Cómo Protegerse del Ransomware en 2026: Guía Completa para Empresas y Particulares

El ransomware es la amenaza de ciberseguridad con mayor impacto económico para empresas españolas en 2026. Grupos como LockBit 3.0, Akira y RansomHub atacan a pymes con menos de 50 empleados con la misma agresividad que a grandes corporaciones. Esta guía cubre los vectores de ataque activos, las medidas de defensa por capas que funcionan, la regla de backup 3-2-1-1-0, el protocolo de respuesta en los primeros 30 minutos, y cuándo (casi nunca) tiene sentido pagar el rescate.

Grupos de ransomware activos en 2026: quiénes son y cómo operan

El ecosistema del ransomware en 2026 está dominado por el modelo RaaS (Ransomware-as-a-Service): los desarrolladores del malware licencian su código a afiliados que ejecutan los ataques a cambio de una comisión del 20-30% del rescate. Este modelo industrial ha bajado la barrera de entrada técnica y multiplicado el número de ataques. Entender quiénes son los actores principales ayuda a entender sus tácticas y objetivos.

LockBit 3.0

LockBit sigue siendo la operación RaaS más prolífica. Tras la operación Cronos de Europol en febrero de 2024 que desmanteló temporalmente su infraestructura, el grupo relanzó operaciones bajo LockBit 3.0 con infraestructura renovada y un programa de recompensas por vulnerabilidades en su propio malware. Sus afiliados atacan sectores de manufactura, servicios jurídicos, sanidad y administración pública. LockBit 3.0 usa doble extorsión: cifra los datos y amenaza con publicarlos en su sitio de filtraciones si no se paga en el plazo marcado.

BlackCat / ALPHV

BlackCat (también conocido como ALPHV) es el ransomware más sofisticado técnicamente. Está escrito en Rust, lo que le permite compilarse para Windows, Linux y VMware ESXi en un único binario. Es especialmente peligroso para entornos empresariales con virtualización: puede cifrar todas las máquinas virtuales del hipervisor en minutos. BlackCat fue el responsable del ataque a Change Healthcare en 2024, uno de los incidentes de ransomware con mayor impacto sanitario de la historia reciente. Sus afiliados muestran preferencia por objetivos de sector salud y servicios financieros.

Akira

Akira emergió en 2023 y se ha convertido en una de las amenazas más activas contra pymes europeas, incluidas empresas españolas. Su especialidad es la explotación de vulnerabilidades en dispositivos Cisco VPN y concentradores de acceso remoto. Akira usa triple extorsión: cifrado, exfiltración de datos y amenazas de ataques DDoS adicionales si no se paga. Ha comprometido más de 250 organizaciones en sus primeros doce meses de actividad. Es especialmente relevante para pymes españolas porque sus afiliados buscan objetivos de tamaño medio que tienen menos recursos de defensa.

Cl0p

Cl0p se distingue por su preferencia por la explotación de vulnerabilidades en aplicaciones de transferencia de ficheros (MOVEit, GoAnywhere, Accellion FTA). En lugar de cifrar sistemas, se centra en robar datos y exigir rescate por no publicarlos — lo que se llama "extorsión pura" sin cifrado. Esto hace que sus ataques sean más difíciles de detectar porque no hay síntomas visibles inmediatos como ficheros cifrados o pantallas de rescate. Las organizaciones afectadas solo descubren el ataque cuando Cl0p publica los datos robados o envía la nota de extorsión.

RansomHub

RansomHub es el actor de mayor crecimiento en 2024-2025. Surgió absorbiendo afiliados de operaciones desmanteladas por las fuerzas de seguridad (ALPHV, LockBit), ofreciéndoles una comisión más alta (90% para el afiliado). Su velocidad de cifrado es excepcional — puede procesar millones de archivos en minutos — y su panel de administración para afiliados incluye herramientas de negociación automatizadas. RansomHub tiene objetivos declarados: empresas con ingresos superiores a 10 millones de euros, hospitales con más de 100 camas y organizaciones de infraestructura crítica.

El modelo de doble y triple extorsión

La mayoría de estos grupos ya no solo cifran datos — también los roban antes de cifrarlos. Esto cambia fundamentalmente la ecuación: incluso si tienes backups perfectos y puedes restaurar sin pagar, los atacantes pueden publicar información confidencial de clientes, datos contractuales, información financiera o datos de empleados. Algunas organizaciones terminan pagando no por recuperar sus sistemas (que han restaurado de backups) sino por evitar la publicación de los datos exfiltrados.

Vectores de ataque principales en 2026

Conocer cómo entran los atacantes es el primer paso para bloquearlo. Los vectores de acceso inicial son relativamente constantes desde hace años — lo que cambia es la sofisticación con la que se explotan.

RDP sin MFA: la puerta abierta más común

El Remote Desktop Protocol (RDP) expuesto a internet sin autenticación multifactor sigue siendo el vector de entrada número uno. Herramientas como Shodan indexan millones de sistemas con RDP accesible en el puerto 3389. Los atacantes compran credenciales RDP robadas en mercados de la dark web (Russianmarket, Genesis Market) por entre 5 y 50 euros por credencial, o realizan ataques de fuerza bruta automatizados. Una vez dentro con RDP, el atacante tiene acceso interactivo completo al sistema.

La solución es simple pero debe implementarse sin excepciones: MFA en todos los accesos RDP, despliegue de RDP solo a través de VPN (nunca directamente a internet), y uso de puertos no estándar como medida adicional (aunque no sustitutiva).

Phishing y spear-phishing

El phishing sigue siendo el segundo vector más común. Los correos de phishing en 2026 son significativamente más convincentes que los de hace tres años, en parte porque los grupos de amenazas usan modelos de lenguaje generativo para redactar mensajes en español perfecto, sin los errores ortográficos que antes servían de señal de alerta. El spear-phishing (phishing dirigido) es especialmente efectivo: el atacante investiga previamente a la víctima — nombre del director, proyectos en curso, proveedores habituales — para construir un pretexto creíble.

Los ficheros maliciosos más comunes en campañas de phishing actuales: documentos Word con macros, archivos ISO que contienen ejecutables, ficheros LNK (accesos directos de Windows) y archivos HTML que abren páginas de phishing de credenciales al abrirse localmente.

Vulnerabilidades en VPN y dispositivos perimetrales

Los dispositivos de seguridad perimetral — concentradores VPN, firewalls, balanceadores de carga — son objetivos de alto valor porque, si se comprometen, dan acceso directo a la red interna. Las vulnerabilidades críticas en Cisco IOS XE, Fortinet FortiOS, Pulse Secure/Ivanti Connect Secure y Palo Alto PAN-OS han sido explotadas masivamente en los últimos dos años. El grupo Akira, específicamente, tiene especialización técnica en explotar vulnerabilidades de Cisco VPN.

El tiempo entre la publicación de un CVE crítico en un dispositivo perimetral y la primera explotación activa se ha reducido a menos de 48 horas en 2025. El parcheo inmediato no es opcional — es la diferencia entre estar comprometido o no.

Supply chain y proveedores de software

Los ataques de cadena de suministro comprometen a un proveedor de software o servicio para infectar a todos sus clientes a través de actualizaciones o integraciones legítimas. El precedente de SolarWinds en 2020 estableció el patrón que grupos más pequeños han replicado: comprometer el proceso de build de un software legítimo para incluir malware en una actualización firmada digitalmente. Para las pymes españolas, el riesgo más inmediato proviene de proveedores de software de gestión, ERPs verticales de pequeño tamaño y MSPs (proveedores de servicios gestionados) que tienen acceso privilegiado a múltiples clientes.

Credenciales robadas y mercados de acceso inicial

Existe un ecosistema especializado de "Initial Access Brokers" (IABs): actores que se dedican exclusivamente a comprometer redes y venden el acceso a grupos de ransomware. Compran credenciales de infostealers (malware que roba contraseñas de navegadores), o venden accesos VPN y RDP que han comprometido previamente. Para una pyme española, esto significa que el acceso a su red puede estar en venta en un foro de la dark web incluso antes de que el ataque de ransomware se produzca.

Defensa por capas: las medidas que realmente funcionan

No existe una medida de seguridad única que proteja contra el ransomware. La defensa efectiva es por capas: cada capa detiene algunos ataques, y la combinación de todas reduce el riesgo a niveles manejables. Para pymes españolas con presupuesto limitado, el orden de prioridad importa.

MFA en todos los accesos: la medida con mayor retorno

La autenticación multifactor (MFA) es, con diferencia, la medida de seguridad con mayor impacto por euro invertido. Microsoft reporta que MFA bloquea el 99,9% de los ataques de compromiso de cuentas automatizados. Implementa MFA en este orden de prioridad:

1. Correo electrónico corporativo — especialmente Microsoft 365 y Google Workspace. El correo comprometido da acceso a contraseñas restablecidas de todos los servicios vinculados
2. VPN y acceso remoto — todo acceso desde fuera de la red corporativa debe requerir segundo factor
3. RDP y escritorio remoto — si RDP es necesario, solo a través de VPN con MFA
4. Paneles de administración — Azure, AWS, cPanel, paneles de backup, consolas de virtualización
5. Aplicaciones críticas de negocio — ERP, CRM, sistema de facturación, banca online

El tipo de segundo factor importa: las aplicaciones de autenticación (Microsoft Authenticator, Google Authenticator, Authy) son más seguras que los SMS, que pueden ser vulnerables a ataques de SIM swapping. Las llaves de seguridad hardware (YubiKey, llaves FIDO2) son la opción más segura para cuentas de administrador.

EDR: detección y respuesta en el endpoint

Los antivirus tradicionales basados en firmas ya no son suficientes contra el ransomware moderno, que usa técnicas de evasión como código polimórfico, living-off-the-land (usando herramientas legítimas del sistema como PowerShell o WMI) y cifrado del payload. Las soluciones EDR (Endpoint Detection and Response) usan análisis de comportamiento — detectan actividades sospechosas como cifrado masivo de ficheros, movimiento lateral, volcado de credenciales — independientemente de si la firma del malware es conocida.

Las opciones principales para empresas:

• CrowdStrike Falcon — referencia del mercado enterprise, cloud-native, con respuesta automatizada. Precio elevado pero con planes para pymes
• SentinelOne Singularity — destacado por su capacidad de rollback automático: puede revertir los cambios que un ransomware haya hecho antes de que se complete el cifrado
• Microsoft Defender for Business — incluido en Microsoft 365 Business Premium (12€/usuario/mes). Para pymes españolas que ya usan Microsoft 365, activa esta funcionalidad si no lo has hecho — es la opción más accesible con buena cobertura EDR
• Malwarebytes for Teams — opción de entrada para pymes muy pequeñas con presupuesto limitado

Lo crítico es que el EDR esté correctamente configurado y monitorizado. Un EDR instalado pero con alertas ignoradas no protege a nadie.

Filtrado de correo electrónico avanzado

Las soluciones de seguridad de correo electrónico van más allá del filtro de spam básico incluido en Microsoft 365 o Google Workspace. Soluciones como Microsoft Defender for Office 365 Plan 1 (incluido en Business Premium), Proofpoint Essentials o Mimecast para pymes incluyen sandboxing de adjuntos (abren los ficheros en un entorno aislado antes de entregarlos), análisis de URLs en tiempo real y protección contra suplantación de identidad (anti-spoofing, DMARC enforcement). Para una pyme española, la activación correcta de las políticas DMARC, DKIM y SPF en su dominio es gratuita y elimina la posibilidad de que su dominio sea suplantado en ataques de phishing.

Gestión de parches: velocidad sobre perfección

El parcheo rápido es una de las defensas más efectivas contra el ransomware que explota vulnerabilidades conocidas. El objetivo debe ser parchear vulnerabilidades críticas (CVSS ≥ 9.0) en menos de 24 horas desde su publicación, y todas las demás en menos de 30 días. Para las pymes españolas, los sistemas más frecuentemente desactualizados son los dispositivos perimetrales (routers, firewalls, VPNs), el software de virtualización y los sistemas operativos de servidores sin actualizaciones automáticas configuradas.

Usa el catálogo de Vulnerabilidades Explotadas Conocidas (KEV) de CISA (cisa.gov/known-exploited-vulnerabilities-catalog) como guía de priorización — estas son las vulnerabilidades que los atacantes están usando activamente ahora mismo.

Privilegio mínimo y segmentación de cuentas

El principio de privilegio mínimo limita el impacto si una cuenta se ve comprometida. Los usuarios finales no deben tener privilegios de administrador local en sus equipos — esto solo por sí solo bloquea la mayoría de los ransomwares que intentan modificar el registro de arranque o deshabilitar servicios de seguridad. Las cuentas de administrador de dominio deben ser distintas de las cuentas de uso diario de los administradores de TI, y deben tener MFA con segundo factor hardware.

La regla de backup 3-2-1-1-0: el único seguro real contra el ransomware

Una estrategia de backup correcta es la garantía última de que un ataque de ransomware no sea catastrófico. Si tienes backups recientes íntegros e inaccesibles para el atacante, el impacto del ransomware se reduce a días de trabajo perdido y tiempo de restauración — no a la destrucción del negocio. La regla 3-2-1-1-0 es el estándar actualizado para 2026:

• 3 copias de los datos: La copia de producción más dos backups independientes
• 2 medios diferentes: Por ejemplo, disco local NAS y almacenamiento en la nube — no dos discos conectados al mismo servidor
• 1 copia fuera del sitio: Una de las copias debe estar físicamente en una ubicación diferente o en la nube — protege contra incendio, inundación o robo físico además del ransomware
• 1 copia offline o inmutable: Esta es la clave contra el ransomware. Una copia que el atacante no pueda cifrar ni borrar aunque tenga acceso total a la red
• 0 errores de verificación: Los backups que no se prueban son una ilusión de seguridad. Realiza restauraciones de prueba periódicas y verifica la integridad de los datos

Backups inmutables: qué son y por qué son críticos

Los grupos de ransomware modernos dedican parte de su tiempo de permanencia en la red (ese promedio de 21 días) a identificar y destruir o cifrar los backups antes de activar el ransomware. Si tus backups están accesibles desde la red con las mismas credenciales que el resto de sistemas, el atacante los destruirá. Los backups inmutables resuelven este problema: una vez escritos, no pueden ser modificados ni borrados durante un período de retención definido, ni siquiera por el administrador.

Las opciones para backups inmutables:

• Object storage con Object Lock: Amazon S3 Object Lock, Azure Blob Storage con políticas de inmutabilidad, o equivalentes como Wasabi (más económico). Activa el modo WORM (Write Once Read Many) con un período de retención de al menos 30 días
• Veeam con repositorio inmutable: Veeam Backup & Replication soporta repositorios inmutables tanto en almacenamiento objeto como en servidores Linux con XFS y configuración de inmutabilidad de ficheros
• Repositorios Backblaze B2: Opción económica con soporte para Object Lock y precios competitivos para pymes

La copia air-gapped: el seguro máximo

Una copia air-gapped es una copia completamente desconectada de cualquier red. El ejemplo clásico es un disco duro externo que se conecta solo durante la ventana de backup y se guarda físicamente desconectado (en caja fuerte, fuera de la oficina, o en la cámara acorazada de un banco). Un atacante con acceso total a tu red no puede cifrar un disco que no está conectado. Para pymes, una rotación semanal de discos externos almacenados fuera de la oficina es suficiente como capa adicional sobre los backups inmutables en la nube.

Frecuencia y retención: el RPO como decisión de negocio

El Recovery Point Objective (RPO) — cuánto tiempo de datos te puedes permitir perder — determina la frecuencia de backup necesaria. Para la mayoría de las pymes españolas, backups diarios completos con un RPO de 24 horas es el mínimo aceptable. Las empresas con alta actividad transaccional (tiendas online, despachos con mucha facturación diaria) deben considerar backups incrementales cada hora o replicación en tiempo real. La retención mínima recomendada es 30 días — suficiente para detectar un cifrado silencioso que empezó días antes de que lo notaras.

Segmentación de red: por qué limita el radio de explosión

La segmentación de red divide la infraestructura en zonas separadas con controles de acceso entre ellas. Su función en el contexto del ransomware es limitar el movimiento lateral: si un atacante compromete un equipo en la zona de usuarios, no debe poder acceder directamente a los servidores de backups, al servidor de dominio o a los sistemas de producción críticos.

Zonas básicas para una pyme

No es necesaria una arquitectura de red compleja para obtener los beneficios principales de la segmentación. Una división básica en cuatro zonas es suficiente para la mayoría de las pymes:

• DMZ (zona desmilitarizada): Servicios accesibles desde internet (servidores web, correo, VPN concentrator). Estos equipos tienen mayor riesgo y no deben poder alcanzar directamente la red interna
• Red de usuarios: Equipos de trabajo del personal. Acceso a internet y a aplicaciones de negocio, pero no a sistemas de gestión de infraestructura
• Red de servidores: Servidores de ficheros, ERP, base de datos. Acceso solo desde la red de usuarios a los puertos específicos necesarios (no acceso de administración general)
• Red de gestión / administración: Accesos de administrador a servidores, consolas de virtualización, dispositivos de red. Solo accesible desde estaciones de administración dedicadas, nunca desde la red general de usuarios

Microsegmentación y VLANs

A nivel técnico, la segmentación se implementa con VLANs en los switches y reglas de firewall entre segmentos. Los firewalls de nueva generación (Fortinet FortiGate, Sophos XGS, Cisco Meraki MX) permiten definir políticas entre VLANs con granularidad de aplicación — no solo por puerto y dirección IP. La microsegmentación va más lejos: en entornos virtualizados, puede definirse a nivel de máquina virtual individual, impidiendo que dos VMs en el mismo hipervisor se comuniquen directamente si no hay una necesidad explícita.

Por qué la segmentación es especialmente relevante contra BlackCat

BlackCat/ALPHV es especialmente conocido por su capacidad de cifrar entornos VMware ESXi. En una red plana (sin segmentación), el atacante que compromete un equipo de usuario puede alcanzar directamente la interfaz de gestión del hipervisor ESXi. Con segmentación correcta, la interfaz de gestión de ESXi solo es accesible desde la red de administración — un equipo que el atacante no controla.

Protocolo de respuesta: qué hacer en los primeros 30 minutos

Los primeros 30 minutos de una respuesta a un ataque de ransomware son los más importantes. Las decisiones que se toman en ese periodo determinan el alcance final del daño. La mayoría de los errores que amplifican el impacto de un ataque se cometen en este momento, habitualmente por pánico o por instinto equivocado.

Minuto 0-5: aislar del network, NO reiniciar

En el momento en que detectas que un equipo está siendo cifrado — o que muestra una nota de rescate — la primera acción es aislar ese equipo de la red inmediatamente. Desconecta el cable de red. Desconéctalo del WiFi. Si es posible, desactiva el adaptador de red desde el propio sistema operativo si aún tienes acceso.

Lo que NO debes hacer: Reiniciar el equipo. Es el error más común y puede destruir evidencia crítica y empeorar la situación. Algunos ransomwares tienen funcionalidad "wiper" que se activa al reiniciar si detectan que el cifrado fue interrumpido. Además, la memoria RAM del equipo infectado puede contener claves de cifrado, tokens de autenticación y evidencias del vector de entrada que son inaccesibles una vez reiniciado el sistema.

Minuto 5-10: evaluar el alcance y preservar memoria

Mientras el primer equipo está siendo aislado, evalúa qué otros sistemas pueden estar afectados. Mira los logs del Active Directory, los logs del firewall, los eventos de sistemas de monitorización. El objetivo es entender si el ataque está contenido en un equipo o si el atacante ya tiene acceso a múltiples sistemas.

Si tienes capacidad técnica, toma un volcado de memoria RAM de los equipos afectados antes de apagarlos. Herramientas como Magnet RAM Capture (gratuita, Windows) o WinPmem pueden hacerlo en minutos. Esta memoria puede contener evidencias forenses cruciales y, en algunos casos, las claves de cifrado que permitirían recuperar los datos sin pagar el rescate.

Minuto 10-20: notificaciones y activación del plan

Notifica a la dirección de la empresa y activa tu plan de respuesta a incidentes. Si no tienes uno formalizado, este es el momento de crear uno — y está en la lista de cosas a hacer antes de que ocurra un incidente. Llama a tu proveedor de servicios de ciberseguridad o al equipo de IR (Incident Response) si tienes uno contratado.

Contactos que debes tener a mano en este momento:

• INCIBE-CERT: 017 (gratuito, disponible para empresas españolas, responde 24h durante días laborables)
• Policía Nacional: Unidad de Investigación Tecnológica (UIT) — denuncia el incidente aunque no tengas intención de pagar
• Tu seguro de ciberseguridad — si lo tienes, notifícalo inmediatamente. La mayoría de las pólizas tienen plazos de notificación obligatorios

Minuto 20-30: contención y decisiones críticas

Aísla segmentos de red adicionales si hay riesgo de propagación. Deshabilita cuentas de usuario comprometidas en el Active Directory. Revoca sesiones activas en Microsoft 365 o Google Workspace. Si tienes backups inmutables en la nube, verifica que siguen intactos y no ha habido intentos de borrarlos.

No pagues todavía — ni siquiera lo consideres en las primeras horas. Los grupos de ransomware tienen equipos de negociación profesionales y aplican presión temporal artificial para forzar decisiones apresuradas. Tienes más tiempo del que te hacen creer.

Después de los primeros 30 minutos

Preserva las evidencias para la investigación forense: no formatees ni reinstales los sistemas afectados hasta que hayan sido examinados. Documenta todo lo que has observado (pantallas, mensajes de error, equipos afectados, hora del descubrimiento). Prepara un registro cronológico de los eventos que puedas reconstruir.

La restauración desde backups debe esperar a confirmar que el vector de entrada ha sido identificado y cerrado — restaurar antes significa que el atacante puede volver a entrar por el mismo camino.

No More Ransom: desencriptadores gratuitos antes de pagar

Antes de considerar cualquier pago, comprueba el proyecto No More Ransom en nomoreransom.org. Es una iniciativa conjunta de Europol, la Policía Nacional de los Países Bajos y empresas de ciberseguridad (Kaspersky, McAfee, Bitdefender) que recopila herramientas de desencriptado gratuitas para ransomware cuyas claves han sido obtenidas por las fuerzas de seguridad o cuyo cifrado ha sido roto por investigadores.

A fecha de 2026, No More Ransom ofrece desencriptadores para más de 165 familias de ransomware. El proceso es simple: sube un fichero cifrado de ejemplo y un fichero de muestra de la nota de rescate al portal, y el sistema identifica automáticamente si existe una herramienta de desencriptado disponible. Para familias como GandCrab, REvil, Maze o variantes antiguas de LockBit, los desencriptadores están disponibles — pagar habría sido completamente innecesario.

INCIBE también mantiene su propio recurso de ayuda en incibe.es/empresas-y-profesionales/avisos/ransomware con información actualizada sobre amenazas activas y recursos específicos para empresas españolas, incluyendo guías de recuperación y contactos de respuesta a incidentes.

Pagar el rescate: por qué casi nunca es la respuesta correcta

La presión durante un ataque de ransomware puede hacer que pagar parezca la opción más rápida. Los grupos de ransomware están especializados en generar esa presión: cuentas atrás en pantalla, amenazas de publicación de datos, reducción progresiva del "descuento por pago rápido". Entender por qué pagar es casi siempre una mala decisión ayuda a mantener la perspectiva.

No garantiza la recuperación de los datos

Pagar el rescate no garantiza recibir una clave de desencriptado que funcione. Estudios de empresas de respuesta a incidentes (Coveware, Palo Alto Unit 42) muestran que aproximadamente el 20% de las víctimas que pagan no reciben la clave funcional, o reciben una clave que desencripta solo parte de los datos. Los grupos de ransomware son organizaciones criminales — no tienen obligaciones contractuales.

Convierte a tu empresa en objetivo recurrente

Los atacantes comparten información sobre víctimas que han pagado. Una empresa que paga es registrada como "pagadora" — lo que la convierte en objetivo prioritario para futuros ataques, tanto del mismo grupo (conocen tu red) como de otros. Estadísticas de Cybereason muestran que el 80% de las organizaciones que pagan son atacadas de nuevo, el 46% por el mismo actor.

Consideraciones legales: sanciones OFAC

Pagar el rescate puede ser ilegal si el grupo receptor está en la lista de sanciones del Office of Foreign Assets Control (OFAC) del Tesoro de Estados Unidos, o en listas de sanciones de la Unión Europea. En 2021, el Tesoro de EE.UU. emitió una advertencia explícita indicando que las empresas que faciliten pagos a grupos sancionados pueden enfrentar sanciones civiles independientemente de si conocían el estatus del destinatario. Varios grupos de ransomware activos están en estas listas. Antes de cualquier contacto con los atacantes, consulta con un abogado especializado en ciberseguridad.

Cuándo el pago podría ser la única opción

Siendo honestos: hay escenarios donde el pago puede ser la única alternativa. Si los backups fueron destruidos (incluyendo los que creías inmutables), si los datos son críticos para continuar la actividad (historiales médicos de una clínica, datos judiciales de un despacho), y si No More Ransom no ofrece solución, el pago puede ser el único camino. En ese caso: notifica a las autoridades antes de pagar, verifica que el grupo no está sancionado por la OFAC/UE, y negocia — los grupos de ransomware habitualmente aceptan reducciones del 30-50% del rescate inicial en negociaciones serias.

Guía específica para pymes españolas con menos de 50 empleados

Las recomendaciones anteriores pueden parecer abrumadoras para una empresa pequeña con presupuesto de TI limitado. Esta sección presenta un plan de acción priorizado y realista para una pyme española de menos de 50 empleados.

Plan de acción en 90 días: por dónde empezar

Semana 1-2 (coste casi cero, impacto máximo):

• Activa MFA en Microsoft 365 o Google Workspace para todos los usuarios. En Microsoft 365, ve a Seguridad → Acceso condicional → Directivas de seguridad predeterminadas y actívalas. Coste: incluido en tu suscripción actual
• Configura DMARC, DKIM y SPF en tu dominio. Tu proveedor de correo tiene guías específicas. Coste: cero
• Revisa qué puertos están abiertos hacia internet en tu router/firewall. Si tienes el puerto 3389 (RDP) abierto directamente, ciérralo inmediatamente
• Haz un inventario de todos los sistemas y software — necesitas saber qué tienes para poder protegerlo

Semana 3-6 (inversión moderada):

• Activa Microsoft Defender for Business (incluido en Microsoft 365 Business Premium, ~12€/usuario/mes). Si ya tienes esta suscripción, simplemente actívalo en el portal de administración
• Implementa una solución de backup con copia inmutable. Opciones accesibles: Veeam Backup Essentials + Backblaze B2 con Object Lock, o Acronis True Image for Business
• Establece una política de actualizaciones automáticas para sistemas operativos y aplicaciones críticas

Semana 7-12 (consolidación):

• Crea y documenta tu plan de respuesta a incidentes — no necesita ser complejo: qué hacemos si nos atacan, quién llama a quién, dónde están los backups
• Realiza una simulación de restauración desde backups — verifica que funciona antes de necesitarlo
• Considera contratar un seguro de ciberseguridad — los precios para pymes han bajado significativamente y cubren los costes de respuesta a incidentes, honorarios legales y, en algunos casos, parte del rescate
• Forma a tus empleados — 30 minutos de concienciación sobre phishing tienen más impacto que la mayoría del software de seguridad

Recursos gratuitos de INCIBE para pymes

INCIBE (Instituto Nacional de Ciberseguridad) ofrece recursos específicamente diseñados para pymes españolas, todos gratuitos:

• Línea de ayuda en ciberseguridad 017: Atención personalizada para empresas con incidentes o dudas de seguridad, de lunes a domingo
• Kit Digital: El programa de ayudas del Gobierno incluye soluciones de ciberseguridad subvencionadas para pymes
• Diagnóstico de ciberseguridad: En incibe.es/empresas, herramienta gratuita de autoevaluación del nivel de seguridad
• Guías sectoriales: Guías específicas para sector salud, despachos profesionales, comercio y hostelería con recomendaciones adaptadas

Preguntas frecuentes