{"id":24204,"date":"2025-05-20T11:29:21","date_gmt":"2025-05-20T09:29:21","guid":{"rendered":"https:\/\/www.advens.test\/?p=24204"},"modified":"2025-05-20T11:29:22","modified_gmt":"2025-05-20T09:29:22","slug":"ataque-de-ransomware","status":"publish","type":"post","link":"https:\/\/www.nifty-shtern.217-160-68-194.plesk.page\/es\/media\/sin-categorizar\/ataque-de-ransomware\/","title":{"rendered":"Ransomware: la intervenci\u00f3n de nuestro CERT en detalle"},"content":{"rendered":"\n

Entre bastidores en nuestro CERT para revivir una respuesta completa a un ataque de ransomware. David Quesada, Director del CERT de Advens, explica las fases de respuesta a incidentes de nuestro Equipo de Respuesta a Emergencias Inform\u00e1ticas. \u00a1Entrevista exclusiva!<\/p>\n\n\n\n

\u00bfQu\u00e9 es un ataque de ransomware?<\/strong><\/h2>\n\n\n\n

Un ataque de ransomware consiste en enviar un malware a un objetivo que, una vez activado, cifra los archivos y todos los datos en el sistema de informaci\u00f3n<\/strong> donde se despliega. Luego se exige un rescate a cambio de una clave de descifrado.<\/p>\n\n\n\n

\u00bfCu\u00e1les son las se\u00f1ales de advertencia de un ataque de ransomware?<\/strong><\/h2>\n\n\n\n

Hay se\u00f1ales d\u00e9biles, pero detectarlas puede ser dif\u00edcil.<\/p>\n\n\n\n

El objetivo del atacante es pasar desapercibido el mayor tiempo posible. Una vez infiltrado en un sistema inform\u00e1tico, puede esperar meses antes de lanzar su ataque o hacerlo en unas pocas horas\u2026 Lo que puede hacer que te des cuenta de su presencia son comportamientos an\u00f3malos<\/strong>, como acciones durante la noche (conexiones, modificaciones, etc.) o transferencias de red inusuales.<\/p>\n\n\n\n

\u00bfQu\u00e9 sucede tan pronto se revela el ataque?<\/strong><\/h2>\n\n\n\n

Las herramientas inform\u00e1ticas ya no responden o funcionan de manera anormal. El usuario observa un comportamiento inesperado en su estaci\u00f3n de trabajo, como un software que ya no funciona, un fondo de pantalla que cambia de apariencia\u2026 Luego aparece un archivo de texto, a menudo titulado \u00abL\u00e9eme.txt\u00bb que contiene un mensaje<\/strong> fat\u00eddico \u00abHemos cifrado sus datos, llame a dicho n\u00famero para recuperarlos por la suma de XXX \u20ac o XXX Bitcoin\u00bb.<\/p>\n\n\n\n

\n

1 a 3 d\u00edas<\/p>\n\n\n\n

Este es el momento habitual para enviar una nota de rescate (LegiFrance).<\/strong><\/p>\n<\/blockquote>\n\n\n\n

\u00bfDebo ponerme en contacto con el atacante?<\/strong><\/h2>\n\n\n\n

Aconsejo no contactar directamente al atacante y entablar negociaciones para pagar el rescate. No le permitir\u00e1 necesariamente ahorrar tiempo y tampoco tendr\u00e1 garant\u00eda de que el atacante le devuelva el acceso a sus datos.<\/p>\n\n\n\n

Pero cada minuto cuenta, y si un usuario descubre el ataque, debe lanzar inmediatamente la alerta<\/strong> al equipo de ciberseguridad o en su defecto al soporte de TI y sobre todo no hacer frente al incidente usted mismo.<\/p>\n\n\n\n

\u00bfCu\u00e1les son los primeros pasos en el modus operandi de Advens CERT en caso de un ataque de ransomware?<\/strong><\/h2>\n\n\n\n

La primera fase del incidente tiene lugar en varias etapas: estos son, en cierto modo, los \u00abgestos de primeros auxilios\u00bb.<\/strong><\/p>\n\n\n\n

Nuestro CERT comienza realizando una primera calificaci\u00f3n telef\u00f3nica<\/strong> para identificar el alcance del da\u00f1o, comprender las acciones realizadas o en curso, luego transmitir, a trav\u00e9s de una direcci\u00f3n de correo electr\u00f3nico de emergencia, las acciones prioritarias que se llevar\u00e1n a cabo a la espera de la llegada del equipo al sitio.<\/p>\n\n\n\n

Nuestro equipo acude lo m\u00e1s r\u00e1pido posible al patrocinador, idealmente en 24 horas en<\/strong> territorio franc\u00e9s. Durante este tiempo, este \u00faltimo debe llevar a cabo todas las acciones priorizadas por su parte:<\/p>\n\n\n\n