Recomendaciones en 2026: Antes, durante y después de un incidente de ransomware
Panorama actual de ransomware en LATAM
El propósito de esta publicación es presentar una serie de recomendaciones de carácter general y específico, en respuesta a la continua y creciente ola de ataques de ransomware en Latinoamérica.
Tomando como base la telemetría de SCILabs y la información recopilada de fuentes públicas y privadas, se observó que durante el año 2025 se realizaron ataques en al menos 23 países en Latinoamérica, los cuales fueron llevados a cabo por al menos 74 variantes de ransomware.
El top 5 de las variantes con más actividad durante 2025 representa el 34.74 % del total de amenazas que afectaron a la región:
- Qilin: 9.86 %
- Akira: 7.04 %
- LockBit: 6.57 %
- SafePay: 5.87 %
- The Gentlemen: 5.40 %

Figura 1. Gráfica de variantes de ransomware presentes en LATAM durante 2025
En 2025, Qilin se posicionó como la variante más prominente en la región, con una cantidad significativa de ataques y una alta tasa de éxito. Mientras tanto, Akira aumentó su número de ataques este año y logró posicionarse en segundo lugar. Por su parte, LockBit (actualmente LockBit 5.0) continúa activo en Latinoamérica como una de las amenazas más importantes; no obstante, durante este periodo de estudio, fue desplazado al tercer lugar. Por otro lado, se observó un crecimiento significativo en la aparición de nuevas variantes como SafePay y The Gentlemen, las cuales han incrementado la frecuencia de sus ataques en la región. El siguiente gráfico muestra los sectores e industrias más afectados por estas amenazas, de acuerdo con la telemetría de SCILabs. 
Figura 2. Gráfica de sectores más afectados por ransomware en LATAM durante 2025
¿Cómo podría un ataque de ransomware afectar a las organizaciones?
Si un ataque de ransomware tiene éxito, los actores de amenazas podrían robar, cifrar y filtrar información de todo tipo de las organizaciones afectadas, lo que derivaría en la interrupción en las operaciones, pérdidas económicas, compromiso de información confidencial, así como la pérdida de reputación y confianza en la organización, dejando un impacto profundo en las finanzas, consecuencias legales o regulatorias, esto generaría una pérdida de confianza de los clientes y socios. Por lo anterior, es importante que las organizaciones estén al tanto de los TTP (Tácticas, Técnicas y Procedimientos) de este tipo de amenazas, así como de las medidas recomendadas para minimizar la probabilidad de ser infectados y saber cómo actuar en caso de compromiso por alguna variante de ransomware. Es importante recordar que un ataque de ransomware no solo es el compromiso de la información, sino que parte de sus repercusiones podría ser una afectación al futuro de la propia organización.
¿Cómo prevenir o reducir el impacto de un ataque de ransomware?
Es vital que las organizaciones cuenten con estrategias de seguridad proactivas que les permitan prevenir ataques de malware o en determinados casos, ejecutar una respuesta correcta y posterior recuperación a un incidente de ciberseguridad; SCILabs propone las siguientes recomendaciones para prevenir o disminuir las posibilidades de sufrir un ataque de ransomware:
Preparación enfocada en metodología para la respuesta
- Contar con un marco normativo que dicte las políticas a seguir por los empleados regulares al detectar un correo de posible phishing, así como los lineamientos a los que se deben apegar los administradores de sistemas y terceros para darle un seguimiento al evento, reduciendo así la posibilidad de un ataque por este medio, ya que múltiples amenazas utilizan el phishing como principal método de distribución.
- Establecer un plan de continuidad de negocio que considere entre sus escenarios un “ciberataque basado en ransomware”
- Contar con un proceso de respuesta a incidentes que contenga un plan de comunicación para todos los niveles de la organización, enfocado en manejar la crisis durante un incidente y que indique cómo se puede manejar con los clientes, empleados, así como la opinión pública en caso de ser requerido. Se debe informar a los clientes y socios directamente, destacando las medidas que se están tomando para resolver la situación y proteger sus datos, además de proporcionar orientación sobre pasos que ellos puedan tomar, si es necesario. Es fundamental evitar el alarmismo, ofrecer actualizaciones regulares y garantizar que toda la información comunicada sea precisa para preservar la credibilidad de la organización.
- Realizar simulacros de ataques relacionados con ransomware para determinar la capacidad que tiene el equipo de respuesta a incidentes de la organización con la finalidad de hacerle frente a la amenaza. En caso de no contar con un equipo de respuesta a incidentes interno, es importante contar con algún equipo de respuesta a incidentes externo precontratado que apoye a la organización de acuerdo con sus necesidades y que asegure que su proceso esté basado en inteligencia, de tal forma que aborde a la amenaza conociendo a los actores detrás de la misma.
Mejoras en la estrategia general o en procesos
- Impartir constantemente cursos de sensibilización a los colaboradores de la organización sobre ataques de ingeniería social y prevención de infecciones de malware para concientizarlos sobre las amenazas a las que pueden estar expuestos y minimizar el riesgo de verse afectado por un ataque exitoso.
- Realizar campañas permanentes de concientización enfocadas en educar a los usuarios acerca del ransomware, con el empleo de pruebas de phishing dirigidas que les permitan a aquellos con menos conocimiento en amenazas tener una capacitación particular. A partir de la telemetría de SCILabs, se sugiere realizar lo siguiente:
- Verificar la legitimidad del remitente del correo recibido.
- Verificar que el asunto, el remitente y el contenido del correo sean consistentes.
- Evitar abrir enlaces o archivos adjuntos sospechosos.
- Evitar enviar información sensible o confidencial a remitentes desconocidos.
- Establecer un protocolo de alertamiento bien definido para que los miembros de la organización reporten actividad informática inusual o un posible ciberataque, y sepan cómo actuar ante la emergencia.
- Evitar abrir enlaces o descargar archivos adjuntos desde correos, páginas web desconocidas o sospechosas debido a que pueden contener malware.
- Si es posible, establecer una política estricta por medio de listas de acceso controlado para evitar que algún actor de amenaza utilice herramientas legítimas con potencial uso malicioso (PUA / PUP).
- Mantener todos los sistemas y software que se usan en la organización actualizados con los últimos parches de seguridad. Es importante hacer las pruebas necesarias antes de aplicar los cambios en los ambientes de producción y que no afecten a la operación.
- Evitar usar software no autorizado o pirata, ya que estos pueden contener artefactos maliciosos que pueden ser un vector de ataque inicial hacia la organización.
- Si en la organización existen servidores, equipos legados o sin soporte es altamente recomendable mantenerlos en una red aislada, monitoreada y protegida para evitar que sean comprometidos fácilmente.
- Planificar y realizar pruebas de seguridad en la infraestructura y aplicaciones de manera periódica para identificar si existen vulnerabilidades y que estas sean mitigadas antes de que un actor de amenaza las aproveche.
- Establecer un proceso de creación de copias de seguridad, considerando la información esencial y un calendario de fechas, esto para mantenerlas protegidas en dispositivos que no estén dentro de la misma infraestructura de la organización para garantizar la continuidad del negocio.
- Limitar el acceso de usuarios y aplicaciones solo a lo estrictamente necesario (principio de mínimo privilegio).
- Evitar habilitar el contenido de documentos sospechosos o que no han sido emitidos por fuentes confiables, ya que este puede ser ejecutado con facilidad para efectuar actividades maliciosas en el sistema operativo. Uno de estos ejemplos son los archivos de Microsoft Office que contengan macros de ejecución automática.
- Deshabilitar las macros de Microsoft Office o permitir mediante una política de Group Policy Object (GPO) que se ejecuten únicamente aquellas que fueron firmadas digitalmente.
- Mantener una red de gestión fuera de banda (OOB) para la administración de los servicios críticos, de manera que únicamente usuarios puntuales puedan acceder a ellos.
- Separar las redes IT y OT para evitar la propagación de malware derivada del acceso entre ambas infraestructuras, así como deshabilitar puertos o funciones no necesarias.
Preparación enfocada en la gobernanza
- Establecer un modelo de gobernanza de ciberseguridad, incluyendo la creación de un comité de seguridad con participación de las áreas de Tecnologías de la Información (TI), comercial, operativo y legal.
- Integrar el ransomware como riesgo estratégico empresarial, considerando impacto en continuidad operativa, reputación y cumplimiento.
- Definir nivel de tolerancia al riesgo (risk appetite) y escenarios de impacto (interrupción de servicios, filtración de datos, extorsión).
- Asignar roles y responsabilidades claras de las actividades encargadas en procesos y gestión de la gobernanza ante incidentes de ransomware y los activos a su cargo, incluyendo CISO, SOC/CSIRT, etc.
- Implementar un proceso formal de gestión de riesgos basado en identificación, evaluación y tratamiento.
- Implementar supervisión continua del cumplimiento de gobernanza, mediante auditorías internas y revisiones periódicas.
- En caso de contar con proveedores terceros en la cadena de suministro, es importante gestionar el riesgo y el impacto que un incidente de ransomware pueda generar en dichos proveedores y que, a su vez, afecte a la organización:
- Por medio de evaluaciones periódicas de seguridad.
- Limitación y segmentación de accesos externos a infraestructura crítica.
Preparación enfocada en prevención
- Realizar un inventario completo de los activos como plataformas, infraestructura crítica, aplicaciones y datos. Además de clasificarlos por su nivel de criticidad y sensibilidad de información.
- Aplicar controles de protección de identidad en activos críticos como el uso obligatorio del MFA, gestión de nivel de privilegios (PAM) y el monitoreo de accesos administrativos o de cuentas con privilegios específicos de alto nivel.
- Implementar el fortalecimiento de infraestructura crítica, mediante la desactivación de servicios innecesarios, restricción de puertos, accesos y tecnologías expuestas de manera pública hacia Internet, mejores prácticas acorde a protocolos o proporcionadas por fabricantes para tecnologías On-Premises o basadas en la nube (cloud).
- Contar con un plan para la gestión de vulnerabilidades, a nivel de toda la organización, que incluya a los proveedores directamente conectados a la misma, para que se detecten de manera oportuna huecos que puedan ser aprovechados por los atacantes y se realicen las medidas de remediación necesarias, minimizando la posibilidad de afectaciones por estos fallos.
- Contar con la capacidad de detección de amenazas avanzadas en la red mediante el uso de Machine Learning o algoritmos que puedan detectar comportamientos maliciosos, ya que la visibilidad en la red es clave para saber en qué momento un malware está moviéndose lateralmente, ya sea por medio del intento de explotación de una vulnerabilidad o de la reutilización de contraseñas débiles en cuentas de administración.
- Tener la capacidad de manejar un proceso integral que asegure que cualquier servidor que se expone a Internet esté apropiadamente protegido.
- Limitar el acceso a las interfaces de administración de dispositivos como los firewalls a solo en una red segura y de preferencia en una red de uso interno y privada, con el fin de evitar su exposición a Internet.
- Establecer dentro de las políticas de la organización el uso de un segundo factor de autenticación para acceder a servicios e infraestructura crítica, con la finalidad de minimizar la posibilidad de un acceso no autorizado.
- Mapear continuamente los equipos que están siendo expuestos de manera insegura a Internet, para tomar las medidas necesarias —ya sea de protección o de inhabilitación de los servicios— poniendo especial atención en servidores Web, servidores de correo, servicios VPN o SSH.
Mejoras en las herramientas operativas críticas
- Mantener un monitoreo avanzado en los equipos con más accesos para identificar con oportunidad cuándo está sucediendo un evento sospechoso. Se deben considerar los servidores expuestos a internet, por ejemplo:
- Web Servers
- Mail Servers
- VPN Servers
- Si la organización cuenta con servidores Citrix, es recomendable validar que estos solo sean accesibles a través de VPN o de la red local, debido a que son un punto de acceso usado por los operadores de ransomware.
- Resguardar las bitácoras en un servidor central para tenerlas a la mano para su análisis durante una investigación o proceso de respuesta a incidentes y que contengan la dirección IP de origen de la petición.
- Si es requerido el acceso remoto a través de RDP o servicios de terminal, estos solo deben ser accesibles a través de una VPN segura (con múltiple factor de autenticación) a la red corporativa o mediante una puerta de enlace de acceso remoto de confianza cero o Zero Trust.
- Servidores críticos para la operación general:
- Controladores de dominios
- Servidores de autenticación
- Hipervisores
- Servidores de respaldos
- Servidores con acceso privilegiado a la mayor parte de la infraestructura:
- Jump Servers
- Servidores de antivirus
- Servidores de monitoreo
- Equipos para la gestión de servidores
- Servidores de compartición de archivos
- Servidores críticos para la operación general:
Refuerzo en la cadena de suministro
- Evaluar y clasificar a los proveedores según su nivel de acceso a sistemas críticos y datos sensibles.
- Exigir controles de seguridad mínimos estos como implementaciones de MFA, gestión de vulnerabilidades, monitoreo activo, etc.
- Limitar los accesos de proveedores mediante principio de mínimo privilegio y segmentación.
- Implementar controles de acceso temporales (Just‑in‑Time) para terceros.
- Monitorear continuamente la actividad de cuentas de proveedores en sistemas internos.
- Validar e inspeccionar software, librerías y actualizaciones desarrolladas por terceros antes de su implementación en los sistemas productivos.
- Mantener un inventario actualizado de dependencias de software o servicios externos contratados.
- Verificar la integridad de actualizaciones mediante firmas digitales o hashes.
- Restringir dependencias externas no autorizadas en ambientes productivos.
- Implementar aislamiento entre sistemas internos y servicios de terceros.
- Evaluar riesgos en la cadena de suministro mediante auditorías periódicas.
- Preparar mecanismos de contingencia ante compromiso de seguridad que afecten a proveedores (revocación de accesos, aislamiento de sistemas o servidores, etc).
Refuerzo en herramientas de inteligencia artificial (IA)
- Monitorear interacciones de IA para detectar:
- Extracción de información.
- Abuso de funcionalidades.
- Automatización maliciosa.
- Validar y controlar los datos de entrada (input) para evitar inyección maliciosa de código o comandos que busquen manipular los modelos.
- Restringir el acceso a modelos de IA y APIs únicamente a usuarios y sistemas autorizados.
- Evitar el uso de modelos y datasets no verificados o de fuentes no confiables.
- Asegurar la cadena de entrenamiento de modelos validando y controlando datasets, pipelines y almacenamiento para evitar manipulación o inserción de datos maliciosos.
- Proteger los componentes de los sistemas de inteligencia artificial, incluidos los modelos, sus pesos y configuraciones, mediante la implementación de controles de integridad, mecanismos de cifrado y monitoreo continuo, con el objetivo de prevenir modificaciones no autorizadas y garantizar la confiabilidad de los sistemas.
- Implementar controles de acceso estrictos en pipelines de MLOps, limitando quién puede entrenar, modificar o desplegar modelos y registrando toda actividad relevante.
- Limitar los privilegios de los servicios de inteligencia artificial, tanto servicios internos (modelos desplegados en infraestructura propia), servicios externos (consumo de APIs de IA) y servicios de terceros integrados en la operación, asegurando que operen bajo el principio de mínimo privilegio, con el fin de evitar que sean utilizados como punto de pivoteo o como vector para la elevación de privilegios dentro del entorno.
- Estos servicios deben asegurarse mediante controles de autenticación robusta y validación estricta de identidades, incluyendo el uso de autenticación multifactor (MFA), gestión segura de secretos y verificación continua de sesiones, con el propósito de reducir el riesgo de accesos no autorizados.
- Integrar logs de IA en soluciones como un SIEM (Security Information and Event Management), para correlacionar con actividad de red, identidad y Endpoints.
- Asegurar dependencias de IA (frameworks, librerías) para evitar compromisos en la cadena de suministro.
- Aplicar segmentación entre entornos de desarrollo, pruebas y producción de modelos.
Actividades para realizar en las herramientas operativas
- Actualizar periódicamente los parches de seguridad del software utilizado en la organización, para mitigar las vulnerabilidades y disminuir la posibilidad de una explotación.
- Mantener un monitoreo del cambio o adición de GPOs no programadas o generadas por usuarios no autorizados, para prevenir que se usen en la distribución del malware o habiliten servicios vulnerables.
- Llevar a cabo el hardening complementario de equipos y servicios expuestos a Internet:
-
- Implementar elementos como autenticación de factor múltiple (MFA): de esta manera, si una contraseña es robada, no sería suficiente para ganar acceso al servicio.
- Implementar un firewall de aplicaciones Web (WAF), que son filtros especializados para disminuir el riesgo de sufrir un ataque en las aplicaciones Web de la organización.
- Utilizar herramientas de auditoría, como auditd o sysmon, y enviar los logs a un sistema SIEM para reconocer comportamiento anormal en los equipos.
- Asegurar que los datos almacenados en las herramientas operativas estén protegidos ante accesos no autorizados.
Mejoras para la detección y bloqueo
- Mantenerse informado de las amenazas que afectan a la región. Si es posible, es recomendable la adquisición de un servicio de inteligencia de amenazas especializado en Latinoamérica que genere indicadores de compromiso, contramedidas y recomendaciones para la toma de decisiones a nivel estratégico, táctico y operativo.
- Habilitar las características de inspección de tráfico cifrado de los dispositivos de seguridad en el perímetro para mejorar el nivel de detección y visibilidad.
- Restringir el acceso a páginas de Internet catalogadas como maliciosas, mediante herramientas de filtrado Web, para reducir la posibilidad de que un usuario ingrese.
- Controlar y supervisar cuidadosamente el tráfico que sale de la red para detectar comportamiento sospechoso y actuar oportunamente en su análisis, comprobando lo siguiente en las bitácoras:
- Tráfico de red hacia direcciones maliciosas o sospechosas, de acuerdo con la inteligencia de amenazas o comportamiento anómalo catalogado o identificado por la organización.
- Tráfico de red desde servidores DMZ a equipos o servicios fuera de la operación del servidor.
- Solicitudes de resolución de nombres desde servidores DMZ a dominios fuera de la operación del servidor.
- Verificar las solicitudes de conexión que no están relacionadas con el servicio, realizadas por servidores Web, transferencia de archivos o correo electrónico.
- Estar atentos a comunicaciones con servicios de almacenamiento en la nube que no sean los oficiales de la empresa y, si es posible, bloquearlos.
- Revisar y validar antes de realizar una descarga desde sitios de almacenamiento o servicios en la nube como Mega, Discord, Dropbox, Google Drive, OneDrive, Pastebin, GitHub, entre otros. Estos servicios suelen ser utilizados por operadores de malware para alojar sus artefactos. Un servicio de monitoreo podría además de una concientización permitiría a los usuarios no descargar archivos que podrían ser utilizados con fines maliciosos.
- Configurar alertas que se activen cuando un equipo envíe una gran cantidad de información, para detectar si existe algún tipo de filtración de información relacionada con ataques.
- Contar con una solución XDR en cada servidor o EndPoint de la organización. Dado que no todas las soluciones XDR son iguales, y muchas de las que se crearon como soluciones antivirus no tienen las características necesarias para responder a un incidente, se sugiere verificar que la solución empleada en la organización haya pasado distintas pruebas anti-tampering y cuente con una consola de monitorización centralizada protegida contra un posible cifrado.
- Proveer a los dispositivos de seguridad con los indicadores de compromiso (IoC) más actualizados como medida proactiva, para detectar y bloquear ataques hacia la infraestructura.
- Deshabilitar Windows Script Host, si es posible, ya que puede ser utilizado para interpretar y ejecutar JavaScript (archivos .js) y Visual Basic Script (archivos .vbs y .vbe), los cuales pueden ser peligrosos durante un ciberataque.
- Configurar un filtro antispam que bloquee los correos electrónicos, tanto en correos externos como internos con contenido malicioso, enlaces o malware.
- Verificar los permisos de acceso a las carpetas compartidas y la seguridad de las carpetas a nivel del sistema de archivos. Se sugiere utilizar “compartir solo para lectura” para evitar que se depositen archivos maliciosos.
- Utilizar el principio del mínimo privilegio (PoLP) para configurar las cuentas de la organización, especialmente en cuentas de servicios publicados en Internet.
- Segmentar las redes para evitar la propagación de ransomware. La segregación de la red puede ayudar a prevenir la propagación del ransomware al controlar los flujos de tráfico, el acceso a múltiples subredes y restringir el movimiento lateral de un adversario.
- Habilitar la auditoría del sistema para realizar un seguimiento de los eventos de inicio y cierre de sesión en el Directorio Activo; esto puede servir para efectuar una investigación profunda sobre accesos no autorizados.
- Realizar actividades de detección de credenciales comprometidas e implementar alertas en cuentas privilegiadas si se detectan intentos de acceso desde ubicaciones inusuales.
- Realizar actividades de caza de amenazas en la infraestructura de la organización para identificar procesos inusuales, tareas programadas no identificadas, archivos ejecutables sospechosos en rutas del sistema y uso anómalo de recursos en el Endpoint. Por ejemplo, se sugiere verificar en las bitácoras el uso de LOLbins, ejecución de comandos de PowerShell con comportamiento sospechoso, conexiones por el protocolo SMB para detectar movimientos laterales, tareas programadas para mantener persistencia, o programas que se ejecutan al iniciar el sistema operativo.
- Utilizar sistemas DLP para disminuir la probabilidad de fugas de información de la organización y detectar comportamiento anómalo en la transferencia o borrado de grandes volúmenes de información. Para ello, es recomendable clasificar previamente toda la información de la organización.
- Generar respaldos fuera de línea (cintas magnéticas o similares, o almacenamiento en frío en la nube) en una ubicación geográfica distinta a la del centro de datos de la organización, pues brinda seguridad adicional. En caso de que la infraestructura se vea comprometida, el almacenamiento externo puede ayudar a restablecer la operación en menor tiempo.
- Mantener golden images (plantillas o imágenes del sistema) de sistemas críticos fuera de línea. Estas pueden ayudar a restablecer rápidamente las funcionalidades de un servidor en caso de no poder reconstruir de inmediato el equipo afectado. Estas imágenes deben tener sistemas operativos preconfigurados y el software operativo asociado.
- Mantener las copias de seguridad cifradas aumenta el rigor de la confidencialidad y evita que un actor de amenaza pueda tener acceso a dicha información cuando es exfiltrada.
- Mantener un programa activo de threat hunting que permita identificar precursores de ransomware como programas de descarga, comunicación anómala que pueda indicar la comunicación con atacantes dentro de la red, entre otros, de acuerdo con los vectores de ataque más comunes detectados por el equipo de ciberinteligencia.
- Determinar qué tipos de ransomware son los que más están afectando a otras organizaciones del mismo sector y cuáles son sus fases de entrega, distribución, ejecución, persistencia, etc., para establecer medidas de prevención.
- Colaborar con otras organizaciones del mismo sector para compartir información relacionada con ransomware y otras amenazas que han enfrentado.
- Contar con una solución de tipo SOAR (Security Orchestration Automation and Response) para orquestar las actividades de detección, investigación, y respuesta a eventos de seguridad de manera automatizada basada en casos de uso, en especial aquellos casos asociados con ransomware.
- En caso de contar con una solución SIEM en su organización, desarrollar e implementar playbooks a partir de alertas correlacionadas como actividad anómala de autenticación de usuarios o elevación de privilegios.
- Contar con una solución de tipo NDR (Network Detection and Response) para identificar tráfico anómalo como conexiones a servidores de C2, transferencias de datos anómalos en fechas u horarios inusuales, así como identificar escaneo de puertos desde equipos comprometidos.
- Mantener actualizadas las herramientas especializadas conforme evolucionen los TTP de las variantes de ransomware activos en LATAM, permitiendo enriquecerlas mediante indicadores de compromiso (IoCs).
Recomendaciones de administración remota
- Crear una política de GPO en el Directorio Activo para que sea deshabilitada la opción de acceso remoto a los equipos por RDP; de esta manera se evita que se use inapropiadamente en dispositivos de la red.
- Evitar el uso de software para acceso remoto a dispositivos de la organización y monitorear su intento de instalación. En caso de ser necesaria la administración remota, se recomienda implementar el uso de VPN con doble factor de autenticación y habilitar de manera puntual el RDP en los dispositivos para este servicio: con esta medida, se reduce la posibilidad de que un usuario no autorizado acceda a estos recursos.
- Realizar bloqueos definidos por geolocalización en servicios de acceso remoto como VPN para evitar accesos desde países en donde no se tiene operación.
- Crear reglas de detección mediante las cuales se alerte cuando existan accesos a VPN desde dos puntos geográficamente lejanos en un periodo corto —conocidos como “viajes imposibles”— para identificar de manera oportuna si un usuario presenta este comportamiento y sea investigado.
- Bloquear la cuenta al detectar este comportamiento puede ayudar a reducir el impacto de un ataque.
- Auditar las actividades de acceso remoto para detectar accesos desde orígenes anormales o accesos a servicios críticos de usuarios no relacionados con dichos servicios como SSH.
- Cambiar el puerto de defecto para conexiones SSH (puerto TCP/22) por un puerto no estándar, así como restringir el acceso solo a direcciones IP autorizadas.
- En caso de utilizar conexiones a activos críticos por medio del protocolo SSH, implementar la autenticación basada en claves SSH en lugar de contraseñas, así como configurar su rotación periódica.
- En caso de que por razón de la operación se requiera el uso de software de acceso remoto, es importante que se tengan en cuenta las siguientes recomendaciones:
- Agregar el software a una lista blanca o de acceso controlado solo para los equipos que lo requieren, y deshabilitarlo para el resto de los dispositivos en la red corporativa para que solo una cantidad controlada de equipos puedan tener acceso con el aplicativo.
- Implementar un doble factor de autenticación en el software de administración remota. Si el aplicativo que se utiliza no tiene esta opción, se sugiere usar alguno con esta funcionalidad; de esta manera, se reduce la posibilidad de que un atacante adivine la contraseña y se apropie del control del dispositivo.
- Habilitar y centralizar los registros (logs) de las aplicaciones para su monitoreo continuo, asegurando que, en la medida de lo posible, sean enviados a un sistema de correlación de eventos (SIEM), con el propósito de correlacionar eventos, identificar comportamientos anómalos y detectar de forma oportuna posibles intentos de acceso no autorizado; adicionalmente, se recomienda definir y ajustar reglas de detección específicas que permitan auditar y validar si los accesos corresponden a actividades legítimas.
- Deshabilitar o desinstalar el software mientras no se requiera, para que no sea utilizado inadvertidamente.
Recomendaciones relacionadas con PowerShell
- Crear una política de GPO en el Directorio Activo para que se deshabilite el uso de PowerShell en equipos en los que no sea necesario su uso, y que solo se permita que algunos usuarios con necesidades específicas puedan ejecutarlo.
- Implementar la tecnología Just Enough Administration (JEA) para delegar tareas administrativas específicas a usuarios sin otorgarles privilegios administrativos completos.
- Aplicar políticas de ejecución (Execution Policy ) seguras (RemoteSigned o AllSigned) para evitar ejecución de scripts no confiables.
- Implementar PowerShell Constrained Language Mode para limitar la ejecución de scripts avanzados o no autorizados.
- Si se requiere el uso de PowerShell en algunas computadoras, se sugiere tomar en cuenta lo siguiente:
- Actualizar a la última versión disponible, además de eliminar las versiones anteriores para evitar que los atacantes aprovechen vulnerabilidades y ejecuten su código malicioso.
- Configurar la ejecución de scripts a menos de que estén firmados o hayan sido generados para uso interno de las funciones de la organización; con esto se reduce la posibilidad de la ejecución de comandos no autorizados.
Recomendaciones relacionadas con SMB
- Crear una política de GPO en el Directorio Activo para evitar que esté habilitado por defecto el uso de SMB, y suprimir los accesos a discos duros por este protocolo mediante las cuentas administrativas, pues configuraciones de este tipo dan pie a la posibilidad de un movimiento lateral.
- Considerar utilizar dispositivos con SMB versión 3 debido a que la versión 1 de este protocolo ha sido afectada por ataques de ransomware. Por otra parte, en caso de contar con dispositivos que usen SMB versión 2 aislarlos en una red segmentada.
- Difundir e implementar el uso de contraseñas seguras que no sean fáciles de adivinar o descifrar por técnicas como credential stuffing, fuerza bruta, ataques de diccionario, password spraying o rainbow table.
- Verificar que los dispositivos no cuenten con vulnerabilidades como EternalBlue, SMBleed o SMBGhost, también conocida como CoronaBlue, las cuales han sido utilizadas por atacantes durante incidentes de ransomware.
Recomendaciones para Directorio Activo
- Limitar o restringir el acceso de los administradores de dominio a cualquier dispositivo que no sea un controlador de dominio. Si un administrador requiere emplear sus credenciales, es recomendable dar acceso en un dispositivo de usuario final, auditar los accesos y registrar la actividad en un SIEM
- Adquirir una solución de propósito específico para protección del Directorio Activo. Las soluciones de tipo deception, trampas de malware o honeypots pueden ayudar a detectar un intento de ataque a tiempo, no solo en el Directorio Activo sino también en la red operativa.
- Realizar procesos de cacería de amenazas en los controladores de dominio, servidores, estaciones de trabajo y directorios activos, en búsqueda de cuentas nuevas o cuya generación no sea reconocida o sea sospechosa.
- Cambiar las contraseñas de todas las computadoras periódicamente y usar múltiple factor de autenticación en las cuentas de todos los usuarios del Directorio Activo.
- Nunca ejecutar servicios no oficiales con altos privilegios o con cuentas de administrador de dominio, ya que estos podrían almacenar las credenciales que podrían ser usadas con propósitos maliciosos.
- Limitar la creación de cuentas de administración de dominio y otros grupos privilegiados: entre menos cuentas y grupos existan, será más difícil para el atacante encontrar cuentas administrativas.
- Proteger la cuenta del administrador de dominio con contraseñas robustas, MFA y cambios periódicos.
- Deshabilitar la cuenta integrada de administrador y eliminar usuarios del grupo de administración local, en caso de ser posible.
- Habilitar la auditoría y reglas de correlación en tiempo real relacionadas con la modificación de GPOs, ya que algunos actores de amenaza realizan actividades maliciosas abusando de ellas.
- Restringir la instalación de software adicional o la configuración de roles del servidor en los controladores de dominio que no sean los definidos en las políticas de seguridad de la organización.
- Realizar la gestión de parches y exploración de vulnerabilidades con regularidad.
- Utilizar servicios DNS seguros para bloquear dominios maliciosos.
- Habilitar y configurar el firewall de Windows con las reglas definidas en las políticas de seguridad de la organización.
- Usar una aplicación de listas blancas en las que se establezca cuáles son las aplicaciones permitidas para ejecutarse en el Directorio Activo.
- Implementar una solución PAM (solución de manejo de acceso privilegiado).
- Utilizar una estación de trabajo de administración segura (SAW).
Recomendaciones para hipervisores
- Mantener el software de virtualización actualizado con los últimos parches liberados por el fabricante.
- Desactivar el acceso a las cuentas root, estableciendo definidas cuentas con los permisos únicos a utilizar.
- Establecer permisos únicos a la CLI a los únicos usuarios autorizados.
- Implementar una herramienta XDR (Extended Detection and Response) para identificar, detectar y prevenir ataques a las máquinas virtuales contenidas en los hipervisores.
- Aislar de la red el hipervisor junto con los recursos necesarios para su funcionamiento, como vSANs y respaldos.
- Definir reglas para VEEAM, HYPERV y VMWare (para que solo se pueda tener acceso a estas plataformas desde servidores específicos de administración) y restringir el acceso a esos servidores.
- Administrar identidad y acceso al desacoplar ESXi, vCenter y otros hipervisores del Directorio Activo para que sea protegida la infraestructura de virtualización en caso de que sea comprometida.
- Utilizar cuentas dedicadas a la administración de la infraestructura, habilitar múltiple factor de autenticación (MFA) y administrar las credenciales de forma segura.
- Restringir los servicios únicamente necesarios a usar en los hipervisores.
- Activar el firewall local para permitir accesos administrativos desde segmentos de red o hosts confiables.
- Enviar las bitácoras de los hipervisores al SIEM central de la organización para proveer visibilidad en los eventos de seguridad ocurridos.
- Mantener respaldos frecuentes y que no puedan ser eliminados por un atacante. Esto se puede lograr al contar con respaldos fuera de línea o en servicios especializados.
Recomendaciones específicas para vSphere y ESXi
- Proteger y monitorear el acceso a vCenter, ya que este plano de gestión puede ser empleado para desplegar ataques de ransomware en múltiples hosts de manera simultánea.
- Mantener actualizados los hosts ESXi y aplicar parches de seguridad de manera prioritaria, debido a la explotación activa de vulnerabilidades críticas (como la vulnerabilidad CVE‑2025‑22225) en campañas de ransomware.
- Es recomendable tomar en cuenta los hardware que incluyan TPM 2.0 para instalar el software de virtualización, el cual hará uso automático del chip de seguridad para almacenar llaves de autorización y asegurarse de que los archivos del sistema no hayan sido modificados.
- Secure Boot: permite verificar que el código que se ejecuta durante el arranque del servidor esté firmado digitalmente y no haya sido modificado, lo que dificulta la persistencia y control inicial por parte de los actores de amenaza.
- Se puede habilitar en el siguiente enlace: /usr/lib/vmware/secureboot/bin/secureBoot.py -c
- execInstalledOnly: esta es una propiedad de ESXi y vSphere para restringir la ejecución de archivos binarios en el hipervisor, lo que evita que un actor de amenaza despliegue sus herramientas y las ejecute. Para verificar si está activo y para activarlo, hay que ejecutar lo siguiente:
- esxcli system settings kernel list -o execinstalledonly
- esxcli system settings kernel set -s execinstalledonly -v TRUE
IMPORTANTE: Para evitar inconvenientes, las configuraciones mencionadas deben llevarse a cabo en pruebas de laboratorio o ambiente de pruebas UAT previo a realizarlas en el ambiente productivo. Si la operación de la organización lo permite, es altamente recomendable la restricción del uso de las siguientes herramientas, ya que SCILabs las identificó mediante la respuesta a incidentes. Aunque algunas pueden ser utilizadas de manera legítima, es importante estar atentos a su comportamiento y alertar en caso de alguna instalación desconocida o sospechosa.
| Herramienta | Actividad | Herramienta | Actividad |
| ADRecon | Reconocimiento | WinSCP | Exfiltración |
| PsExec | Movimiento lateral | NirCmd | Ejecución de comandos/Evasión de defensas |
| Mimikatz | Robo de credenciales | Rclone | Exfiltración |
| Herramientas de contraseñas de Nirsoft | Ejecución de comandos/Evasión de defensas | PCHunter | Reconocimiento/Manipulación de procesos |
| ExMatter | Exfiltración | GMER | Evasión de defensas |
| Bloodhound tool | Reconocimiento | BazarLoader | Movimiento lateral |
| CrackMapExec | Movimiento lateral | GrabFF | Robo de credenciales Firefox |
| Inveigh/InveighZero | Captura/Robo de credenciales | GrabChrome | Robo de credenciales Chrome |
| MegaSync | Exfiltración | BrowserPassView | Robo de credenciales otros navegadores |
| Adfind | Reconocimiento/Movimiento lateral | KeeThief | Robo de clave maestra de KeePass |
| Rubeus | Robo de credenciales | FileGrab | Exfiltración de archivos |
| Stealbit | Exfiltración | CobaltStrike | Comando y control/Postexplotación |
| ConnectWise/ScreenConnect | Persistencia/Movimiento lateral | FileZilla | Exfiltración |
| Process Hacker | Reconocimiento | Advanced Port Scanner | Reconocimiento |
| Conexiones RDP | Persistencia/Movimiento lateral | NetScan | Reconocimiento/Movimiento lateral |
| ProxifierPE | Comando y control (Proxy) | Pcloud | Exfiltración de datos |
| OpenChromeDumps | Robo de credenciales | WmiExecAgent | Movimiento lateral/Ejecución de comandos |
| S3 Browser | Web Browsing | LaZagne | Robo de credenciales |
| Ngrok | Reconocimiento | SoftPerfect | Reconocimiento/Movimiento lateral |
| TDSSKiller | Evasión de defensas | TightVNC | Evasión de defensas/Movimiento lateral |
Tabla 1. Herramientas más utilizadas por las variantes de ransomware
¿Qué hacer durante un ataque de ransomware?
Cuando una organización ya fue comprometida, enfrenta múltiples incógnitas, como: ¿existe alguna forma gratuita de recuperar la información?, ¿qué debe notificarse a la alta dirección?, ¿cómo iniciar tareas de recuperación?, ¿el ataque fue orquestado por algún empleado?, ¿es posible limpiar los equipos comprometidos?, ¿qué es necesario, bloquear o aislar?, entre muchas otras; por ello, se recomienda enfocarse en lo siguiente:
- Iniciar un proceso de respuesta a incidentes, el cual podrá recurrir al BCP (Business Continuity Plan) en caso de un ataque cibernético ocasionado por ransomware. Esto permitirá seguir el plan previamente definido y manejar la crisis de manera adecuada.
- En caso de no contar con un BCP, se requiere diseñar un plan de contingencia que permita mantener la operación del negocio. Este plan debe contemplar un DRP (Disaster Recovery Plan), y, de ser posible, incluir una política de respaldos robusta que considere copias de seguridad fuera de línea de la información crítica para la operación, a fin de evitar que se vean comprometidas en caso de un ataque de ransomware.
- En caso de no contar con un proceso de respuesta a incidentes, es importante considerar lo siguiente:
- Involucrar a un equipo experto en respuesta a incidentes especializado en ciberinteligencia permitirá actuar con mayor rapidez y certeza.
- Definir la postura de la organización para comunicarla interna y externamente, de tal forma que se establezca una versión unificada de la situación, evitar el pánico y reducir el impacto mediático.
- Definir un war room en el cual se encuentren física o virtualmente (según corresponda) todos aquellos que deben participar en la respuesta al incidente.
- Designar a un responsable de comunicar el estado del incidente a la alta dirección y otras áreas de la organización.
- Definir un líder del incidente que pueda tomar decisiones a ser ejecutadas por el resto de los equipos de la organización. A continuación, se listan algunas actividades que debería efectuar el líder del incidente durante el evento:
- Elegir las fuentes de investigación que le darán información para investigar el incidente.
- Determinar si es necesario obtener el triage de equipos involucrados.
- Generar las hipótesis que dirigirán la investigación y que serán confirmadas o descalificadas con base en la evidencia obtenida.
- Generar recomendaciones para la contención, erradicación y recuperación del incidente.
- Designar a un líder técnico con la capacidad de coordinar al grupo de especialistas responsables de las diversas áreas de tecnología involucradas en el proceso crítico afectado, y que apoye durante las actividades de respuesta para que los especialistas puedan actuar con la celeridad necesaria.
- Mantener la calma y no sacar conclusiones inmediatamente, ya que esto puede conducir a tomar decisiones apresuradas que afecten el proceso de respuesta y entorpezcan el restablecimiento de la operación.
- Evitar buscar a los responsables internos del ataque, ya que esto puede dar lugar a situaciones de confrontamiento con el personal que obstruyan el desarrollo de la respuesta al incidente.
- Conducir un análisis profundo, en caso de contar con muestras de artefactos, para encontrar indicadores de compromiso que ayuden en la detección, contención y posible erradicación de la amenaza.
- Establecer procedimientos para bloquear accesos, notificar incidentes y realizar análisis forense tras un intento de ataque exitoso
- Evitar divulgar información en redes sociales y medios de comunicación acerca de lo sucedido, con el fin de prevenir la generación de falsas expectativas de la situación. En el caso de empresas que cotizan en la bolsa, una gestión inadecuada de la comunicación y la falta de mensajes que transmitan tranquilidad, pueden aumentar la especulación y, en consecuencia, provocar una posible caída en el valor de las acciones.
- Evitar cargar muestras a herramientas públicas de análisis, ya que otros usuarios las podrían descargar y divulgar información confidencial de la organización.
- En caso de realizar actividades de contención inmediatas, como el aislamiento de un equipo afectado, se recomienda que el equipo en el cual está sucediendo el incidente no sea apagado, solo desconectado, debido a que si se apaga se podría perder información importante en la investigación del incidente.
- Integrar equipos legales especializados dentro de los planes de respuesta a incidentes, con el objetivo de gestionar escenarios de extorsión híbrida (combinación de presión por datos comprometidos y amenazas legales), garantizando que la toma de decisiones se base en un análisis objetivo del riesgo y no en la presión externa ejercida por los atacantes.
Prevención de movimiento lateral
- Implementar el uso de firewalls internos y listas de control de acceso (ACLs) que permitan el bloqueo de tráfico entre segmentos en los cuales no sea necesario, como la restricción de protocolos SMB y RDP.
- Configurar el firewall de Windows en todos los hosts para bloquear técnicas ampliamente utilizadas, como el uso de PowerShell.exe u otros scripts y binarios Living-Off-the-Land.
- Poner especial atención en la ejecución de herramientas como wmic.exe, psexec, netuse, PaExec, crackmapexec o TightVNC, las cuales son frecuentemente utilizadas por actores de amenazas para realizar movimientos laterales.
- Restringir o evitar el uso de herramientas de administración remota, tales como AnyDesk, GoToAssist, Atera, HOST, Team Viewer, entre otras, comúnmente utilizadas por los actores de amenazas para ejecutar movimientos laterales en la red de la víctima.
- Segmentar la red y restringir el tráfico innecesario. Se recomienda implementar la segmentación mediante VLANs para aislar los sistemas en distintos segmentos, limitando la comunicación entre dispositivos críticos y no críticos. Asimismo, la microsegmentación mediante tecnologías como VMware NSX permite definir reglas más granulares y reducir la superficie de ataque.
- Aplicar el principio de privilegio mínimo para garantizar que los usuarios y sistemas solo tengan los permisos estrictamente necesarios para realizar sus funciones.
- Deshabilitar credenciales predeterminadas y aplicar autenticación multifactor (MFA) en accesos críticos.
- Habilitar tecnologías como Windows Defender Credential Guard para proteger las credenciales almacenadas en la memoria del sistema contra ataques de robo de hashes, como Pass-the-Hash.
- Monitorear activamente el uso de cuentas privilegiadas y detectar el uso de herramientas de ataque como Mimikatz mediante soluciones de seguridad como Sysmon y SIEMs.
- Implementar soluciones de detección y respuesta en Endpoints (EDR/XDR) que permitan identificar comportamientos anómalos y bloquear ataques antes de que se propaguen. Además, un SIEM bien configurado ayuda a correlacionar eventos sospechosos y generar alertas en tiempo real.
- Monitorear accesos inusuales a través de RDP y actividades sospechosas en el uso de credenciales, lo que puede indicar intentos de desplazamiento lateral por parte de atacantes.
Dependiendo de la magnitud del incidente, el equipo de respuesta a incidentes determinará las acciones que tengan más sentido y establecerá una ruta crítica que pueda conducir a la recuperación de los sistemas afectados, de acuerdo con el entendimiento de la amenaza y la inteligencia con la que cuente.
¿Qué hacer después de un ataque de ransomware?
Una vez que las organizaciones salen de la crisis que conlleva un ataque de ransomware, es importante tomar en cuenta las siguientes recomendaciones:
- Realizar una sesión de lecciones aprendidas que permita a la organización determinar qué pudieron hacer diferente, y poner en marcha acciones que eviten una reinfección.
- Efectuar un ejercicio de hunting de amenazas avanzadas que permita identificar si existe la misma amenaza o una similar en alguna parte de la red que deba ser atendida a la brevedad.
- Mantener un monitoreo exhaustivo durante por lo menos tres meses, para asegurarse de que en la organización ya no existen rastros del atacante; esto implica entender los alertamientos generados por las diferentes soluciones de seguridad implementadas durante la respuesta a incidentes e investigar con profundidad cada uno de ellos.
- Desarrollar modelos de detección que se asemejen al modus operandi del atacante para contar con una detección oportuna de algún nuevo evento asociado con la misma amenaza.
- Implementar una campaña dirigida a los socios y usuarios resumiendo los acontecimientos por los que acaba de pasar la organización y la importancia de seguir los lineamientos de seguridad establecidos.
- Realizar un diagnóstico integral que permita determinar el estado actual de la organización desde el punto de vista de procesos, gente y tecnología, mediante el cual pueda conocerse la postura de ciberseguridad interna y externa de la organización, para que con ello se cree una estrategia de ciberseguridad.
- Diseñar la estrategia de ciberseguridad de la organización con una visión holística, en la que se tomen en cuenta por lo menos los siguientes puntos:
- Considerar las nuevas oportunidades que deben ser soportadas por los servicios de ciberseguridad para proteger los datos críticos, tomando en cuenta los objetivos del negocio, sus necesidades y el cumplimiento regulatorio que debe soportar.
- Contemplar un enfoque en los riesgos que enfrenta la organización de acuerdo con su sector y su modelo de amenazas.
- Entender la importancia del factor humano, así como la personalidad de los usuarios para responder a las expectativas internas y externas, además de determinar cómo y a quién dirigir las campañas continuas de concientización.
- Ejecutar un monitoreo continuo de ciberinteligencia, así como un mapeo del modelo de amenazas que permita visualizar la postura de ciberseguridad y cómo es percibida interna y externamente.
- Asegurarse de que la estrategia de seguridad contemple capacidades de identificación a través de una arquitectura de visibilidad, monitoreo continuo y prevención, mediante un enfoque holístico que considere la cacería continua de amenazas, protección mediante la tecnología adecuada en los puntos necesarios, gente preparada, procesos sólidos, respuesta orquestada por personal experto, recuperación, verificación por medio de procesos y énfasis en la resiliencia.
