Cuando una PyME es víctima de ransomware, el discurso habitual es “nos atacaron”. La verdad incómoda es que, en la mayoría de los casos, el ataque fue la última etapa de una serie de condiciones que ya estaban dadas desde hacía meses o años.
Los atacantes no van uno por uno buscando víctimas. Escanean rangos enteros de internet buscando servicios mal configurados y credenciales filtradas. Cuando encuentran una puerta, entran. No es personal.
La pregunta útil no es “¿me va a pasar?”. Es “¿qué puertas están abiertas?”.
Señal 1: Escritorio remoto expuesto a internet
El Remote Desktop Protocol (RDP) es una de las vías de entrada más usadas por grupos de ransomware en los últimos años. Se ataca por fuerza bruta con listas de contraseñas filtradas, hasta que alguna cede.
Si una empresa tiene el puerto 3389 abierto al exterior de su router para que empleados trabajen desde casa, está en esa lista. No importa si la contraseña parece fuerte: los atacantes tienen miles de millones de combinaciones ya filtradas y probadas.
La solución no es prohibir el trabajo remoto. Es ponerlo detrás de una VPN (WireGuard, OpenVPN, IPsec) de modo que el RDP nunca sea accesible directamente desde internet. Una VPN corporativa bien configurada en un firewall pfSense o en un MikroTik cambia completamente el panorama de exposición.
Señal 2: Backups en la misma red que los datos
Muchas PyMEs hacen backups, pero los guardan en un disco conectado al servidor, o en una carpeta de red accesible desde todas las máquinas. Cuando el ransomware cifra el servidor, también cifra el backup. En ese caso, el backup existe pero es inútil.
La regla de referencia se llama 3-2-1: tres copias de los datos, en dos medios distintos, con al menos una copia fuera del sitio o desconectada (offline). En la práctica, eso puede ser: el servidor de producción, un NAS interno y una copia en la nube con versionado, o un disco externo que se desenchufa después de cada backup.
Sin una copia aislada, cualquier incidente serio (no solo ransomware: también un incendio, un rayo, un error humano) borra todo junto.
Señal 3: Antivirus gratuito en equipos críticos
Windows Defender mejoró mucho en los últimos años y alcanza para equipos de usuarios hogareños. En un entorno empresarial, se queda corto por una razón concreta: no hay consola central, no hay visibilidad sobre qué pasó en cada endpoint, y la detección por comportamiento (HIPS) es limitada.
Una solución como ESET Endpoint Security o ESET PROTECT cambia esa dinámica. El administrador ve desde un panel qué equipos tienen alguna amenaza detectada, qué se bloqueó, qué políticas se aplicaron. Las alertas llegan antes de que el usuario avise.
La diferencia no se siente el día a día. Se siente el día que algo pasa.
Señal 4: Usuarios con permisos de administrador
En muchas empresas, los usuarios trabajan con su cuenta marcada como “Administrador local” de la máquina. Es cómodo: nadie molesta al técnico para instalar algo.
Es también la razón principal por la que, cuando un usuario ejecuta un archivo malicioso, el malware consigue cifrar todo lo que la máquina puede ver. Con permisos normales, el daño queda contenido al usuario. Con permisos de administrador, el daño se multiplica.
El principio se llama “menor privilegio” y no es nuevo. Es el más ignorado.
Señal 5: Correos sin doble factor
La mayoría de los ataques de ransomware empiezan con un correo. Un mail bien hecho, a veces desde una cuenta comprometida de un proveedor real. El usuario hace click, ingresa credenciales en una página falsa, y el atacante ya tiene acceso a una cuenta interna.
Con doble factor de autenticación (2FA) activado, tener la contraseña no alcanza: el atacante necesita también el segundo factor. Microsoft 365 y Google Workspace lo permiten con pocos clicks. En muchas PyMEs sigue desactivado “porque complica a los usuarios”.
Cuesta más explicar por qué no se activó, cuando pasa algo.
Señal 6: Nadie sabe quién tiene acceso a qué
En un diagnóstico típico aparecen cosas como: un proveedor que dejó la empresa hace dos años todavía tiene acceso al servidor; una cuenta de administrador compartida que usan cinco personas; contraseñas que no se cambian nunca.
No es negligencia. Es falta de un inventario básico. Y sin inventario, es imposible revocar accesos viejos.
Qué hacer con esta lista
Ninguna de estas señales por sí sola implica que va a pasar algo. Todas juntas son un perfil de riesgo alto. En la práctica, cuando vemos tres o más de estas señales en una empresa, el ataque es cuestión de tiempo.
Un relevamiento de seguridad serio no lleva semanas. Lleva algunos días de revisión documental y entrevistas. Y lo que se lleva el cliente no es un informe técnico inentendible, sino una lista ordenada por prioridad: qué hay que corregir primero, qué puede esperar, cuánto cuesta cada cosa.
Si al leer esta lista reconociste tres o más situaciones que aplican a tu empresa, vale la pena revisarlo antes de que revisar sea parte de la recuperación.