Cómo entra: las tres puertas de siempre
- Un correo con trampa (phishing). Alguien del equipo recibe una factura falsa, un aviso "del banco" o un enlace de apariencia normal, hace clic, y el atacante ya está dentro. Es la puerta de entrada más común.
- Accesos remotos mal protegidos. El escritorio remoto para teletrabajar o el acceso del proveedor informático, con una contraseña débil o filtrada y sin verificación en dos pasos.
- Programas sin actualizar. Fallos de seguridad conocidos en Windows, en el servidor o en programas de gestión que nadie ha parcheado, y que los atacantes escanean de forma automática.
Un detalle importante: el ataque moderno no es instantáneo. El atacante suele pasar días o semanas dentro de la red, en silencio, robando contraseñas de administrador y localizando una cosa concreta: tus copias de seguridad. Las borra o las cifra primero, y solo entonces lanza el cifrado general y pide el rescate.
Las medidas básicas que evitan la mayoría de los ataques
- Verificación en dos pasos (2FA) en todo. Correo, accesos remotos, banca, nube. Es gratis y frena en seco el uso de contraseñas robadas.
- Actualizaciones al día. Windows, servidores, antivirus y programas de gestión. La mayoría de los ataques explota fallos que ya tenían solución publicada.
- Contraseñas serias y distintas. Un gestor de contraseñas para el equipo cuesta poco y elimina el clásico "la misma contraseña para todo".
- Formación básica del equipo. Que todos sepan reconocer un correo sospechoso y a quién avisar. El eslabón humano es la primera puerta.
- Mínimos privilegios. Que cada persona acceda solo a lo que necesita. Si roban la cuenta de un administrativo, que no sirva para llegar al servidor entero.
La última línea de defensa: la copia que no se puede borrar
Aunque hagas todo lo anterior, ninguna protección es perfecta: basta un clic desafortunado. La diferencia entre las empresas que pagan el rescate (o cierran) y las que vuelven a trabajar en horas es siempre la misma: si sobrevivió alguna copia de seguridad.
Y como los atacantes borran las copias que encuentran, la única que cuenta es la copia inmutable: una copia que no se puede modificar ni eliminar durante un periodo establecido, ni siquiera con las contraseñas de administrador en la mano. Combinada con la regla 3-2-1 y con pruebas reales de restauración, convierte el ransomware de una amenaza existencial en un mal día.
Si ya te ha pasado
Desconecta de la red los equipos afectados (no los apagues: pueden perderse pruebas), no pagues sin asesorarte, y denuncia: en España puedes llamar al 017 (INCIBE), gratuito y confidencial, y presentar denuncia ante la Policía o la Guardia Civil. Si tienes copias intactas, la recuperación es cuestión de horas o días; sin ellas, empieza una negociación en la que llevas todas las de perder.
Qué hace Amana en todo esto
Amana se ocupa de esa última línea de defensa: montamos copias inmutables (local + nube y, en el nivel máximo, discos físicamente desconectados), las vigilamos cada día y demostramos con pruebas cronometradas que tu empresa puede volver a trabajar. Lo hemos ensayado contra un ataque con credenciales de administrador: la copia sobrevive.
Te enseñamos en directo un ataque real contra una copia inmutable, y cómo sobrevive.
Pide una demostración gratuita