (con LiME) sudo insmod lime.ko "path=/tmp/memoria.lime format=lime"Si no sabes cómo hacerlo, mejor no toques nada y espera al forense.
Copia los logs AHORA
Prioriza estos logs antes de que roten:
Sistema Logs críticos Windows Server Security.evtx, System.evtx, Application.evtx Active Directory Logs de autenticación, cambios de grupo Firewall Conexiones entrantes/salientes últimas 72h Antivirus/EDR Detecciones, cuarentenas, eventos Servidor de correo Logs de acceso, emails sospechosos VPN Conexiones remotas, IPs de origen Llama a los especialistas
En paralelo, activa:
- Perito forense: Para preservar evidencia con garantías judiciales
- Equipo de respuesta a incidentes: Para contención y análisis técnico
- Abogado especializado: Para gestionar notificaciones RGPD, denuncia, seguro
- Seguro cibernético: Notifica cuanto antes (muchas pólizas tienen plazos)
El tiempo es crítico
Las primeras 4-6 horas son las más valiosas. Cada hora que pasa, la evidencia se degrada. Ten un plan de respuesta a incidentes antes de que ocurra, no durante.
Herramientas forenses que utilizo en respuesta a ransomware
| Herramienta | Uso |
|---|---|
| Volatility 3 | Análisis de memoria RAM, detección de procesos maliciosos |
| Autopsy / Sleuth Kit | Análisis de discos, recuperación de archivos, timeline |
| KAPE | Recolección rápida de artefactos forenses en Windows |
| Velociraptor | Recolección y análisis a escala en múltiples endpoints |
| Wireshark | Análisis de capturas de red |
| YARA | Identificación de variantes de ransomware |
| ID Ransomware | Identificación de la familia de ransomware por la nota o extensión |
La cadena de custodia: sin ella, no tienes nada
Para que la evidencia tenga validez judicial, necesitas documentar:
- Qué se ha recolectado: Descripción exacta de cada elemento
- Cuándo: Fecha y hora de cada acción
- Cómo: Metodología y herramientas utilizadas
- Por quién: Identificación del técnico responsable
- Integridad: Hashes SHA-256 de cada evidencia recolectada
- Almacenamiento: Dónde y cómo se ha guardado
Si en algún momento se rompe la cadena de custodia, la defensa del atacante (si lo identificas y llegas a juicio) lo usará para invalidar las pruebas.
¿Pagar o no pagar? La pregunta del millón
No voy a decirte qué hacer. Pero sí puedo darte datos para que decidas:
Argumentos para NO pagar:
- Financias a criminales y futuros ataques
- No hay garantía de que funcione el descifrador
- El 80% de empresas que pagan vuelven a ser atacadas (Cybereason, 2025)
- Posibles implicaciones legales si el grupo está sancionado (OFAC)
Argumentos para considerar el pago:
- Sin backups, puede ser la única opción de supervivencia
- El coste de reconstruir desde cero puede ser mayor
- Tiempo crítico de paralización del negocio
Mi recomendación: Nunca tomes esta decisión en caliente, a las 3 de la mañana, con el negocio parado. Ten un plan de respuesta que incluya los criterios de decisión antes de que ocurra.
El informe forense: qué debe incluir
Cuando me contratan para un caso de ransomware, mi informe incluye:
- Línea temporal del ataque: Desde el acceso inicial hasta el cifrado
- Vector de entrada: Cómo accedieron (phishing, RDP expuesto, vulnerabilidad…)
- Movimiento lateral: Qué sistemas comprometieron y cómo
- Datos exfiltrados: Si hubo robo de información antes del cifrado
- Identificación del ransomware: Familia, variante, grupo responsable
- Indicadores de compromiso (IOCs): Hashes, IPs, dominios para bloquear
- Recomendaciones: Medidas para evitar que vuelva a ocurrir
Este informe sirve para:
- Denuncia ante las autoridades
- Reclamación al seguro cibernético
- Notificación a la AEPD (si hay datos personales afectados)
- Mejora de la postura de seguridad
Doble extorsión
En 2026, la mayoría de grupos de ransomware practican la “doble extorsión”: cifran Y roban datos. Si no pagas, amenazan con publicar la información. Esto complica enormemente la gestión del incidente y las obligaciones de notificación.
Checklist de emergencia: imprime esto y tenlo a mano
Primeros 30 minutos:
- Documentar hora de detección y síntomas
- Fotografiar notas de rescate
- NO reiniciar equipos afectados
- Desconectar de red (sin apagar)
- Verificar estado de backups
Primera hora:
- Activar plan de respuesta a incidentes
- Notificar a dirección
- Contactar seguro cibernético
- Contactar perito forense
- Empezar copia de logs críticos
Primeras 24 horas:
- Preservar memoria RAM si es posible
- Crear imágenes forenses de discos
- Identificar variante de ransomware
- Evaluar alcance del cifrado
- Preparar comunicación interna/externa
Un ataque de ransomware es una crisis, pero no tiene por qué ser el fin. Con la respuesta adecuada, puedes minimizar el daño, preservar la evidencia para acciones legales, y salir más fuerte.
La clave está en la preparación. El peor momento para diseñar tu plan de respuesta es cuando ya estás bajo ataque.
¿Sufres un ataque de ransomware ahora mismo?
Contacta inmediatamente. Ofrezco respuesta de emergencia 24/7 para preservar evidencia y guiar la respuesta al incidente.
Emergencia: 624 093 796
