Esta guía de protección contra ransomware resume 9 pasos prácticos para reducir el riesgo, contener incidentes y acelerar la recuperación en entornos empresariales.
Nota editorial: Publicado en 2018. Actualizado en 2026 para incorporar prácticas modernas de prevención, contención y recuperación ante ransomware.
El ransomware sigue siendo una amenaza crítica para organizaciones de cualquier tamaño. La diferencia entre un incidente controlado y una interrupción prolongada suele depender de dos factores: prevención (reducir la probabilidad de ejecución) y resiliencia (contener y recuperar con evidencia y respaldos confiables).
Contexto: por qué el ransomware sigue funcionando
Históricamente, campañas exitosas combinan ingeniería social (phishing), abuso de credenciales, vulnerabilidades sin parche y movimientos laterales para cifrar archivos locales y compartidos. La prevención no depende de un solo control: requiere una ruta en capas con procesos operables.
Los 9 pasos para protección contra ransomware
A continuación se presentan nueve medidas prácticas alineadas a buenas prácticas de seguridad. La idea es que cada paso sea accionable y auditable.
1) Aplique parches a sistemas operativos y aplicaciones críticas
Priorice parches de alta criticidad (explotación activa, acceso remoto, navegadores, suites ofimáticas) y establezca ventanas regulares. En entornos grandes, automatice la detección de faltantes y el despliegue controlado.
Priorice por exposición (internet, VPN, correo, endpoints).
Use pilotos y validación para no romper operación.
2) Mantenga el antivirus/EDR actualizado y con escaneos programados
Las firmas ayudan, pero por sí solas no bastan. Asegure cobertura en endpoints y servidores, políticas homogéneas y telemetría útil para investigación.
Valide que todos los activos reportan (no “fantasmas”).
Revise alertas de comportamiento, no solo detecciones por firma.
3) Administre el uso de cuentas privilegiadas
El ransomware escala rápido cuando existen privilegios excesivos. Aplique mínimo privilegio, segregación de funciones y controles de administración.
Separe cuentas de usuario y administración.
Use MFA donde sea posible y limite administración remota.
4) Implemente control de acceso enfocado en los datos
El cifrado masivo impacta especialmente en recursos compartidos. Reduzca permisos amplios y defina controles que eviten modificación no autorizada de archivos sensibles.
Revise permisos de carpetas críticas (evite “todos con escritura”).
Aplique reglas por tipo de archivo/destino cuando aplique.
5) Defina, implemente y haga cumplir reglas para el software
Bloquee ejecución desde ubicaciones típicas de abuso (temporales, descargas, perfiles de usuario) y limite comportamiento de aplicaciones no autorizadas.
Controle ejecución de binarios desde rutas no administradas.
Evite que software no confiable cree/modifique archivos en ubicaciones sensibles.
6) Deshabilite macros en Microsoft Office donde no sean necesarias
Las macros siguen siendo un vector clásico. Defina una política clara: macros solo para roles que lo justifiquen y con controles adicionales.
Bloquee macros de internet por política.
Audite excepciones y reduzca superficie.
7) Implemente lista blanca (allowlisting) de aplicaciones
Permita ejecución solo de aplicaciones autorizadas. Esto reduce drásticamente la capacidad de ejecutar payloads no previstos.
Empiece con grupos piloto y amplíe por oleadas.
Documente procesos de alta/cambio (operable para TI).
8) Restrinja usuarios en ambientes virtualizados o contenerizados cuando aplique
Para casos específicos (equipos expuestos, usuarios de alto riesgo, laboratorios, navegación controlada), la contención reduce impacto y facilita recuperación.
Use entornos controlados para tareas de mayor exposición.
Defina políticas de persistencia y limpieza (reset) cuando aplique.
9) Respalde con frecuencia los archivos críticos
El respaldo sigue siendo la última línea para recuperar operación. Asegure copias desconectadas/immutables y pruebas periódicas de restauración.
Defina RPO/RTO reales (por criticidad de sistemas y datos).
Pruebe restauración: un backup no probado es un riesgo.
Checklist mínimo para ejecución (rápido)
- Inventario de activos y cobertura de seguridad (endpoints/servidores).
- Parcheo priorizado y medible (SLA por criticidad).
- Privilegios mínimos, MFA y segregación de cuentas.
- Contención: reglas de ejecución, allowlisting y control de macros.
- Backups con pruebas de recuperación y evidencia de éxito.
Si ocurre un incidente
Si sospecha actividad de ransomware, el objetivo inmediato es contener, preservar evidencia y evitar propagación. Cuanto antes se actúe, menor será el impacto en operación y recuperación.
Contacto: si requiere apoyo para diagnóstico, contención o un plan preventivo, puede solicitar una evaluación desde Contacto.
