México ocupa el primer lugar en ataques de ransomware en Latinoamérica. En 2025, más del 60% de las empresas mexicanas reportaron al menos un intento de ataque. Lo alarmante es que la mayoría de PYMEs no tiene un plan de respuesta, y cuando el ataque llega, la reacción es pánico seguido de decisiones costosas.
Anatomía de un ataque de ransomware
Entender cómo funciona el ataque es el primer paso para defenderse.
Fase 1 — Acceso inicial: El atacante entra a tu red. Los métodos más comunes son phishing (emails con archivos maliciosos), credenciales robadas (compradas en la dark web), vulnerabilidades en software desactualizado, y acceso remoto mal configurado (RDP expuesto).
Fase 2 — Movimiento lateral: Una vez dentro, el atacante explora tu red silenciosamente. Busca servidores de archivos, bases de datos, y backups. Esta fase puede durar días o semanas sin que te des cuenta.
Fase 3 — Exfiltración: Antes de cifrar, muchos atacantes copian tus datos. Esto les da doble palanca: si no pagas por el descifrado, amenazan con publicar tu información.
Fase 4 — Cifrado: El ransomware se activa, cifra todos los archivos accesibles, y deja una nota de rescate. Típicamente piden Bitcoin o Monero, con montos que van desde $10,000 hasta millones de dólares.
Protocolo de respuesta inmediata
Si descubres que fuiste atacado, sigue estos pasos en orden:
Paso 1: Aislar (primeros 15 minutos)
- Desconecta las máquinas infectadas de la red (cable ethernet, no solo WiFi)
- No apagues las máquinas (preservar evidencia en memoria RAM)
- Desconecta drives de red compartidos
- Deshabilita acceso VPN temporalmente
Paso 2: Evaluar el alcance (primera hora)
- ¿Cuántas máquinas están afectadas?
- ¿Qué tipo de archivos fueron cifrados?
- ¿Los backups están intactos? (verificar que no fueron cifrados también)
- ¿Hay evidencia de exfiltración de datos?
Paso 3: Notificar (primeras 4 horas)
- Equipo directivo y legal
- Tu proveedor de ciberseguridad (si tienes uno)
- Policía Cibernética de la Guardia Nacional (800-440-3690)
- Si hay datos personales comprometidos: preparar notificación al INAI según LFPDPPP
Paso 4: Decidir (primeras 24 horas)
Tienes tres opciones:
Opción A — Restaurar desde backup: Si tienes backups limpios y recientes, esta es la mejor opción. Tiempo de recuperación: horas a días dependiendo del volumen.
Opción B — Descifrar sin pagar: Algunas variantes de ransomware tienen descifradores públicos. Verifica en nomoreransom.org antes de considerar pagar.
Opción C — Pagar el rescate: No recomendado. Solo el 65% de quienes pagan recuperan todos sus datos. Financias al atacante. No garantiza que no vuelvan a atacarte. Puede violar regulaciones anti-lavado de dinero.
Obligaciones legales en México
LFPDPPP
Si datos personales de clientes fueron comprometidos:
- Notificación al titular: Debes informar a las personas afectadas de forma inmediata y sin demora. La ley no especifica un plazo exacto pero la interpretación del INAI es "tan pronto como sea posible".
- Contenido de la notificación: Naturaleza del incidente, datos comprometidos, acciones correctivas tomadas, recomendaciones al titular, datos de contacto para más información.
- Notificación al INAI: No es obligatoria por ley pero es altamente recomendada. Demuestra buena fe y puede atenuar sanciones.
Implicaciones fiscales
Los pagos de rescate no son deducibles fiscalmente en México. Además, si pagas en criptomonedas, debes reportar la transacción al SAT.
Defensa preventiva: las 5 capas
Capa 1: Email seguro
- Filtrado avanzado con sandbox (analiza archivos en ambiente aislado antes de entregarlos)
- SPF, DKIM, y DMARC configurados (evita spoofing de tu dominio)
- Capacitación mensual de phishing para empleados
Capa 2: Gestión de acceso
- MFA obligatorio en todos los accesos remotos
- Principio de menor privilegio (cada persona accede solo a lo que necesita)
- Revisión trimestral de permisos y cuentas activas
- Eliminación inmediata de acceso cuando alguien deja la empresa
Capa 3: Parcheo y actualización
- Actualizaciones de seguridad dentro de 72 horas de publicación
- Inventario de software para identificar versiones vulnerables
- Retiro de software end-of-life (Windows 7, Server 2012, etc.)
Capa 4: Backups resilientes
- Regla 3-2-1: 3 copias, 2 medios diferentes, 1 fuera del sitio
- Al menos 1 backup offline (desconectado de la red)
- Pruebas de restauración mensuales (un backup no probado no es un backup)
- Retención mínima de 30 días para detectar cifrado latente
Capa 5: Detección y respuesta
- EDR en todos los endpoints (detecta comportamiento de cifrado masivo)
- Monitoreo 24/7 de eventos de seguridad
- Plan de respuesta a incidentes documentado y practicado
- Simulacros de ransomware anuales
El costo real de no prepararse
Una PYME mexicana promedio que sufre ransomware enfrenta:
- Downtime: 7-21 días sin operación normal
- Pérdida de ingresos: $50,000-$500,000 MXN dependiendo del tamaño
- Costo de recuperación: $200,000-$2,000,000 MXN en consultoría, hardware, y reconstrucción
- Daño reputacional: Clientes perdidos, contratos cancelados
- Multas regulatorias: Si se demuestra negligencia en protección de datos
El total puede superar fácilmente los $3,000,000 MXN para una empresa mediana.
Siguiente paso
No esperes al ataque. La preparación cuesta una fracción de la recuperación. En Simiriki implementamos las 5 capas de defensa adaptadas al tamaño y presupuesto de tu empresa, con monitoreo 24/7 y plan de respuesta probado.