Un lunes por la mañana, los empleados de una empresa distribuidora de Valladolid llegaron al trabajo y encontraron todos sus ordenadores bloqueados con un mensaje en inglés: "Your files have been encrypted. Pay 15.000€ in Bitcoin to recover them." En 72 horas, si no pagaban, borrarían los datos. Sin copias de seguridad recientes fuera de la red local, la empresa tuvo que cerrar temporalmente. El coste total —rescate, recuperación parcial, pérdida de producción— superó los 80.000 euros.

Esta historia no es un caso aislado. El ransomware es hoy la principal amenaza cibernética para las PYMEs españolas, y las estadísticas son alarmantes: el 43% de los ciberataques tienen como objetivo a pequeñas empresas, y el 60% de las PYMEs que sufren un ataque grave cierran en los seis meses siguientes.

¿Cómo funciona el ransomware?

El ransomware es un tipo de malware que cifra los archivos del sistema infectado haciéndolos inaccesibles para sus dueños. A continuación exige un rescate (ransom) a cambio de la clave de descifrado. El proceso típico es:

  1. Entrada: El atacante accede al sistema, generalmente a través de un email de phishing con un adjunto malicioso, un enlace a una web comprometida, o credenciales robadas de acceso remoto (RDP).
  2. Propagación: El malware se expande silenciosamente por la red local durante horas o días, buscando todos los archivos accesibles, incluyendo unidades de red y copias de seguridad conectadas.
  3. Cifrado: En un momento dado, cifra simultáneamente todos los archivos encontrados usando cifrado de clave asimétrica (prácticamente imposible de romper sin la clave).
  4. Extorsión: Muestra el mensaje de rescate con instrucciones de pago, normalmente en criptomonedas para dificultar el rastreo.
El rescate medio pagado por PYMEs en Europa en 2025 fue de 47.000€. Y pagar no garantiza recuperar los datos: solo el 65% de las empresas que pagaron recuperaron toda su información.

Las vías de entrada más frecuentes

1. Phishing por email (la puerta de entrada más común)

Un email aparentemente legítimo —de un banco, Hacienda, un proveedor conocido o un servicio de paquetería— incluye un adjunto (PDF, Word, Excel) o un enlace que descarga el malware. El 91% de los ciberataques empiezan por un email. Un solo clic de un empleado puede comprometer toda la red.

2. Credenciales de acceso remoto robadas (RDP)

Muchas PYMEs tienen servidores con el escritorio remoto (RDP) expuesto directamente a Internet para facilitar el teletrabajo. Los atacantes usan herramientas automáticas para probar combinaciones de usuario y contraseña hasta encontrar una válida.

3. Vulnerabilidades de software sin actualizar

Software desactualizado —Windows antiguo, versiones obsoletas de aplicaciones con vulnerabilidades conocidas— es una puerta de entrada directa. Los atacantes publican exploits para vulnerabilidades conocidas al poco de publicarse los parches, sabiendo que muchas empresas tardan en aplicarlos.

Medidas de protección concretas (y asequibles)

La buena noticia es que las medidas más efectivas contra el ransomware no requieren grandes inversiones. Esto es lo que recomendamos a todas las empresas:

Copia de seguridad 3-2-1 (imprescindible)

La regla 3-2-1 es el estándar de oro en backup: 3 copias de los datos, en 2 soportes diferentes, con 1 copia fuera de las instalaciones (o en la nube). La copia en la nube debe estar aislada de la red local para que el ransomware no pueda cifrarla también. Con esta estrategia, aunque se cifren todos los datos locales, la recuperación es cuestión de horas, no de semanas.

Antivirus corporativo con protección de comportamiento (EDR)

Los antivirus tradicionales basados en firmas detectan el malware conocido, pero el ransomware moderno usa técnicas polimórficas para evadir estas detecciones. Un EDR (Endpoint Detection and Response) monitoriza el comportamiento del sistema en tiempo real y puede detener el cifrado masivo de archivos aunque el malware sea desconocido.

Segmentación de red

Si todos los equipos de la empresa están en la misma red plana, el ransomware puede propagarse libremente a todos ellos. La segmentación mediante VLANs limita el movimiento lateral del malware, reduciendo el impacto de una infección.

Autenticación multifactor (MFA) en accesos remotos

Si el acceso remoto requiere un segundo factor de verificación (código SMS, app de autenticación), las credenciales robadas no son suficientes para entrar. MFA es una de las medidas de mayor retorno de la inversión en seguridad.

Formación de empleados

El eslabón más débil en cualquier cadena de seguridad es el factor humano. Formaciones prácticas de concienciación —con simulacros de phishing— reducen drásticamente la probabilidad de que un empleado haga clic en el enlace equivocado.

Actualizaciones y gestión de parches

Mantener el sistema operativo y las aplicaciones actualizadas elimina la mayoría de las vulnerabilidades explotables. En un entorno gestionado, esto puede automatizarse para que no dependa de la acción de cada usuario.

Lista de comprobación mínima de seguridad para PYMEs

  • Backup automático diario con copia aislada en la nube
  • Antivirus/EDR corporativo con gestión centralizada
  • MFA activado en correo, acceso remoto y aplicaciones críticas
  • RDP no expuesto directamente a Internet (usar VPN)
  • Parches de seguridad aplicados en menos de 30 días desde publicación
  • Al menos una sesión anual de formación en ciberseguridad para el equipo

¿Qué hacer si ya has sufrido un ataque?

Si detectas que tienes un ransomware activo, actúa con rapidez:

  1. Desconecta inmediatamente los equipos afectados de la red (cable y WiFi) para limitar la propagación.
  2. No apagues los servidores sin asesoramiento técnico: pueden quedar en memoria evidencias útiles para la recuperación.
  3. Notifica a la AEPD en un plazo máximo de 72 horas si hay datos personales comprometidos (obligación RGPD).
  4. Contacta con un especialista antes de tomar cualquier decisión sobre el pago del rescate.
  5. No pagues si puedes evitarlo: pagar financia a los atacantes y no garantiza la recuperación.
AGECYL Asesores Informáticos Especialistas en ciberseguridad para PYMEs en Valladolid. Auditamos tu seguridad actual y diseñamos un plan de protección adaptado a tu presupuesto.