Hay un momento muy concreto en el que una empresa entiende que el ransomware ya no es un tema lejano ni una nota más en las noticias. Es cuando un archivo no abre. Luego otro. Después un sistema completo deja de responder. Y finalmente aparece aquel mensaje. En ese instante, el ambiente cambia. Empiezan las llamadas, las prisas, las preguntas al aire. Y casi siempre alguien dice lo mismo:
“¿Y ahora qué hacemos?”
Este artículo está escrito justo para ese momento. No para explicar desde cero qué es el ransomware —eso ya lo desarrollamos a fondo en nuestro artículo pilar sobre ransomware, continuidad operativa y respaldos empresariales— sino para ayudarte a tomar decisiones con la cabeza fría cuando el ataque ya está encima, desde la realidad de las empresas en México.
Primero lo primero: frenar el golpe antes de que se haga más grande
Cuando cae un ransomware, el peor enemigo es la improvisación. Seguir trabajando “a ver si aguanta”, reiniciar equipos por reflejo o empezar a mover archivos sin entender qué pasa suele empeorar el escenario. Lo más sensato es contener. Aislar los equipos o servidores afectados, desconectarlos de la red y evitar que el cifrado siga avanzando. No es pánico, es control de daños.
En la guía central explicamos cómo el ransomware suele moverse de forma silenciosa dentro de la red antes de mostrarse. Aquí lo importante es entender que cada minuto conectado puede significar más sistemas comprometidos.
Antes de decidir, hay que entender qué tan profundo llegó el ataque
No todos los ataques son iguales. A veces solo afecta algunas computadoras. En otros casos, el golpe va directo a servidores críticos. Hay escenarios donde el riesgo es solo operativo y otros donde también hay riesgo de exposición de información. Antes de tomar decisiones apresuradas, conviene hacerse preguntas simples pero clave:
- ¿Qué sistemas ya no responden?
- ¿Qué información es indispensable para seguir operando?
- ¿Existen copias de respaldo que realmente se puedan usar?
Si necesitas entender mejor por qué el ransomware suele ir primero por los backups y cómo elige qué cifrar, ese contexto ya está desarrollado en el artículo pilar, y este texto se apoya en él sin repetirlo.
La pregunta incómoda: ¿pagamos el rescate?
Cuando el negocio está detenido, pagar puede sonar tentador. A veces alguien lo plantea como “lo más rápido”. En la práctica, es una apuesta con muy pocas garantías. Hay casos en los que los atacantes entregan una clave. En muchos otros no. Y aun cuando la entregan, el proceso de descifrado puede ser lento, incompleto o dejar los sistemas dañados. Además, pagar no te protege de que te vuelvan a atacar; al contrario, puede ponerte en la lista de “los que sí pagan”.
Por eso, como explicamos en el artículo pilar, no pagar suele ser la mejor decisión siempre que exista una alternativa real. Y esa alternativa no aparece en medio de la crisis: se construye antes.
Cuando tienes backups, la historia es otra
Aquí es donde el escenario cambia por completo. Las empresas que cuentan con copias de respaldo bien pensadas viven el ransomware de otra forma. No porque el ataque no importe, sino porque ya no están contra la pared.
Con respaldos reales, la conversación deja de ser “¿cuánto cuesta pagar?” y pasa a ser “¿qué restauramos primero?”. El control regresa al lado del negocio. Eso sí: no cualquier backup sirve.
Para que un respaldo funcione frente a ransomware tiene que estar aislado, versionado y pensado para ataques, no solo para fallas técnicas. Este punto es el corazón del artículo pilar, donde explicamos por qué los backups bien diseñados son la única solución que realmente cambia el equilibrio frente al ransomware.
Restaurar sin repetir el error
Uno de los tropiezos más comunes es querer restaurar todo “lo más rápido posible”. Eso, muchas veces, termina en una reinfección.
Antes de restaurar hay que limpiar el entorno, cambiar accesos comprometidos y asegurarse de que el punto de respaldo sea anterior al ataque. Tener un protocolo claro de respuesta a incidentes, como el que se describe en la guía central, marca una diferencia enorme.
Aquí no gana el que corre más, sino el que restaura con orden.
Lo que muchas empresas en México entienden después del golpe
Después del ataque, casi siempre aparecen las mismas conclusiones, dichas en voz alta o en silencio:
- El correo sigue siendo la puerta de entrada principal.
- Los accesos estaban más abiertos de lo necesario.
- Los respaldos no estaban tan bien pensados como se creía.
- Nadie tenía claro qué hacer bajo presión.
Estas lecciones conectan directamente con los ejes que desarrollamos en el artículo pilar: continuidad operativa, respaldos estratégicos y preparación antes del ataque.
este artículo no es el inicio, es parte del camino
Este texto no vive solo. Forma parte de un cluster de contenidos sobre ransomware, donde el punto de partida es la guía central y desde ahí se profundiza en decisiones reales: backups, continuidad operativa, antispam y recuperación. Si algo deja claro un ataque de ransomware es esto:
cuando existe una forma clara de recuperar la información, el atacante deja de mandar.
Y en el mundo empresarial, recuperar el control lo cambia todo.
