Un tipo de software malicioso
¿Qué es el ransomware?
Puede impedir el acceso a archivos, bloquear un dispositivo o cifrar información para exigir un pago.
Existen variantes diferentes y no todas se comportan de la misma manera.
Puede afectar
- Documentos.
- Fotografías.
- Videos.
- Bases de datos.
- Discos externos.
- Carpetas compartidas.
- Unidades de red.
- Copias conectadas.
- Otros equipos de la red.
Una comparación sencilla
¿Qué significa que un archivo esté cifrado?
Es transformar la información para que no pueda leerse sin la clave adecuada. Puede compararse con guardar documentos dentro de una caja cerrada cuya llave no tenemos.
- El archivo puede continuar existiendo.
- Su nombre o extensión pueden cambiar.
- El contenido puede dejar de ser legible.
- Cambiar el nombre no lo recupera.
- Cifrar no es lo mismo que eliminar.
- No todo error al abrir significa cifrado.
Indicios, no confirmaciones
Señales que conviene observar
Ninguna señal aislada confirma por sí sola un ataque de ransomware.
Muchos archivos no abren
Un cambio simultáneo merece revisión, aunque también puede existir una falla de almacenamiento.
Extensiones desconocidas
Registrá la extensión sin modificar los archivos originales.
Nombres modificados
Conservá ejemplos y evitá renombrar grandes cantidades.
Nota que exige un pago
Guardá una copia o fotografía como evidencia.
Fondo de pantalla cambiado
Puede utilizarse para mostrar instrucciones, pero no confirma por sí solo la variante.
Pedido de criptomonedas
No tomes una decisión apresurada sin evaluar el alcance y las alternativas.
Textos desconocidos en carpetas
Pueden contener instrucciones; no los elimines antes de registrar su contenido.
Discos externos afectados
Desconectá otras unidades y copias que aún estén sanas.
Carpetas compartidas alteradas
La actividad puede extenderse a recursos accesibles desde el equipo.
Actividad elevada
También existen tareas legítimas; observá si coincide con cambios en los archivos.
Alertas de seguridad
Registrá el nombre, la ubicación y la acción informada.
Otros equipos con síntomas
Aislalos de la red y evitá seguir compartiendo recursos.
Lo primero
Desconectá el equipo de la red antes de realizar más pruebas.
Esto no elimina el problema ni recupera archivos, pero puede evitar que continúe afectando otros lugares. No apagues bruscamente un servidor o sistema crítico sin evaluarlo.
Desconectar temporalmente
- Cable de red.
- Conexión WiFi.
- Discos externos.
- Pendrives.
- Unidades de red.
- Carpetas compartidas.
- Dispositivos de copia conectados.
Conservar evidencia
¿Qué información conviene registrar?
Tomá fotografías o capturas sin modificar ni eliminar los elementos encontrados.
Hora aproximada del inicio.
Primer archivo con problemas.
Nueva extensión de los archivos.
Texto de la nota encontrada.
Nombres de archivos desconocidos.
Programas abiertos en ese momento.
Archivos o enlaces abiertos recientemente.
Dispositivos externos conectados.
Carpetas compartidas disponibles.
Alertas de seguridad.
Otros equipos con síntomas.
Última copia disponible.
Evitar ampliar el daño
¿Qué NO conviene hacer?
Las acciones impulsivas pueden eliminar evidencia, extender el problema o dificultar una posible recuperación.
Seguir utilizando el equipo
La actividad puede continuar modificando archivos o recursos accesibles.
Mantener discos conectados
Una unidad externa sana también puede quedar expuesta.
Conectar una copia
No la expongas al equipo afectado hasta comprobar que el entorno sea seguro.
Eliminar la nota
Conservá la información necesaria para identificar y reportar lo ocurrido.
Renombrar muchos archivos
Cambiar la extensión no descifra el contenido y dificulta el análisis.
Formatear sin proteger datos
Primero evaluá archivos, copias y evidencia disponible.
Ejecutar herramientas desconocidas
Un supuesto descifrador puede añadir otro problema.
Descargar desde cualquier sitio
Utilizá únicamente fuentes confiables después de identificar el caso.
Probar sobre los originales
Trabajar repetidamente sobre ellos puede dificultar la recuperación.
Reconectar sin evaluar
Podría volver a exponer carpetas, copias y otros equipos.
Ingresar contraseñas
Utilizá otro dispositivo confiable para proteger las cuentas.
Pagar apresuradamente
El pago no garantiza una clave funcional ni la recuperación completa.
¿Conviene pagar el rescate?
Pagar no garantiza recuperar los archivos. Antes de decidir conviene evaluar la información, las copias, el alcance y las alternativas.
- La clave entregada puede no funcionar.
- El programa de recuperación puede estar dañado.
- Algunos archivos pueden recuperarse solo parcialmente.
- Puede no existir respuesta después del pago.
- La información pudo copiarse antes del cifrado.
- El pago puede alentar nuevos intentos.
- Puede haber aspectos legales o institucionales.
¿Siempre es posible recuperarlos?
Algunos archivos pueden recuperarse por completo, otros parcialmente y en ciertos casos puede no ser posible.
- Variante de ransomware.
- Tipo de cifrado.
- Estado del disco.
- Existencia de copias.
- Archivos afectados.
- Tiempo transcurrido.
- Acciones realizadas después.
- Herramientas legítimas disponibles.
- Versiones anteriores.
- Almacenamiento en la nube utilizado.
Copias y versiones
Una copia desconectada puede marcar una diferencia importante.
Las copias conectadas permanentemente pueden verse afectadas. No conectes una copia sana al equipo hasta comprobar que el entorno sea seguro.
- Discos externos que estaban desconectados.
- Copias en otra computadora.
- Servidores de respaldo.
- Historial de archivos.
- Versiones anteriores.
- Papelera y versiones en la nube.
- Copias automáticas del sistema.
- Archivos enviados previamente por correo.
- Otros dispositivos con copias.
Almacenamiento en la nube
La sincronización puede copiar modificaciones o archivos cifrados. Revisá estas opciones desde otro dispositivo y no reanudes la sincronización sin evaluar.
- Versiones anteriores.
- Papelera de eliminados.
- Historial de cambios.
- Opciones de restauración.
- Registros de actividad.
Proteger las cuentas
Cambiar contraseñas no elimina el ransomware, pero puede proteger cuentas relacionadas. Hacelo desde otro dispositivo confiable.
- Cambiar contraseñas importantes.
- Proteger primero el correo principal.
- Cerrar sesiones desconocidas.
- Revisar dispositivos conectados.
- Activar autenticación en dos pasos.
- Comprobar métodos de recuperación.
- Revisar cuentas bancarias.
- Cambiar contraseñas reutilizadas.
- Informar accesos desconocidos.
Recuperar un entorno confiable
¿Cómo volver a utilizar el equipo?
No siempre es posible confiar nuevamente en el sistema sin una limpieza o reinstalación adecuada.
Identificar el alcance.
Proteger archivos y evidencia.
Evaluar discos y dispositivos conectados.
Comprobar copias de seguridad.
Revisar los demás equipos de la red.
Limpiar o reinstalar cuando corresponda.
Actualizar sistema y programas.
Cambiar credenciales posiblemente expuestas.
Restaurar desde una copia confiable.
Verificar antes de reconectar recursos.
Crear una nueva estrategia de copias.
Varias capas
¿Cómo reducir el riesgo en el futuro?
Ninguna medida elimina completamente el riesgo, pero combinarlas puede reducirlo.
Mantener el sistema actualizado.
Actualizar los programas.
Utilizar seguridad confiable.
Evitar adjuntos inesperados.
Comprobar enlaces.
No instalar desde sitios desconocidos.
Limitar permisos de administrador.
Proteger el correo.
Usar autenticación en dos pasos.
Mantener copias desconectadas.
Comprobar periódicamente las copias.
Evitar compartir carpetas sin necesidad.
Revisar el acceso remoto.
Capacitar a quienes usan los equipos.
Preguntas frecuentes
Dudas sobre ransomware
Cada situación necesita evaluar el equipo, la red, las copias y los archivos afectados.
¿Todos los archivos que no abren fueron cifrados?+
No. Errores del sistema, aplicaciones incompatibles o fallas del disco pueden producir síntomas similares.
¿Debo apagar la computadora?+
Depende del tipo de equipo y de la actividad observada. Primero aislá la red; no apagues bruscamente un servidor crítico sin evaluar.
¿Conviene desconectar Internet?+
Sí puede ser prudente si los archivos están cambiando, aunque también conviene desconectar recursos de red y copias accesibles.
¿Puedo conectar mi disco de copia?+
No al equipo afectado. Revisá la copia desde un entorno seguro después de comprobar que se encuentre desconectada y sana.
¿Cambiar la extensión recupera el archivo?+
No. El nombre no modifica el contenido cifrado y puede dificultar la identificación posterior.
¿Un antivirus puede recuperar los archivos?+
Puede detectar o aislar amenazas, pero normalmente no descifra automáticamente la información afectada.
¿Existen herramientas gratuitas para descifrar?+
Para algunas variantes existen soluciones legítimas. Primero hay que identificar correctamente el caso y utilizar fuentes confiables.
¿Pagar garantiza recuperar la información?+
No. Puede no haber respuesta, la clave puede fallar o la recuperación quedar incompleta.
¿El ransomware puede afectar un NAS?+
Puede afectar archivos del NAS si el equipo comprometido tiene acceso de escritura o si el propio NAS fue vulnerado.
¿Puede afectar carpetas compartidas?+
Sí, si son accesibles con permisos suficientes desde el equipo afectado.
¿La nube protege automáticamente mis archivos?+
No siempre. La sincronización puede replicar cambios, aunque algunos servicios conservan versiones o papelera.
¿Debo cambiar mis contraseñas?+
Puede ser conveniente desde otro dispositivo confiable si existe posibilidad de que las credenciales hayan quedado expuestas.
¿Es necesario formatear la computadora?+
No en todos los casos, pero puede recomendarse si no es posible recuperar confianza en el sistema.
¿Puedo conservar algunos archivos?+
Depende de su estado. Conviene preservar los originales y trabajar sobre copias cuando se evalúe una recuperación.
¿Cómo sé qué variante me afectó?+
La extensión, la nota, las detecciones y el comportamiento pueden orientar, pero requieren una evaluación responsable.
Conclusión
Limitar el alcance es tan importante como intentar recuperar los archivos.
Primero conviene evitar que el problema continúe afectando dispositivos, carpetas compartidas o copias. Después, registrar lo ocurrido y evaluar las posibilidades reales.
No existe una única solución para todos los casos y ninguna herramienta puede garantizar resultados.