Incident Response para Ransomware: Playbook Completo Paso a Paso
Playbook completo de respuesta a incidentes de ransomware. Desde la detección inicial hasta la recuperación total: contención, erradicación, comunicación, análisis forense, decisión sobre el pago, restauración y lecciones aprendidas.
Cuando el ransomware golpea: las primeras 4 horas
Las primeras horas tras la detección de un ataque de ransomware son las más críticas. Las decisiones tomadas (o no tomadas) en este período determinan si la organización se recupera en días o en meses, si pierde datos irrecuperables o los preserva, y si la evidencia forense se mantiene o se destruye.
Este playbook está diseñado para ser ejecutable: cada fase tiene acciones concretas, responsables y criterios de decisión. No es un documento teórico. Es lo que un equipo de IR debería hacer, paso a paso, cuando recibe la llamada.
Fase 0: preparación (antes del incidente)
Esta fase ocurre antes de cualquier incidente. Sin preparación, las fases siguientes se ejecutan en el caos.
Elementos que deben existir antes del incidente
| Elemento | Descripción | Responsable |
|---|---|---|
| Plan de IR documentado | Procedimientos escritos, roles, cadena de decisión | CISO/IR Lead |
| Lista de contactos de emergencia | IT, legal, CISO, CEO, aseguradora cyber, firma de IR externa, law enforcement | CISO |
| Retainer con firma de IR | Contrato pre-firmado con una firma de respuesta a incidentes (Mandiant, CrowdStrike, Secureworks) | CISO/Legal |
| Póliza de seguro cyber | Cobertura activa, saber qué cubre y qué no | CFO/Legal |
| Backups verificados | Backups inmutables/air-gapped, testing trimestral documentado | IT/Backup Admin |
| Comunicaciones fuera de banda | Canal de comunicación que no dependa de la red corporativa (WhatsApp, Signal, teléfonos personales) | IT |
| Jump bag digital | USB con herramientas de IR: FTK Imager, volatility, KAPE, Autoruns, strings, etc. | IR Team |
Fase 1: detección y análisis inicial (0-1 hora)
Acciones inmediatas
Minuto 0-5: confirmar el incidente
- Verificar que se trata de ransomware (no confundir con falsos positivos de EDR, problemas de permisos o errores de aplicación)
- Identificar el alcance visible: cuántos sistemas afectados, qué extensión de archivo, contenido de la nota de rescate
- Activar el plan de IR y convocar al equipo de crisis
Minuto 5-15: clasificar la severidad
| Nivel | Criterio | Acción |
|---|---|---|
| SEV-1 (Critico) | Cifrado activo en curso, Domain Controller comprometido, backups potencialmente afectados | Activar retainer externo, notificar a CISO/CEO, contención máxima |
| SEV-2 (Alto) | Cifrado completado en sistemas limitados, propagación contenida | Activar equipo interno, evaluar alcance, iniciar forense |
| SEV-3 (Medio) | Ransomware detectado antes de cifrado (indicadores pre-cifrado) | Contener, analizar, erradicar. Sin necesidad de retainer externo |
Minuto 15-60: recopilación de información inicial
Responder estas preguntas:
- ¿Qué familia de ransomware es? (extensión, nota de rescate, portal de pago)
- ¿Cuántos sistemas están cifrados?
- ¿El cifrado sigue activo o ya terminó?
- ¿Los backups están intactos?
- ¿Hay evidencia de exfiltración de datos?
- ¿Cuál fue el vector de acceso inicial (si se puede determinar rápidamente)?
Fase 2: contención (1-4 horas)
Objetivo: detener la propagación
Aislamiento de red
- Desconectar los sistemas afectados de la red (cable de red, deshabilitar Wi-Fi)
- Si el cifrado está activo en múltiples subnets: aislar las subnets afectadas en el firewall
- Desconectar la VPN site-to-site con oficinas remotas (para evitar propagación)
- Bloquear la comunicación lateral en el firewall interno (SMB 445, RDP 3389, WinRM 5985/5986)
NO hacer:
- NO apagar las máquinas: se pierden datos volátiles (RAM) que pueden contener claves de cifrado, artefactos del atacante y evidencia forense
- NO eliminar la nota de rescate: es evidencia
- NO intentar descifrar con herramientas no verificadas: puede corromper los archivos
- NO contactar al atacante sin consultar con legal y la aseguradora: las negociaciones tienen implicaciones legales
- NO restaurar sistemas inmediatamente: primero preservar evidencia y entender el alcance
Aislamiento del Domain Controller
Si hay evidencia de que el atacante tiene credenciales de Domain Admin:
- Aislar los Domain Controllers de la red
- Cambiar la contraseña de krbtgt DOS VECES (para invalidar Golden Tickets)
- Restablecer contraseñas de todas las cuentas privilegiadas
- Deshabilitar cuentas sospechosas
Preservar la infraestructura de backup
- Verificar que los servidores de backup no están comprometidos
- Si hay dudas, desconectar la infraestructura de backup de la red inmediatamente
- Verificar la integridad de los backups más recientes
Fase 3: preservación de evidencia (horas 2-6)
Por qué preservar evidencia
- Investigación forense: entender cómo entró el atacante y qué hizo
- Aseguradora cyber: muchas pólizas requieren evidencia del incidente
- Law enforcement: para posible investigación criminal
- Legal: posibles litigios, cumplimiento regulatorio
- Mejora: entender qué falló para prevenir el siguiente ataque
Evidencia a capturar
| Tipo | Herramienta | Prioridad |
|---|---|---|
| Memory dump de sistemas afectados | FTK Imager, WinPmem, volatility | Critica (se pierde al apagar) |
| Disk images de sistemas afectados | FTK Imager, dd | Alta |
| Nota de rescate | Copia del archivo | Alta |
| Muestras del ransomware (binario) | Copia del ejecutable | Alta |
| Logs de Event Viewer | Exportar .evtx | Alta |
| Logs de Sysmon | Exportar .evtx | Alta |
| Logs del firewall/proxy | Export desde consola | Alta |
| Logs de EDR | Export desde consola EDR | Alta |
| Logs de Active Directory | DC Security logs | Alta |
| Network captures | PCAPs si hay NDR | Media |
| Logs del servidor de backup | Verificar si fue accedido | Alta |
| Logs de VPN/autenticación | Logs del appliance VPN | Alta |
Chain of custody
Para cada pieza de evidencia, documentar:
- Quién la recopiló
- Cuándo se recopiló
- De qué sistema se recopiló
- Hash SHA-256 de la imagen/archivo
- Dónde se almacena
Fase 4: análisis e investigación (horas 4-48)
Identificación del ransomware
- ID Ransomware (id-ransomware.malwarehunterteam.com): subir la nota de rescate o un archivo cifrado para identificar la familia
- NoMoreRansom.org: verificar si existe decryptor gratuito
- MITRE ATT&CK: buscar la familia para conocer TTPs documentadas
- Vendor advisories: CISA, FBI, vendor de EDR (reportes de la familia específica)
Análisis del vector de acceso
Determinar cómo entró el atacante:
- Revisar logs de VPN: logins anómalos (horarios, geolocalizaciones, cuentas)
- Revisar logs de email gateway: emails de phishing en las últimas 2-4 semanas
- Revisar logs del firewall: conexiones entrantes explotando vulnerabilidades
- Revisar logs de RDP: intentos de brute force
- Buscar presencia de loaders (QakBot, BazarLoader, IcedID) en endpoints
Análisis del alcance
Determinar el alcance completo del compromiso:
- ¿Qué sistemas están cifrados?
- ¿Qué cuentas fueron comprometidas?
- ¿Hay backdoors o C2 activos en sistemas no cifrados?
- ¿Se exfiltraron datos? Si sí, cuáles y cuántos
- ¿Los backups están comprometidos?
- ¿Hay otros sistemas comprometidos que no fueron cifrados (staging, beacons)?
Fase 5: decisión sobre el pago (horas 24-72)
El framework de decisión
La decisión de pagar o no pagar no es binaria. Es un análisis de riesgo que debe involucrar a:
- CISO / IR Lead (evaluación técnica)
- CEO / Board (decisión de negocio)
- Legal (implicaciones legales y regulatorias)
- Aseguradora cyber (cobertura y recomendaciones)
- Law enforcement (recomendación, posibles claves disponibles)
- Firma de IR externa (experiencia con el grupo específico)
Factores a favor de NO pagar
| Factor | Peso |
|---|---|
| Backups viables verificados | Decisivo |
| Decryptor gratuito disponible | Decisivo |
| Grupo con historial de no entregar decryptor | Alto |
| Grupo sancionado por OFAC (pago puede ser ilegal) | Decisivo |
| Datos exfiltrados serán publicados independientemente | Alto |
| Capacidad de reconstruir sin datos históricos | Medio |
Factores a favor de pagar (con matices)
| Factor | Contexto |
|---|---|
| Sin backups viables | Solo si no hay alternativa |
| Impacto en vidas humanas (hospital) | Situación extrema |
| Coste de reconstrucción mayor que el rescate | Análisis financiero |
| Grupo con historial fiable de entrega | Reduce riesgo pero no lo elimina |
| Aseguradora cubre el pago | Reduce coste directo |
Sanciones OFAC
El gobierno de EEUU (Office of Foreign Assets Control) ha sancionado a varios operadores de ransomware. Pagar rescate a una entidad sancionada puede ser ilegal, incluso si la víctima no sabía quién era el atacante. Grupos/individuos sancionados incluyen:
- Evil Corp (Dridex, WastedLocker)
- Operadores específicos de Conti
- Gobierno de Corea del Norte (Lazarus Group)
- Varios ciudadanos rusos vinculados a ransomware
Consultar con un abogado antes de pagar es obligatorio.
Fase 6: erradicación y recuperación (días 3-21)
Erradicación
Antes de restaurar, asegurarse de que el atacante ya no tiene acceso:
- Restablecer todas las contraseñas: Domain Admin, service accounts, local admin
- Restablecer krbtgt dos veces (invalidar Golden/Silver Tickets)
- Revocar tokens y certificados: certificados SSL, API keys, tokens de acceso
- Parchear el vector de entrada: la vulnerabilidad que permitió el acceso inicial
- Verificar persistencia: buscar scheduled tasks, servicios, registry keys, webshells
- Verificar C2 activos: buscar beacons de Cobalt Strike, Sliver, etc.
- Limpiar GPOs maliciosas: verificar que no hay GPOs que ejecuten el ransomware
Restauración priorizada
Restaurar en orden de criticidad:
| Prioridad | Sistemas | Criterio |
|---|---|---|
| P0 | Active Directory (Domain Controllers) | Todo depende de AD |
| P0 | DNS, DHCP | Infraestructura de red básica |
| P1 | Servidor de backup | Necesario para restaurar el resto |
| P1 | Sistemas de comunicación (email, Teams) | Coordinación del equipo |
| P2 | Sistemas críticos de negocio | Según BIA (Business Impact Analysis) |
| P3 | Workstations de usuarios | Últimos, se pueden reconstruir |
Verificación post-restauración
Tras restaurar cada sistema:
- Verificar que no hay malware residual (scan completo con AV/EDR actualizado)
- Verificar que no hay persistencia (Autoruns, scheduled tasks, services)
- Verificar que las credenciales fueron cambiadas
- Monitorizar actividad anómala durante 48-72 horas antes de declarar limpio
Fase 7: comunicación
Comunicación interna
| Audiencia | Mensaje | Timing |
|---|---|---|
| Equipo de IT/Security | Briefing técnico completo | Inmediato |
| C-Suite / Board | Estado, impacto de negocio, decisiones requeridas | Primeras 2-4 horas |
| Empleados | Qué ocurrió, qué hacer, qué no hacer | Primeras 24 horas |
| Departamento legal | Implicaciones regulatorias, obligaciones de notificación | Primeras 4 horas |
Comunicación externa
| Audiencia | Obligación | Plazo |
|---|---|---|
| Regulador de datos (AEPD, ICO, CNIL) | Obligatorio si hay breach de datos personales (GDPR) | 72 horas desde detección |
| Autoridad NIS2 (si aplica) | Obligatorio para entidades esenciales/importantes | 24h alerta, 72h informe |
| Law enforcement (FBI, NCA, CCN-CERT) | Altamente recomendado | Lo antes posible |
| Clientes/socios afectados | Obligatorio si sus datos fueron comprometidos | Según regulación |
| Medios de comunicación | Si el incidente es público o hay leak site | Cuando se tenga un mensaje controlado |
| Aseguradora cyber | Obligatorio por contrato | Inmediato |
Fase 8: lecciones aprendidas (semana 3-4)
Post-mortem
Tras la recuperación, ejecutar una sesión de lecciones aprendidas:
- Timeline completa del incidente (de acceso inicial a recuperación)
- Qué funcionó en la respuesta
- Qué falló o fue lento
- Qué faltaba (herramientas, procesos, personal)
- Coste total del incidente (directo e indirecto)
- Acciones correctivas con responsables y plazos
Mejoras post-incidente
Las mejoras más comunes tras un incidente de ransomware:
- Implementar MFA en todos los accesos remotos (VPN, RDP, email)
- Implementar backups inmutables
- Desplegar EDR en todos los endpoints
- Segmentar la red (especialmente backup e infraestructura crítica)
- Mejorar monitorización (Sysmon, SIEM, NDR)
- Contratar o formar personal de IR
- Testear backups regularmente
- Ejecutar ejercicios de simulación anuales
Fuentes y referencias
- CISA. "Ransomware Guide." CISA Publication, updated 2024.
- NIST. "SP 800-61 Rev. 2: Computer Security Incident Handling Guide." NIST, 2012.
- Mandiant. "M-Trends 2025: Incident Response Metrics." Google Cloud Security, 2025.
- Coveware. "Quarterly Ransomware Report: Recovery Time Statistics." 2025.
- OFAC. "Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments." U.S. Treasury, 2021.
- ENISA. "Good Practice Guide for Incident Management." ENISA, 2024.
- CCN-CERT. "Guía de Gestión de Ciberincidentes." CCN-CERT, 2024.
- SANS. "Incident Handler's Handbook." SANS Institute.
- Sophos. "The State of Ransomware 2025: Recovery Analysis." Sophos, 2025.
Preguntas frecuentes
Libros recomendados
Artículos relacionados
Detección Temprana de Ransomware: Indicadores, Reglas y Estrategias para Actuar Antes del Cifrado
Estrategia de Backup Anti-Ransomware: La Regla 3-2-1-1-0 y Más Allá
Herramientas de Descifrado de Ransomware: NoMoreRansom, ID Ransomware y Decryptors Gratuitos
LockBit 3.0: Incident Response Completo de Principio a Fin
BlackCat/ALPHV: Doble Extorsión y Data Leak Investigation
Conti: De Cobalt Strike a Exfiltración y Cifrado en 72 Horas
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.