Detecto ransomware en marcha

Desconecta el cable de red y apaga la WiFi. NO apagues el equipo: hay procesos del atacante en memoria que pueden ser evidencia clave. Apagar en frío puede provocar más daño y borrar pistas.

Si el correo y Teams pueden estar comprometidos, usa móvil personal, llamada de voz o canal externo acordado. Indica qué equipo, qué viste, a qué hora.

Si tu rol incluye los sistemas de respaldo, asegúrate de NO conectar el backup al entorno comprometido. Aísla los almacenamientos de copias para evitar que el ransomware los borre o cifre.

El equipo de respuesta debe determinar: ¿es un solo equipo o se ha movido lateralmente? ¿qué cuentas se han usado? ¿hay datos exfiltrados? Esto se hace con los logs, no apagando equipos.

Captura de la nota, nombre del grupo, dirección de cripto si aparece. Útil para identificar la familia, buscar descifradores conocidos (NoMoreRansom.org) y coordinar con autoridades.

Si hay datos personales afectados, valoración AEPD 72h (RGPD). Si la entidad está en NIS2, notificación inicial al CSIRT en 24h. Estas decisiones las toma DPO / asesoría, pero el reloj corre desde el conocimiento.

La recomendación general es no pagar. Si la dirección lo plantea, debe involucrarse asesoría legal y considerar implicaciones de sanciones internacionales (OFAC). Nunca decisión individual.