¿Cuáles son los indicadores más fiables de un ataque de ransomware inminente?

Los indicadores de mayor confianza son: eliminación de shadow copies (vssadmin delete shadows), detención masiva de servicios de backup/SQL, deshabilitación de Windows Defender vía PowerShell, y uso de herramientas como Mimikatz o BloodHound. Cualquiera de estos en un endpoint corporativo es una emergencia.

¿Cuánto tiempo hay entre los primeros indicadores y el cifrado?

Depende del grupo. En ataques human-operated, las actividades pre-cifrado (reconocimiento, movimiento lateral, exfiltración) pueden durar días o semanas. La ventana entre la eliminación de shadow copies y el inicio del cifrado suele ser de minutos a horas.

¿Qué es un honeypot de archivos y cómo ayuda?

Son archivos señuelo colocados en directorios que el ransomware cifraría. Nombres atractivos como 'Salarios_2026.xlsx' o 'Passwords.docx'. Cuando un proceso intenta modificar o cifrar estos archivos, se genera una alerta inmediata. Es una detección de alta confianza y bajo coste.

¿Sysmon es suficiente para detectar ransomware?

Sysmon es una pieza fundamental pero no suficiente por sí solo. Necesita complementarse con análisis de logs centralizado (SIEM), reglas de detección (Sigma), monitorización de red (NDR) y protección de endpoint (EDR). Sysmon proporciona la telemetría; las reglas y el análisis proporcionan la detección.

¿Las reglas Sigma detectan ransomware en tiempo real?

Sigma es un formato de reglas, no una herramienta de ejecución. Las reglas Sigma se traducen a queries del SIEM específico (Splunk, Elastic, Microsoft Sentinel) y se ejecutan contra los logs en tiempo real o near-real-time. La latencia depende de la arquitectura del SIEM.

IntermedioransomwaredetecciónSigmaYARASysmonhoneypotsblue team

Detección Temprana de Ransomware: Indicadores, Reglas y Estrategias para Actuar Antes del Cifrado

Guía práctica de detección temprana de ransomware. Indicadores pre-cifrado, reglas Sigma y YARA, configuración de Sysmon, telemetría de EDR, honeypots de archivos y estrategias de monitorización para detectar ataques antes de que el cifrado comience.

MalwareIntel Research·21 de mayo de 2026·12 min lectura

Serie: Ransomware — Parte 16

El cifrado es el último paso, no el primero

Cuando ves archivos cifrados y una nota de rescate, el ataque ya terminó. El ransomware ganó. Toda la actividad que importa para la defensa ocurrió antes: el acceso inicial, la instalación del C2, el movimiento lateral, la escalada de privilegios, la exfiltración de datos y la preparación del cifrado.

Cada una de esas fases genera artefactos detectables. Este artículo es una guía práctica: qué monitorizar, qué reglas implementar y cómo configurar la telemetría para detectar un ataque de ransomware antes de que el cifrado comience.

Los 10 indicadores pre-cifrado de mayor confianza

Ordenados por confianza (de mayor a menor) y urgencia:

#	Indicador	Confianza	Urgencia	Fase
1	`vssadmin delete shadows /all /quiet`	Muy alta	Critica (minutos)	Pre-cifrado
2	Deshabilitación de Windows Defender en dominio vía GPO	Muy alta	Alta (horas)	Evasión
3	Detención masiva de servicios SQL/backup/Exchange	Muy alta	Critica (minutos)	Pre-cifrado
4	Cobalt Strike beacon detectado	Alta	Alta (horas-días)	Post-explotación
5	Mimikatz o LSASS dump	Alta	Alta (horas)	Escalada
6	BloodHound/SharpHound queries LDAP masivas	Alta	Media (días)	Descubrimiento
7	PsExec ejecución remota masiva	Alta	Alta (horas)	Movimiento lateral
8	Rclone o MegaSync ejecutándose	Alta	Alta (horas)	Exfiltración
9	bcdedit /set recoveryenabled No	Muy alta	Critica (minutos)	Pre-cifrado
10	Renombrado masivo de archivos (cientos por segundo)	Muy alta	Emergencia (activo)	Cifrado en curso

Los indicadores 1, 3 y 9 son las últimas señales antes del cifrado. Si los ves, el cifrado está a minutos de comenzar (o ya comenzó). Los indicadores 4-8 dan más tiempo de reacción.

Sysmon: la base de la telemetría

Por qué Sysmon

Sysmon (System Monitor) de Sysinternals es el generador de telemetría más importante para la detección de ransomware en Windows. Registra eventos que el log de seguridad estándar de Windows no captura:

Creación de procesos con línea de comandos completa
Conexiones de red por proceso
Modificaciones de archivos
Carga de drivers
Accesos a procesos (credential dumping)
Creación de named pipes (C2)

Configuración recomendada

Para detección de ransomware, los Event IDs críticos de Sysmon son:

Event ID	Evento	Uso para ransomware
1	Process Creation	Detectar vssadmin, bcdedit, PowerShell encoded, PsExec
3	Network Connection	Conexiones a Tor, C2, servicios cloud de exfiltración
7	Image Loaded	Carga de DLLs sospechosas, drivers vulnerables (BYOVD)
8	CreateRemoteThread	Inyección de código (Cobalt Strike)
10	ProcessAccess	Acceso a LSASS (credential dumping)
11	FileCreate	Nota de rescate creada en múltiples directorios
13	RegistryEvent	Cambios en Run keys (persistencia)
15	FileCreateStreamHash	Alternate Data Streams (evasión)
22	DNSEvent	Queries DNS a dominios DGA o C2
23	FileDelete	Eliminación de archivos (cleanup)

Configuración de filtros para ransomware

Usar una configuración de Sysmon optimizada para ransomware. La configuración de SwiftOnSecurity (sysmonconfig-export.xml) es un buen punto de partida, pero necesita ajustes:

<!-- Detectar eliminacion de shadow copies -->
<ProcessCreate onmatch="include">
  <CommandLine condition="contains">vssadmin</CommandLine>
  <CommandLine condition="contains">shadowcopy</CommandLine>
  <CommandLine condition="contains">bcdedit</CommandLine>
  <CommandLine condition="contains">wbadmin</CommandLine>
  <CommandLine condition="contains">recoveryenabled</CommandLine>
</ProcessCreate>

<!-- Detectar acceso a LSASS -->
<ProcessAccess onmatch="include">
  <TargetImage condition="is">C:\Windows\System32\lsass.exe</TargetImage>
</ProcessAccess>

<!-- Detectar carga de drivers vulnerables (BYOVD) -->
<DriverLoad onmatch="include">
  <Signature condition="contains">Gigabyte</Signature>
  <Signature condition="contains">miHoYo</Signature>
</DriverLoad>

Reglas Sigma para detección de ransomware

Shadow copy deletion

title: Shadow Copy Deletion via Vssadmin or WMIC
id: c947b146-0abc-4f87-9c64-b17e9d7274a2
status: stable
description: Detects deletion of shadow copies, a precursor to ransomware encryption
logsource:
    category: process_creation
    product: windows
detection:
    selection_vssadmin:
        Image|endswith: '\vssadmin.exe'
        CommandLine|contains|all:
            - 'delete'
            - 'shadows'
    selection_wmic:
        Image|endswith: '\wmic.exe'
        CommandLine|contains|all:
            - 'shadowcopy'
            - 'delete'
    selection_powershell:
        Image|endswith:
            - '\powershell.exe'
            - '\pwsh.exe'
        CommandLine|contains: 'Win32_ShadowCopy'
    condition: selection_vssadmin or selection_wmic or selection_powershell
level: critical
tags:
    - attack.impact
    - attack.t1490
falsepositives:
    - Legitimate backup software that manages shadow copies
    - System administrators performing maintenance

Deshabilitación de Windows Defender

title: Windows Defender Disabled via PowerShell
id: a7ee1722-c3c5-4b8a-8d09-0bbc9a4f4c20
status: stable
description: Detects disabling of Windows Defender real-time monitoring via PowerShell
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        Image|endswith:
            - '\powershell.exe'
            - '\pwsh.exe'
        CommandLine|contains:
            - 'DisableRealtimeMonitoring'
            - 'DisableBehaviorMonitoring'
            - 'DisableIOAVProtection'
            - 'DisableBlockAtFirstSeen'
    condition: selection
level: high
tags:
    - attack.defense_evasion
    - attack.t1562.001

Detención masiva de servicios

title: Multiple Critical Services Stopped in Short Timeframe
id: b8f5cd2e-9c44-4a1b-b1e2-7a3c4d5e6f7a
status: experimental
description: Detects stopping of multiple critical services (SQL, backup, exchange) which precedes ransomware encryption
logsource:
    category: process_creation
    product: windows
detection:
    selection:
        Image|endswith:
            - '\net.exe'
            - '\net1.exe'
            - '\sc.exe'
        CommandLine|contains:
            - 'stop'
            - 'config'
            - 'disabled'
    filter_services:
        CommandLine|contains:
            - 'sql'
            - 'veeam'
            - 'backup'
            - 'exchange'
            - 'oracle'
            - 'mysql'
    condition: selection and filter_services
    timeframe: 5m
    count: 3
level: critical
tags:
    - attack.impact
    - attack.t1489

Exfiltración con Rclone

title: Rclone Execution Indicating Data Exfiltration
id: e3c0d8a1-4f5b-4c2a-9d7e-1a2b3c4d5e6f
status: stable
description: Detects execution of Rclone with parameters indicating data exfiltration
logsource:
    category: process_creation
    product: windows
detection:
    selection_process:
        Image|endswith: '\rclone.exe'
    selection_action:
        CommandLine|contains:
            - 'copy'
            - 'sync'
            - 'move'
    selection_dest:
        CommandLine|contains:
            - 'mega'
            - 'pcloud'
            - 'ftp'
            - 'sftp'
            - 's3'
            - 'b2'
            - 'drive'
    condition: selection_process and selection_action and selection_dest
level: high
tags:
    - attack.exfiltration
    - attack.t1567

Reglas YARA para identificación de ransomware

Regla genérica para notas de rescate

rule Ransomware_Note_Generic {
    meta:
        description = "Detects common ransomware ransom note patterns"
        author = "MalwareIntel Research"
        date = "2026-05-21"
    
    strings:
        $s1 = "your files have been encrypted" nocase
        $s2 = "bitcoin" nocase
        $s3 = "decrypt" nocase
        $s4 = ".onion" nocase
        $s5 = "ransom" nocase
        $s6 = "restore your files" nocase
        $s7 = "contact us" nocase
        $s8 = "payment" nocase
        $s9 = "recover" nocase
        $s10 = "do not try to" nocase
        
    condition:
        filesize < 50KB and 4 of ($s*)
}

Regla para comportamiento de cifrado

rule Ransomware_Encryption_Behavior {
    meta:
        description = "Detects common ransomware encryption routine indicators"
        author = "MalwareIntel Research"
        date = "2026-05-21"
    
    strings:
        // Shadow copy deletion strings
        $del1 = "vssadmin.exe delete shadows" nocase
        $del2 = "shadowcopy delete" nocase
        $del3 = "bcdedit" nocase
        $del4 = "recoveryenabled" nocase
        $del5 = "wbadmin delete catalog" nocase
        
        // Crypto API usage
        $crypto1 = "CryptEncrypt"
        $crypto2 = "CryptGenKey"
        $crypto3 = "BCryptEncrypt"
        $crypto4 = "CryptAcquireContext"
        
        // File enumeration
        $enum1 = "FindFirstFileW"
        $enum2 = "FindNextFileW"
        $enum3 = "GetLogicalDriveStrings"
        
    condition:
        uint16(0) == 0x5A4D and
        2 of ($del*) and
        2 of ($crypto*) and
        2 of ($enum*)
}

Honeypots de archivos: detección de alta confianza

El concepto

Colocar archivos señuelo (canary files) en ubicaciones que el ransomware cifraría. Cuando un proceso modifica estos archivos, se genera una alerta inmediata. La tasa de falsos positivos es extremadamente baja: ningún usuario legítimo debería modificar un archivo llamado zz_canary_Salarios_2026.xlsx en un share de red.

Implementación práctica

Ubicaciones recomendadas:

\\fileserver\shares\Finance\zz_canary_Budget_2026.xlsx
\\fileserver\shares\HR\zz_canary_Nominas_Q4.docx
\\fileserver\shares\Legal\zz_canary_Contratos_Confidencial.pdf
C:\Users\[usuario]\Documents\zz_canary_Passwords.docx
C:\Users\[usuario]\Desktop\zz_canary_Bitcoin_Wallet.txt

El prefijo zz_ hace que los archivos aparezcan al final en listados ordenados alfabéticamente, pero el ransomware que enumera por extensión o directorio los encontrará igualmente.

Contenido: archivos reales con datos ficticios. No archivos vacíos (algunos ransomware saltan archivos menores a cierto tamaño).

Monitorización: File Integrity Monitoring (FIM) o Windows File Auditing:

# Habilitar auditoria en el archivo
icacls "\\fileserver\shares\Finance\zz_canary_Budget_2026.xlsx" /grant Everyone:(R)
# Configurar SACL para auditar accesos Write
auditpol /set /subcategory:"File System" /success:enable /failure:enable

Event ID 4663 (Write access) en el archivo canary = alerta de máxima prioridad.

Herramientas de canary files

Herramienta	Tipo	Descripción
Thinkst Canary	Comercial	Canary tokens y dispositivos señuelo con alertas
OpenCanary	Open source	Honeypot de red con múltiples protocolos
Canary Tokens (canarytokens.org)	Gratuito	Tokens que alertan cuando se accede a ellos (URLs, documentos, DNS)
Script custom	DIY	Script que crea archivos canary y monitoriza con SACL + SIEM

Monitorización de red para ransomware

Tráfico C2

Indicador	Protocolo	Herramienta de detección
Conexiones a nodos Tor	TCP 9001, 9030, OR ports	Firewall, lista de Tor exit/guard nodes
DNS con alta entropía	DNS	Zeek, Suricata con reglas DGA
Beaconing regular (Cobalt Strike)	HTTPS	NDR, análisis de periodicidad
JA3/JA3S fingerprints de C2	TLS	Zeek, Suricata
User-agent anómalos	HTTP/HTTPS	Proxy logs

Tráfico de exfiltración

Indicador	Descripción	Herramienta
Upload masivo a cloud storage	Conexiones a mega.nz, pcloud.com, transfer.sh	Proxy, DNS
FTP/SFTP desde workstations	Tráfico FTP saliente desde endpoints	Firewall, NDR
Volumen de egress anómalo	Gigabytes saliendo fuera de horario	NetFlow, NDR
SMB masivo interno	Un host leyendo shares de toda la red	NDR, file server logs

Suricata rules para ransomware

# Detectar conexion a nodos Tor conocidos
alert tcp $HOME_NET any -> $EXTERNAL_NET 9001 (msg:"RANSOMWARE Possible Tor Connection"; flow:to_server,established; sid:2025001; rev:1;)

# Detectar Rclone user-agent
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:"RANSOMWARE Rclone User-Agent Detected"; flow:to_server,established; content:"rclone/"; http_user_agent; sid:2025002; rev:1;)

# Detectar conexion a Mega.nz API
alert dns $HOME_NET any -> any 53 (msg:"RANSOMWARE DNS Query to Mega.nz"; dns.query; content:"mega.co.nz"; sid:2025003; rev:1;)

EDR telemetry: qué buscar

Eventos críticos en EDR

Si dispones de un EDR (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint, etc.), configura alertas en:

Evento	Prioridad	Descripción
Process injection into LSASS	Critica	Credential dumping activo
Unsigned driver load	Alta	Posible BYOVD
Mass file rename	Critica	Cifrado en curso
Shadow copy deletion command	Critica	Cifrado inminente
PowerShell download cradle	Alta	Descarga de payload
Cobalt Strike beacon indicators	Alta	C2 activo
Known ransomware hash	Critica	Ransomware conocido ejecutándose
Service creation by non-standard user	Media	Posible persistencia o PsExec

Windows Event IDs clave (sin Sysmon)

Si no tienes Sysmon, estos Event IDs del log de seguridad estándar son útiles:

Event ID	Log	Descripción
4624	Security	Login exitoso (tipo 10 = RDP, tipo 3 = red)
4625	Security	Login fallido (brute force)
4648	Security	Login con credenciales explícitas
4663	Security	Acceso a objeto (archivo, con SACL)
4688	Security	Proceso creado (con command line auditing)
4698	Security	Scheduled task creada
4720	Security	Cuenta de usuario creada
7036	System	Servicio cambiado de estado
7045	System	Servicio instalado (PsExec, persistencia)
1102	Security	Log de seguridad limpiado

Respuesta automatizada

Acciones automáticas ante indicadores críticos

Para los indicadores de mayor confianza, configura respuestas automáticas en el EDR o SOAR:

Trigger	Acción automática
Shadow copy deletion detectada	Aislar el host de la red inmediatamente
LSASS dump detectado	Aislar host, alertar SOC P1, iniciar IR
Mass file rename (cientos/segundo)	Aislar host, apagar interfaces de red
Rclone/MegaSync ejecutándose	Alertar SOC P1, bloquear tráfico al destino
Cobalt Strike beacon confirmado	Aislar host, iniciar hunt en toda la red

La regla general: si la acción es claramente maliciosa y el impacto de un falso positivo es menor que el impacto de no actuar, automatiza la respuesta.

Aislar un host innecesariamente causa minutos de inconveniencia. No aislar un host con ransomware activo causa semanas de recuperación.

Checklist de implementación

Prioridad 1 (implementar esta semana)

Habilitar PowerShell Script Block Logging (Event ID 4104)
Habilitar command line auditing en Event ID 4688
Configurar alerta en vssadmin delete shadows y bcdedit /set recoveryenabled No
Desplegar al menos 5 archivos canary en shares de red críticos
Verificar que el SIEM recibe logs de todos los Domain Controllers

Prioridad 2 (implementar este mes)

Desplegar Sysmon con configuración optimizada para ransomware
Importar reglas Sigma para ransomware en el SIEM
Configurar alertas de exfiltración (Rclone, Mega, volumen anómalo)
Habilitar monitorización de LSASS access (Sysmon Event ID 10)
Configurar respuesta automática de aislamiento en EDR

Prioridad 3 (implementar este trimestre)

Desplegar reglas YARA en endpoints
Implementar NDR con detección de C2 y exfiltración
Crear playbook de respuesta para cada indicador crítico
Ejecutar ejercicio de table-top con escenario de ransomware
Revisar y actualizar reglas mensualmente con nuevas TTPs

Fuentes y referencias

Sigma HQ. "Sigma Rules for Ransomware Detection." https://github.com/SigmaHQ/sigma
YARA. "YARA: The Pattern Matching Swiss Knife." https://virustotal.github.io/yara/
SwiftOnSecurity. "Sysmon Configuration." https://github.com/SwiftOnSecurity/sysmon-config
Microsoft. "Sysmon v15.0 Documentation." Sysinternals, 2024.
CISA. "Ransomware Guide." CISA Publication, updated 2024.
Red Canary. "2024 Threat Detection Report." Red Canary, 2024.
The DFIR Report. Multiple ransomware analysis reports. https://thedfirreport.com/
Thinkst. "Canary Tokens." https://canarytokens.org/
Florian Roth. "YARA Rules for Ransomware." https://github.com/Neo23x0/signature-base
MITRE ATT&CK. "Ransomware Techniques Matrix." https://attack.mitre.org/
Sophos. "Active Adversary Report 2025." Sophos, 2025.

Preguntas frecuentes

Libros recomendados

Blue Team Handbook (Don Murdoch)

Amazon (enlace afiliado)

Intelligence-Driven Incident Response (Pease & Roberts)