Cómo prevenir ransomware en empresas: checklist práctico (2026)
El ransomware ya no es solo “cifrado”: en muchos casos primero roban información, luego extorsionan y finalmente paralizan la operación. La forma más efectiva de reducir el riesgo no es una sola herramienta, sino un conjunto de controles básicos bien implementados y probados.
Abajo tienes un checklist práctico por prioridades (lo que más reduce riesgo primero), ideal para pymes y empresas medianas.
Checklist práctico para prevenir ransomware
1) Backups que realmente te salvan (Prioridad 1)
☑ Regla 3-2-1: 3 copias, 2 medios distintos, 1
☑ fuera de la red.
☑ Backups inmutables (o “write once / no borrable”) para evitar que el atacante los elimine.
☑ Pruebas de restauración programadas (no solo “se hizo el backup”).
☑ Copias separadas por credenciales: el usuario/admin que opera la red NO debe poder borrar backups.
☑ Objetivos RPO/RTO definidos (cuánta info puedes perder / cuánto tiempo puedes estar caído).
2) Cerrar la puerta principal: identidad y accesos (Prioridad 1)
☑ MFA obligatorio para correo, VPN, paneles administrativos y acceso remoto.
☑ MFA resistente al phishing cuando sea posible (llaves FIDO2 / passkeys).
☑ Eliminar cuentas compartidas y auditar cuentas “antiguas/inactivas”.
☑ Mínimo privilegio (no todos deben ser admin).
☑ PAM o control de cuentas privilegiadas (aunque sea básico: separación de roles + bóveda de credenciales).
☑ Política de contraseñas + bloqueo por intentos + detección de “password spraying”.
3) Endpoints blindados: EDR + hardening (Prioridad 1)
☑ EDR/NGAV activo y actualizado en todos los equipos y servidores.
☑ Bloqueo de macros (o permitir solo firmadas) y control de scripts.
☑ Control de aplicaciones (allowlist) para áreas críticas (contabilidad, servidores).
☑ Deshabilitar SMBv1 y protocolos obsoletos.
☑ Parcheo de sistema y software con prioridad a: VPN, firewalls, correo, navegadores, Java, Office, VMs.
4) Correo y navegación: donde inicia el 70% del lío (Prioridad 1)
☑ SPF + DKIM + DMARC correctamente configurados.
☑ Filtro antiphishing con protección de enlaces/adjuntos y sandboxing.
☑ Bloquear adjuntos de alto riesgo (iso, img, exe, js, vbs, etc.).
☑ Entrenamiento breve y repetible: “cómo reportar” vale más que un curso largo anual.
☑ Banner de correo externo + alertas por suplantación de nombre.
5) Red y movimiento lateral: que no se propague (Prioridad 2)
☑ Segmentación (usuarios ≠ servidores ≠ backups ≠ administración).
☑ Bloquear RDP expuesto a internet (ideal: ZTNA o VPN + MFA).
☑ Listas de control (ACL) para limitar acceso a shares y puertos internos.
☑ Deshabilitar administración remota innecesaria y revisar herramientas RMM.
6) Monitoreo y detección: enterarte rápido cambia todo (Prioridad 2)
☑ Logs centralizados (correo, endpoints, firewall, autenticación, servidores).
☑ Alertas por:
☑ picos de autenticación fallida
☑ creación de cuentas admin
☑ cambios en reglas de correo/reenvío
☑ ejecución masiva de procesos de cifrado / borrado de sombras
☑ SOC / monitoreo 24/7 si tu operación no puede parar.
7) Preparación operativa: cuando pasa, se gana por procedimiento (Prioridad 2)
☑ Plan de respuesta a incidentes (1–2 páginas) con responsables y contactos.
☑ Runbook de aislamiento: qué se desconecta primero (endpoint, servidor, red, credenciales).
☑ Comunicación: quién avisa a gerencia, legales, proveedores, clientes (si aplica).
☑ Simulacro 1–2 veces al año (tabletop) con un escenario realista.
“Lo mínimo viable” si solo haces 5 cosas este mes
- Backups inmutables + prueba de restauración
- MFA en correo + acceso remoto + admins
- EDR activo + parches prioritarios (VPN/firewall/correo)
- DMARC/SPF/DKIM + filtro antiphishing
- Segmentación básica + RDP fuera de internet
Errores comunes que dejan la puerta abierta
- Confiar en “tenemos backup” sin restaurar nunca.
- MFA solo en algunos usuarios (dejar admins sin MFA).
- RDP publicado a internet.
- Un mismo admin con llaves para todo (red + backups).
- Falta de logs: cuando pasa, no hay evidencia ni ruta de entrada.
¿Qué es ransomware?
Es un tipo de ataque que busca interrumpir el negocio cifrando sistemas y/o robando información para extorsionar.
¿Cuál es la mejor forma de prevenir ransomware?
La combinación más efectiva es: backups probados e inmutables, MFA, EDR, parcheo, correo seguro y segmentación.
¿El antivirus es suficiente contra ransomware?
No. Ayuda, pero hoy se necesita al menos EDR, controles de identidad, backups seguros y monitoreo.
¿Cada cuánto se deben probar los backups?
Depende del negocio, pero como regla práctica: mensual para servicios críticos y trimestral mínimo para el resto.
¿Qué hacer si sospecho ransomware?
Aísla equipos, corta propagación, preserva evidencia, cambia credenciales críticas, valida backups y activa el plan de respuesta.
Pide una cotización de monitoreo 24/7 (SOC/XDR)
Para detectar actividad sospechosa y responder antes de que el ransomware se propague.
Suscríbete a Nuestro Blog: Mantente actualizado con las últimas noticias y consejos en ciberseguridad. Suscríbete ahora.
