Checklist 24 Horas Post-Ataque Ransomware
Respuesta directa
Las primeras 24h tras descubrir ransomware definen si la recuperación será viable. Decisiones equivocadas en las primeras 6h destruyen evidencia, activan reinfección e inviabilizan descifrado. Este checklist por ventana de tiempo se basa en playbooks reales usados por HD Doctor.
Por qué las primeras horas importan tanto
En un ataque ransomware típico, el atacante lleva 7-30 días en la red antes de cifrar. El cifrado visible es el final, no el inicio. En las primeras horas tras descubrir: (1) el atacante aún tiene persistencia y puede reaccionar; (2) la evidencia en RAM se pierde con cada reinicio; (3) el reloj para notificación regulatoria empieza (72h). La ventana 0-6h vale más que las 18h siguientes.
Errores catastróficos en las primeras 24h
- 1.Apagar servidores. Borra toda evidencia en RAM. Snapshot/captura primero, después apague si es necesario.
- 2.Negociar directamente con el atacante. Sin jurídico, seguro y técnico involucrados, cualquier movimiento es perjudicial. El atacante puede estar sancionado por OFAC, creando crimen adicional.
- 3.Restaurar backup de inmediato. Restaurar sin identificar persistencia reactiva al atacante. Identifique variante y vector primero.
- 4.Conectar backup offline a la red infectada. El ransomware se propaga vía SMB. El backup limpio cae junto.
- 5.Comunicar públicamente antes que el jurídico. Fuga prematura de información complica la notificación regulatoria y crea responsabilidad legal adicional.
Cronograma hora a hora
- 1
0-1h: Aislamiento sin apagar
Desconecte cables de red y Wi-Fi de servidores y estaciones afectadas. NO apague. La RAM contiene evidencia forense crítica (claves de cifrado, IoCs, beacons). Active respuesta emergencial profesional.
- 2
1-3h: Preservación forense
Snapshot de VMs vivas en ESXi/Hyper-V (no borre). Captura de RAM vía FTK Imager Lite en hosts críticos. Copia de logs vCenter, Active Directory, firewall, EDR antes de que sean borrados o rotados.
- 3
3-6h: Identificación de variante
Identifique familia (LockBit, BlackCat, Akira, Cl0p, Play, Conti) por la nota y extensión. Match contra base de decryptors públicos (Operación Cronos, Avast). La variante define todo el resto de la respuesta.
- 4
6-12h: Comunicación inicial
Active DPO, jurídico, seguro cyber. Comunique CEO. Inicie redacción de notificación regulatoria (plazo 72h). Inicie comunicación técnica con equipos afectados.
- 5
12-24h: Mapeo y plan de restore
Inventario completo del alcance: qué hosts cifrados, qué backups disponibles, cuáles aún sanos. Plan de restore priorizado por criticidad de negocio. Aprobación ejecutiva del plan.
Preguntas frecuentes
¿Puedo esperar 'solo esta noche' para activar respuesta?
No. Cada hora reduce la chance de recuperación. Variantes modernas (Akira, BlackCat) ejecutan rutinas post-cifrado que destruyen más datos cada hora. La activación profesional debe ocurrir en la primera hora tras descubrir.
¿Debo avisar a la policía?
Sí, en paralelo con la respuesta técnica. En Brasil: Policía Federal (DEIC para empresas) y ANPD para datos personales. En EE.UU.: FBI IC3.gov. La notificación no obliga investigación inmediata pero registra el incidente.
¿Cuánto tiempo hasta restaurar operación?
Escenario ideal (backup inmutable intacto + alcance limitado): 3-7 días. Medio (sin golden ticket en AD): 10-20 días. Crítico (AD comprometido profundamente): 30-60 días.
¿El seguro cyber paga el rescate?
Cada vez menos. Pólizas 2024+ tienen exclusiones para variantes sancionadas por OFAC. Aún cuando paga, exige autorización previa e informe técnico.
¿Necesito pagar el rescate para evitar filtración?
No hay garantía. Casos documentados (Maximus, Shell, PwC) tuvieron datos filtrados aun tras pago. El foco debe ser mitigación y notificación a titulares afectados.
¿Bajo ataque ahora?
Ingeniero senior en hasta 6h. Cadena de custodia documentada.