La mayoría de los artículos sobre ransomware comienzan así: una estadística impactante, una breve definición, una lista de víctimas potenciales y recomendaciones que suponen que usted cuenta con un equipo de seguridad completo y un presupuesto ilimitado.

Este no es ese artículo...

Aunque proporcionamos estadísticas para contexto, hemos enfocado este artículo en consejos prácticos que realmente funcionan para su equipo y los recursos con los que usted cuenta. Si administra el área de TI de una pyme, no necesita tomar decisiones por temor, ya que ya sabe que la amenaza es real y evoluciona constantemente.

A continuación se presentan algunas ideas rápidas y sencillas para comenzar antes de analizar el marco completo con diferentes elementos que su equipo debe abordar.

Ideas básicas:

5 acciones que puede llevar a cabo esta semana para reducir significativamente el riesgo de ransomware:

• Active la autenticación multifactor en cada cuenta, incluidos el correo electrónico, VPN, aplicaciones en la nube y herramientas remotas
• Realice una auditoría del acceso de administrador y elimine lo que sea innecesario
• Verifique si realmente puede restaurar sus copias de seguridad (no solo que existan)
• Aplique parches a los diez sistemas más críticos
• Realice una simulación de phishing con su equipo

El resto de este artículo explica el marco detrás de estas acciones y cómo fortalecerlas progresivamente.

¿Qué es el ransomware?

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) define el ransomware como "un tipo de malware diseñado para cifrar archivos de un dispositivo, de modo que tanto estos archivos como los sistemas que dependen de ellos quedan inutilizables. Posteriormente, los actores maliciosos exigen un rescate a cambio de la desencriptación".

Los ataques de ransomware actuales rara vez se limitan solo al cifrado. La mayoría de los grupos de amenazas opera bajo el modelo de doble extorsión: primero le roban sus datos y luego los encriptan, amenazando con publicarlos si no paga. Esto significa que, incluso si cuenta con copias de seguridad, sigue estando bajo presión.

El modelo Ransomware como Servicio (RaaS) ha impulsado aún más el aumento de ataques. Las organizaciones criminales ahora, en esencia, franquician sus herramientas a socios afiliados, quienes distribuyen las ganancias. Esto reduce la barrera técnica para iniciar ataques y aumenta drásticamente el volumen de ataques. Durante el mes de junio de 2025, el grupo de ransomware Qilin ejecutó 81 ataques, lo que representa un aumento del 47,3 % en comparación con el periodo anterior.

Los atacantes apuntan activamente a negocios pequeños justamente porque suelen contar con menos recursos de seguridad, estrategias de copias de seguridad débiles y menor capacidad de respuesta ante incidentes que las grandes empresas.

Por qué las pymes están en el punto de mira

"El 47 % de los negocios pequeños con ingresos menores a 10 millones de dólares fueron víctimas de ransomware en el último año".

Estado del informe de ciberseguridad de pymes ConnectWise, 2025

La antigua suposición de que los atacantes solo buscan objetivos grandes está peligrosamente desactualizada. Las pymes son atacadas activamente precisamente porque suelen tener:

• Equipos de TI más pequeños con menor capacidad para monitorear, aplicar parches y responder
• Plantillas remotas e híbridas que acceden a sistemas desde dispositivos personales y redes domésticas
• Entornos en la nube, a menudo mal configurados y poco supervisados
• Respuesta ante incidentes menos madura, lo que significa que los ataques causan más daño antes de ser contenidos

Y las implicaciones financieras han escalado de manera considerable. El pago promedio de rescate aumentó un 500 % hasta alcanzar los dos millones de dólares en 2024. La recuperación tras un ataque de malware ahora cuesta un promedio de 2,73 millones de dólares, y esto sin considerar el tiempo de inactividad, la pérdida de clientes y el perjuicio reputacional. (ConnectWise, 2025)

Otro factor que está cambiando la ecuación: la IA. El 83 % de las pymes afirma que la IA ha elevado el nivel de la amenaza de ciberseguridad en su empresa. (ConnectWise, 2025) Los atacantes utilizan IA para generar correos electrónicos de phishing altamente convincentes, automatizar el robo de credenciales y adaptar cargas de malware en tiempo real. El ritmo de los ataques se ha acelerado mucho más rápido de lo que la mayoría de las defensas tradicionales puede rastrear.

¿Qué es Zero Trust?

Zero Trust se ha convertido en un término de seguridad comúnmente empleado en el ámbito de TI. No obstante, el principio fundamental de Zero Trust es: no confiar en nadie y verificar siempre. No se debe confiar por defecto en ningún usuario, dispositivo o conexión, incluso si ya forma parte de su red.

Esto supone un cambio fundamental respecto a la ciberseguridad tradicional, en la cual se creaba un firewall en torno a la red y se asumía que todo lo interno era seguro. El problema de ese modelo es que, una vez que un atacante logra atravesar la barrera (sea mediante un correo electrónico de phishing, credenciales comprometidas o una herramienta remota vulnerable), puede moverse sin restricciones. Zero Trust elimina esa vía libre.

El marco de trabajo se basa en tres principios:

Verificar explícitamente – Cada solicitud de acceso debe autenticarse según quién la realiza, qué dispositivo utiliza y dónde se encuentra. No importa si el comportamiento parece normal. Esto debe ocurrir cada vez, no solo al iniciar sesión.

Utilizar privilegios mínimos – Cada persona debe tener acceso únicamente a lo necesario para realizar su trabajo y nada más. Si una cuenta se ve comprometida, el daño permanece limitado al entorno que el atacante puede acceder.

Suponer la vulneración – Este es el cambio de mentalidad más importante para las pymes. Pregúntese constantemente: "¿Qué sucede si ya están dentro?". Esto le permite diseñar sus sistemas para limitar el alcance de los movimientos y los daños que pueden ocasionar.

La clave para las pymes: Zero Trust no corresponde a una única capa de seguridad. Es una estrategia integral de infraestructura que se aplica progresivamente en cada capa de su entorno actual.

Mejores prácticas de Zero Trust para pymes

Esto es lo que rara vez se reconoce en los artículos de seguridad: la mayoría de las pymes no puede implementar todo esto de forma simultánea. Usted no cuenta con un equipo de seguridad grande y su presupuesto tiene prioridades en competencia. Cada nueva herramienta implica que alguien debe gestionarla.

Eso no es motivo para no hacer nada. Es una razón para actuar deliberadamente y priorizar estos elementos según el mayor impacto. Las prácticas que se presentan a continuación están ordenadas por su impacto; empiece por las primeras y avance progresivamente.

10 Habilite la autenticación multifactor (MFA) en todos sus sistemas

Esta es la acción más efectiva que puede empezar a aplicar hoy.

Si una credencial es víctima de phishing, la MFA es lo que evita que un atacante acceda directamente. Habilítela en el correo electrónico, VPN, aplicaciones en la nube, herramientas de escritorio remoto y cualquier elemento que maneje datos sensibles.

Priorice los autenticadores basados en aplicaciones (como Microsoft Authenticator o Google Authenticator) sobre los códigos por SMS, que pueden ser interceptados. Esta es una tarea de medio día que puede prevenir una filtración catastrófica.

Paso 2. Aplique el acceso con privilegios mínimos

Comience planteando una pregunta: ¿esta persona realmente necesita derechos de administrador?

Para la mayoría de las pymes, la respuesta sincera para la mayoría de las cuentas es no. Revise su lista de accesos de administrador. Elimine privilegios permanentes donde no se requieran diariamente. Utilice accesos temporales o acceso "justo a tiempo" para permisos elevados siempre que sea posible.

Solo con esto, se limita de manera significativa lo que un atacante puede hacer con una cuenta comprometida. Si se conectan como usuario estándar, no podrán instalar ransomware, modificar automatizaciones ni moverse por la red. Contención por diseño.

3x Segmente su red

Si el ransomware ingresa, la microsegmentación determina hasta dónde se propagará.

Visualice su red como un barco con compartimientos. Una filtración en una sección no tiene que hundir toda la nave. Para las pymes, esto no requiere una complejidad empresarial. Los puntos iniciales prácticos incluyen:

• Separar las estaciones de trabajo de los empleados de los servidores
• Aislar la red Wi-Fi para invitados de los sistemas internos
• Asegurarse de que los sistemas de punto de venta o financieros no puedan comunicarse con los datos de RRHH o de operaciones

Ejemplo real: Una empresa manufacturera de 35 personas sufrió una infección por ransomware a través del ordenador portátil de un contratista. Como habían segmentado su red el año anterior, el ataque se contuvo en una sola zona. La recuperación tomó horas. Sin segmentación, habría tomado semanas y probablemente le habría costado a la empresa mucho más que el esfuerzo de recuperación.

N.º 4 Aplique parches de manera constante

Los programas sin parches son una puerta abierta. Los atacantes conocen mejor de lo que usted imagina el ciclo de parches de sus sistemas.

Las vulnerabilidades explotadas son una de las principales causas de infecciones por ransomware; representan el 32 % de los incidentes solo en servicios financieros. (Sophos, 2025) El desafío para las pymes no es saber que los parches son importantes. Es aplicarlos de forma uniforme en cada sistema operativo, aplicación, firmware y servicio en la nube, mientras usted gestiona todas las demás tareas.

Automatice el proceso de parches siempre que sus herramientas lo permitan. Para lo que no se pueda automatizar, establezca un calendario fijo y cúmplalo. Las herramientas que ofrecen visibilidad en tiempo real sobre qué terminales están desactualizadas convierten este proceso en una gestión organizada y no en un proceso manual.

5. Adopte una cultura de "nunca confíe, siempre verifique"

La tecnología solo llega hasta cierto punto. La capa humana es fundamental.

El FBI recibió 193.407 denuncias de phishing y suplantación en 2024, lo que resultó en más de 70 millones de dólares en pérdidas. Y dado que el phishing generado por IA representa ahora el 82,6 % del contenido de phishing, estos correos electrónicos son cada vez más difíciles de detectar incluso para quienes están capacitados.

Realizar capacitaciones breves y periódicas en concientización sobre seguridad, incluso si son solo 15 minutos por trimestre, puede impactar significativamente para reducir la probabilidad de un ataque exitoso de phishing. Combínelas con pruebas simuladas de phishing ocasionales para que el personal desarrolle reconocimiento mediante la práctica, no solo la teoría.

Zero Trust como cultura significa que su equipo entiende por qué existen estas políticas, no solo que se requiere que las cumplan.

N.º 6 Supervise de forma continua, no espere a recibir una nota de rescate

Los atacantes suelen permanecer semanas dentro de una red antes de activar el ransomware. La supervisión permite detectarlos primero.

Las herramientas de análisis del comportamiento pueden alertar si una cuenta comienza a comportarse de manera inusual: accediendo a archivos que nunca utiliza, conectándose en horarios atípicos o intentando movimientos laterales. Ese aviso temprano es lo que diferencia un incidente contenido de una filtración de gran escala.

Como mínimo, asegúrese de que tenga registro habilitado en sus sistemas críticos y que alguien revise las alertas regularmente. Si su equipo no tiene capacidad para supervisar las 24 horas del día, esto constituye una de las razones más sólidas para solicitar asistencia de detección y respuesta gestionada.

Seguridad en la nube y acceso remoto: el punto de partida de la mayoría de los ataques

Las herramientas de acceso remoto y los entornos en la nube se han convertido en los principales puntos de entrada para el ransomware, y requieren atención específica en su estrategia de Zero Trust.

El acceso remoto es un objetivo de alto valor precisamente porque las herramientas involucradas poseen privilegios elevados en sus terminales. Los atacantes aprovechan VPN mal protegidas, exposiciones del protocolo de escritorio remoto (RDP) y vulnerabilidades en el software de gestión de TI para acceder a múltiples sistemas al mismo tiempo.

Zero Trust aplicado al acceso remoto implica:

• Cada sesión remota requiere autenticación, no solo el inicio de sesión inicial
• El acceso se limita a sistemas específicos, no a toda la red
• Cada sesión se registra y es auditable
• Las tareas automatizadas sensibles exigen una firma verificada antes de ejecutarse, de modo que, incluso si un atacante compromete el backend, no podrá activar automatizaciones nuevas sin las credenciales correctas

Los entornos en la nube presentan riesgos similares. Las configuraciones incorrectas (los depósitos abiertos, los permisos excesivos y las cuentas de servicio no utilizadas) son explotadas de manera continua. Aplique los mismos principios de privilegios mínimos y verificación a sus recursos en la nube que utiliza en su entorno local.

Conclusión sobre herramientas remotas: La plataforma que utiliza para administrar sus terminales tiene las llaves de toda su infraestructura. Asegúrese de que se haya diseñado con principios de Zero Trust integrados, no incorporados de manera secundaria.

Cuando la prevención no es suficiente: cómo fortalecer la resiliencia ante el ransomware

Incluso con controles sólidos de Zero Trust, las organizaciones resilientes tienen planificado el escenario en el que algo pueda superar sus defensas. Este es el núcleo de una estrategia práctica de resiliencia para las pymes:

Identifique su nivel de exposición

Antes de poder defenderse ante lo que se avecina, es necesario contar con una visión honesta de su situación actual. Una evaluación de vulnerabilidades identifica debilidades en sus sistemas antes de que los atacantes lo hagan. Una evaluación de riesgos le permite mapear sus activos más críticos y priorizar la inversión. Ninguna debe ser un proyecto masivo; muchas herramientas ofrecen escaneo automatizado y hallazgos priorizados para que su equipo actúe.

Realice copias de seguridad de sus datos y pruebe la restauración

Esto parece fundamental. No siempre se ejecuta de manera adecuada. Las copias de seguridad efectivas son:

• Automatizadas y frecuentes, no un proceso manual realizado solo cuando alguien lo recuerda
• Almacenadas en múltiples ubicaciones, incluida una copia fuera de línea o aislada que el ransomware no pueda alcanzar
• Probadas regularmente; necesita saber que realmente puede restaurar, no solo que la copia de seguridad existe

Los grupos de ransomware cada vez apuntan más a los sistemas de copias de seguridad porque eliminar la posibilidad de recuperación aumenta la probabilidad de pago. Proteja sus copias de seguridad con el mismo rigor con el que protege sus sistemas principales.

Tenga un plan de respuesta ante incidentes por escrito

Cuando ocurre un ataque, la confusión y los retrasos amplifican los daños. Un plan simple y documentado  (quién declara el incidente, quién aísla los sistemas afectados, quién contacta a las autoridades o maneja las comunicaciones) puede marcar la diferencia entre un incidente contenido y una crisis para la empresa. No necesita un manual de 50 páginas. Necesita una guía concreta de una página que su equipo realmente haya leído.

Utilice DLP para prevenir la exfiltración de datos

Como el ransomware moderno roba datos antes de cifrarlos, las herramientas de prevención de pérdida de datos (DLP) añaden una capa esencial al supervisar cómo se mueven los datos sensibles y bloquear intentos de exfiltración no autorizados. Esto es especialmente importante si maneja datos personales de clientes, registros financieros o información sanitaria, donde una filtración implica consecuencias regulatorias.

Construya su arquitectura Zero Trust: un punto de partida práctico

Zero Trust no es un proyecto con punto final. Es una dirección: el objetivo es avanzar de manera constante, no alcanzar la perfección.

Esta es la secuencia práctica para que las pymes construyan su enfoque hacia Zero Trust:

• Paso 1 → Realice un inventario de sus activos, cuentas y accesos (lo que no ve, no lo puede proteger)
• Paso 2 → Habilite MFA en todos los sistemas
• Paso 3 → Audite y restrinja el acceso de administradores y privilegios especiales
• Paso 4 → Segmente su red
• Paso 5 → Establezca parches automatizados y escaneo de vulnerabilidades regular
• Paso 6 → Configure supervisión continua y alertas
• Paso 7 → Verifique sus copias de seguridad y documente su plan de respuesta ante incidentes
• Paso 8 → Capacite a su equipo y repita periódicamente

Las empresas que superan ataques de ransomware no siempre son aquellas con los presupuestos más elevados. Son aquellas que han tomado decisiones conscientes y consistentes sobre cómo fortalecer sus defensas, y no esperaron a sufrir una filtración para actuar con seriedad.

No tiene que afrontar esto solo, ni es necesario que haga todo al mismo tiempo. Lo importante es que inicie el proceso y que las herramientas en las que confía para gestionar su entorno tengan la seguridad integrada en su funcionamiento, y no añadida de manera superficial.

Cómo LogMeIn Resolve brinda asistencia a su estrategia de Zero Trust

La arquitectura de seguridad Zero Trust de LogMeIn Resolve implementa un protocolo de seguridad estricto cuyo enfoque se basa en "no confiar en nadie y verificar a todo el mundo" dentro del software o el entorno de TI. Va mucho más allá de la ciberseguridad tradicional, que permite acceso ilimitado dentro de la zona de confianza. Una vez dentro, un actor malicioso puede causar estragos.

El enfoque de seguridad de LogMeIn parte de la premisa de que existen múltiples puntos de acceso a un software o una infraestructura de TI; no solo el inicio de sesión del usuario tradicional, sino también posiblemente a través de puertas traseras del software, API (interfaces de programación de aplicaciones) y otros métodos. Por lo tanto, cualquier acción o información sensible debe requerir un punto de verificación adicional.

El resultado: cada terminal está protegida mediante la obligatoriedad de reautenticarse antes de cada tarea automatizada. En términos específicos, el proceso de seguridad de LogMeIn Resolve cumple con lo siguiente:

• El applet de un dispositivo remoto solo acepta órdenes de agentes autorizados.
• Los agentes deben crear y utilizar una clave de firma única para reautenticarse en tareas sensibles.
• Esta clave solo la conoce el agente, no LogMeIn, y no se puede poner en peligro en línea.
• Incluso si un agente malicioso hackea el soporte o suplanta las credenciales de inicio de sesión, el atacante no puede cambiar o crear automatizaciones nuevas para las terminales sin la clave de firma.
• Las terminales solo obedecen sus órdenes firmadas.

Considere esto como si alguien intentara robar un banco; logra entrar en la bóveda, pero se encuentra con cientos de cajas de seguridad, todas con llaves individuales que solo poseen los propietarios.

Descubra más sobre el enfoque de LogMeIn Resolve respecto a la seguridad Zero Trust en nuestro chat con nuestro director de seguridad de la información, Attila Torok, y el vicepresidente de ingeniería, David Bisztrai, para conocer cómo la aplicación de estos principios puede ayudar a proteger su empresa contra ransomware, ataques a la cadena de suministro y otras vulnerabilidades que afectan a empresas grandes y pequeñas.