El ransomware dejó de ser un problema teórico hace años. En 2025, Colombia fue el cuarto país de Latinoamérica con más incidentes de ransomware reportados. Solo los casos públicos suman pérdidas estimadas en USD $80 millones. Y eso es solo la punta del iceberg — la mayoría de empresas afectadas prefieren pagar el rescate y no reportar, por temor reputacional.
La pregunta que recibimos cada semana es: "¿Mi empresa está protegida?" La respuesta honesta es: depende. Depende de cuánto haya invertido en prevención, en backup, y en capacitación. En esta guía vamos a desarmar el mito de que el ransomware es "un problema de empresas grandes" y vamos a darle un framework práctico que tu empresa puede implementar en las próximas 4 semanas.
¿Qué es exactamente el ransomware?
El ransomware es un tipo de malware que cifra los archivos de tu empresa y exige un pago (rescate, normalmente en criptomonedas) para entregarte la clave de descifrado. A diferencia de otros malware que roban datos silenciosamente, el ransomware se anuncia — su objetivo es paralizar tu operación hasta que pagues. Familias modernas (LockBit, BlackCat, Ryuk, antes WannaCry) suman extorsión doble: además de cifrar, exfiltran datos y amenazan con publicarlos si no paga.
Por qué las PYMEs colombianas son el blanco preferido
Tres razones operativas hacen a las PYMEs colombianas particularmente atractivas: invierten menos en seguridad activa que multinacionales pero manejan datos sensibles; tienen mayor disposición a pagar rescates por la presión operativa inmediata; y enfrentan regulación menos exigente, lo que significa que sus controles internos son típicamente más débiles. Según el CCIT y CSIRT-CO, el 73% de incidentes reportados en 2025 afectaron empresas de menos de 250 empleados.
Anatomía de un ataque típico (5 pasos)
- Entrega — Phishing dirigido, RDP expuesto a internet, vulnerabilidad pública sin parchear.
- Establecimiento — Persistencia en el endpoint, escalada de privilegios.
- Reconocimiento — Mapeo silencioso de la red: cuántos servidores, dónde están los backups, qué datos son críticos. Puede durar semanas.
- Cifrado — Despliegue masivo y simultáneo a través de la red. En minutos cifra todo lo conectado.
- Extorsión — Nota de rescate. Doble extorsión moderna: además del rescate por la clave, amenaza con publicar los datos exfiltrados.
Costos reales: lo que NO le dicen las estadísticas
El rescate típico para una PYME en Colombia ronda los USD $25.000–$150.000. Pero esa es solo la línea visible. El downtime promedio es de 4 a 21 días. Los costos de restauración (incluso con backup) suman 2-5x el rescate. Hay multas potenciales bajo Ley 1581 si se filtran datos personales. Y el costo más impredecible es la reputación: cuántos clientes pierde, cuántos contratos no firma, cuánto le cuesta volver a la normalidad comercial. El 60% de las PYMEs víctimas cierran operaciones en los siguientes 6 meses.
Las 7 medidas preventivas indispensables
1. Backup empresarial con regla 3-2-1 inmutable. No basta con tener backup — tiene que ser inmutable (no se puede borrar ni cifrar desde la red), con al menos una copia offsite, y probado mensualmente. Los backups conectados son destruidos por el ransomware moderno como primer paso.
2. EDR de última generación (no antivirus tradicional). Plataformas como CrowdStrike, SentinelOne o Microsoft Defender for Endpoint detectan comportamientos anómalos (cifrado masivo, escalada de privilegios) que un antivirus por firmas nunca verá.
3. MFA en TODOS los accesos. Email, VPN, RDP, SaaS críticos, infraestructura cloud. El 80% de los ataques inician con credenciales comprometidas; MFA neutraliza la mayoría.
4. Parches automatizados (no manuales). Las vulnerabilidades públicas se explotan en horas, no semanas. Automatización mensual (mínimo) con ventanas coordinadas para servidores críticos.
5. Awareness training trimestral. El usuario sigue siendo el vector #1. Phishing simulation con métricas. Si el equipo no cae en una simulación, no caerá en una real.
6. Segmentación de red (VLANs). Que un endpoint comprometido no tenga acceso directo a servidores ni a backups. VLAN de usuarios, VLAN de servidores, VLAN de gestión separadas.
7. Plan de respuesta a incidentes documentado. Quién hace qué en las primeras 4 horas, números de emergencia, contactos legales, qué autoridades notificar, dónde están los backups. Un IR plan ensayado anualmente.
Qué hacer si ya lo sufriste (las primeras 4 horas)
Hora 0-1 · Contener. Desconectar de la red los equipos afectados (no apagar — perderías evidencia forense). Cortar acceso a internet de la red comprometida.
Hora 1-2 · Notificar. Contacta a tu partner técnico, a tu abogado, y a las autoridades (CSIRT-CO, SIC si hay datos personales). NO pagues todavía. NO toques los equipos.
Hora 2-3 · Evaluar daño y backup. Inventariar qué se cifró, qué quedó intacto, cuál es el estado de los backups (si tienes backup inmutable, tu posición es totalmente diferente).
Hora 3-4 · Decidir estrategia. Restaurar desde backup limpio es siempre preferible a negociar. Negociar es último recurso y debe hacerse con asesoría experta — pagar el rescate NO garantiza recuperación.
Cómo elegir una solución de protección
Evalúa a tu proveedor por: SLA documentado (detección, contención, recuperación con números), herramientas Tier 1 (no whitelabel barato), equipo SOC propio o partnership formal, experiencia probada en incidentes reales (no solo prevención), casos públicos verificables.
Conclusión
El ransomware no se previene con un solo producto — se previene con una estrategia. Tu empresa puede empezar por implementar las 3 medidas más impactantes (backup inmutable + MFA + EDR) y avanzar con el resto en 90 días. Si quieres un plan personalizado, escribimos sobre eso en nuestra asesoría gratuita.