¿Cómo detectar y detener un ataque de ransomware?

Español | April 4, 2025 | 4 min read

¿Cómo detectar y detener un ataque de ransomware?

El ransomware sigue siendo una de las principales amenazas para todas las empresas en el mundo. Aprender a detectar, detener y remediar un ataque de esta clase es una competencia esencial para los equipos de ciberseguridad hoy en día.

El panorama actual es complicado. Solo en América Latina los ataques de ransomware han crecido en un 35% en el último año y el 49% de las organizaciones en la región aseguraron haber recibido entre uno y tres incidentes relacionados con esta amenaza en el último año.

¿Cómo detectar un ataque de ransomware?

Es importante identificar una serie de síntomas que nos pueden advertir sobre un posible ataque de ransomware. No obstante, también es vital aprender a evitar esta amenaza y reconocer su presencia en campañas de phishing, por ejemplo.

Estos son algunos de los aspectos por los que puedes identificar un posible ataque de ransomware:

  • Extensiones: Si encuentras archivos con extensiones extrañas como .locked o .encrypted en archivos que antes eran .doc o .mp4,  tienes una primera señal.

  • Archivos que no se pueden abrir: hallar documentos defectuosos, que ya no se pueden abrir en el software correspondiente o distribuidos en ubicaciones distintas a las originales, pueden darnos alguna pista sobre un posible ataque.

  • Rendimiento anormal del sistema: ¿El equipo trabaja más lento que de costumbre? ¿hay reinicios inesperados de forma recurrente? Esto puede suceder porque hay procesos consumiendo recursos.

Puedes comprobarlo revisando el Administrador de Tareas de Windows (pero no te confíes, muchos procesos maliciosos se camuflan bajo nombres de procesos legítimos y asi pasan desapercibidos).

  • Comportamiento sospechoso en la red: Un ataque de ransomware puede estar dirigido a un equipo, pero terminará afectando a toda la red (infecta a todos los dispositivos de la misma red). Un aumento repentino en el tráfico de red y la aparición de IPs inusuales, pueden ser algunas alertas adicionales.

  • Deshabilitación de las configuraciones de seguridad: Si el antivirus no está funcionando y herramientas como Windows Defender Firewall están inactivos, tienes un indicio inequivoco de un ataque.

Todos estos tips pueden ser útiles para identificar un posible ataque mientras se va gestando. Una vez el ransomware haya encriptado todos los archivos, mostrará un mensaje en el que exige el pago de un rescate (generalmente en criptomonedas) para recuperar la información.

Sobra decir que el pago de este rescate no es garantía de obtener la información de vuelta. Lo más importante es prevenir con actividades como copias de seguridad en la nube.

Contenido relacionado: El ataque de ransomware de 100 millones de dólares y el caso del Caesars Palace

¿Cómo detener un ataque de ransomware?

Si has visto suficientes indicios de un ataque de ransomware en tu equipo hay algunas medidas que puedes implementar de inmediato y otras que se pueden realizar de manera preventiva.

Medidas de respuesta inmediata

  • Aislamiento y notificación: Desconecta tu dispositivo de la red para evitar la propagación del malware y notifica tan pronto sea posible al equipo de seguridad para que tome las medidas correspondientes.

  • Intenta identificar la puerta de entrada: ¿Recuerdas algún archivo que recibiste con algún descuento inusual en alguna tienda online, una descarga de un sitio poco confiable o una notificación falsa? Si lo recuerdas puedes ayudar a evitar que otras personas en la organización descarguen el malware.

  • Evita copiar archivos por cualquier medio: Los archivos deteriorados no se van a restaurar “mágicamente” al copiarlos a una memoria USB o un disco duro por ejemplo. Solo moverás los archivos ya encriptados de ubicación, pero esto no resuelve el problema y si podrías estar propagando el malware a otra computadora.

Medidas preventivas

  • Actualizaciones y parches de seguridad: contar con las actualizaciones necesarias para todo el software y el sistema operativo puede reducir la superficie de ataque y en ocasiones podría advertir sobre el malware más popular en el momento.

  • Control de accesos: limita los accesos a recursos compartidos o datos críticos para la empresa, así evitarás que la información más importante esté fácilmente disponible en la red. La gestión de accesos privilegiados (PAM) será fundamental.

  • Endpoint security: utiliza soluciones de enpoint security como Ransomware Protection Plus o Endpoint Centralpara proteger los dispositivos. Los actuales ataques de ransomware no son detectables con antivirus o antimalware (muchos ni siquiera se instalan en tu equipo, ¡se ejecutan desde la memoria RAM!).

Con una solución de endpoint security puedes evitar que cualquier archivo desde cualquier ubicación se ejecute, por lo que incluso habiendo descargado el instalador del malware, este no podrá ejecutarse.

  • Copias de seguridad: siempre que sea posible crea copias de seguridad o establece un recordatorio para hacer copias cada semana, por ejemplo. Esto no evitará el ataque, pero si permitirá recuperar la información rápidamente.

  • Promueve buenas prácticas de ITSEC: comparte las claves para identificar un correo de phishing, evitar el vishing, el whaling y otros métodos que los delincuentes utilizan para obtener datos de la compañía y vulnerar sus sistemas.

Ransomware Protection Plus: detecta y neutraliza ataques

La nueva solución multicapa de ManageEngine (Ransomware Protection Plus), identifica las amenazas en tiempo real, aísla los sistemas infectados y restaura la información en los endpoints en cuestión de minutos.

  • Detección del comportamiento: esta solución utiliza machine learning para analizar los procesos y el comportamiento de los archivos, y detectar patrones inusuales de alteración, eliminación o modificación.

  • Protección contra malware sin archivos: recuerda que hay malware que se ejecuta desde la memoria RAM sin siquiera instalarse. Ransomware Protection Plusdetecta el ransomware que es invisible a los antivirus convencionales y se ejecuta directamente en la memoria o a través de scripts.

  • Ciclo de vida del ataque: Esta nueva herramienta permite ver todo el ciclo de vida del ataque de ransomware, desde el punto de entrada del dispositivo hasta la información del proceso y más detalles en caso de una investigación forense.

Contenido relacionado: 10 prácticas para prevenir amenazas internas

¿Cómo funciona Ransomware Protection Plus?

Cuenta con poderosas funciones como las que describimos anteriormente y que se pueden catalogar como características de un software EDR (Endpoint Detection and Response) capaz de detectar amenazas y responder adecuadamente.

Pero además, puede restaurar la información rápidamente. ¿Cómo lo logra?

Aprovecha la tecnología de Microsoft VSS (Volume Shadow Copy Service), una herramienta que crea copias de seguridad ocultas de los endpoints cada tres horas. En caso de un ataque se producirá una restauración automática.

Puede descargar una prueba gratuita totalmente funcional de 30 días, solicitar una demo personalizada o conocer con más detalle las principales características de esta solución. Tome el control de sus dispositivos y evite ataques de ransomware con la última tecnología de ManageEngine.

Tags : ataque ransomware / blog / comportamiento sospechosos / detectar ransomware / detener ransomware / ManageEngine / manageengine blog / proteccion ante ransomware / ransomware / ransomware protection plus / rendimiento de sistema / ueba
Steve Ramírez López