Imagina que mañana por la mañana llegas a la oficina y ningún ordenador arranca. O arrancan, pero todos los archivos están cifrados y hay una nota en la pantalla pidiendo 40.000 euros en Bitcoin para recuperarlos. El servidor de archivos, inaccesible. El sistema de gestión, bloqueado. Los correos de los últimos tres años, cifrados.
No es un escenario de ciencia ficción. Es exactamente lo que le ocurrió el año pasado a cientos de empresas medianas en España y Latinoamérica. Empresas con equipo de IT, con antivirus instalado, con la convicción de que “eso nos les pasaría a ellas”.
La pregunta no es si el ransomware es una amenaza real. Lo es, y los datos lo confirman sin margen de duda. La pregunta es si tu empresa está en condiciones de sobrevivir a un ataque hoy. No de evitarlo necesariamente, sino de sobrevivirlo: recuperar los datos, restaurar los sistemas y volver a operar en un plazo que el negocio pueda asumir.
Para saberlo, no hace falta una auditoría de seguridad de seis semanas. Hace falta responder diez preguntas con honestidad.
Primero: ¿qué hace exactamente el ransomware?
Antes del test, conviene entender con precisión qué ocurre durante un ataque de ransomware, porque muchas empresas sobreestiman su capacidad de respuesta precisamente porque no han pensado en los detalles.
El ransomware es un tipo de malware que, una vez dentro de un sistema, cifra los archivos haciéndolos inaccesibles. El cifrado es real y robusto: sin la clave en manos del atacante, recuperar los archivos por fuerza bruta es prácticamente imposible con la tecnología actual.
Lo que la mayoría de las empresas no sabe es que el ransomware moderno no actúa de forma inmediata. Los atacantes suelen pasar semanas dentro de la red antes de activar el cifrado, durante las cuales mapean la infraestructura, identifican los sistemas críticos, eliminan o corrompen las copias de seguridad accesibles y, en muchos casos, exfiltran datos para usar como segunda palanca de extorsión: “páganos o publicamos tu información”.
Cuando el cifrado finalmente se activa, ya es demasiado tarde para muchas de las medidas reactivas que las empresas asumen que podrían tomar.
El test: 10 preguntas para saber si tu empresa sobreviviría
Responde cada pregunta con sinceridad. Al final encontrarás la interpretación de los resultados.
Pregunta 1: ¿Tienes backups automáticos y regulares de todos tus sistemas críticos?
No de algunos. De todos: servidor de archivos, bases de datos, sistemas de gestión, correo electrónico, configuraciones de red.
— Sí, tenemos backups automáticos de todos los sistemas críticos con frecuencia diaria o mayor. (2 puntos) — Tenemos backups de algunos sistemas, pero no de todos, o la frecuencia es semanal o menor. (1 punto) — No tenemos backups automáticos o no sabemos con certeza qué se está respaldando. (0 puntos)
Pregunta 2: ¿Cuándo fue la última vez que probaste restaurar desde un backup?
Un backup que nunca se ha probado no es un backup: es una esperanza. Los fallos en la restauración son mucho más comunes de lo que se asume, y descubrirlos en mitad de un incidente es el peor momento posible.
— Hemos hecho una prueba de restauración completa en los últimos tres meses. (2 puntos) — La última prueba fue hace más de tres meses pero menos de un año. (1 punto) — Nunca hemos probado una restauración completa, o no recordamos cuándo fue la última vez. (0 puntos)
Pregunta 3: ¿Tus backups están aislados de la red principal?
Este es el punto donde más empresas fallan sin saberlo. Si tus backups están en una unidad de red accesible desde los mismos sistemas que se infectan, el ransomware los cifrará también. Para que un backup sea útil contra el ransomware necesita estar aislado: en la nube con acceso independiente, en cinta física, o siguiendo la regla 3-2-1 (3 copias, 2 medios diferentes, 1 fuera de las instalaciones).
— Nuestros backups están completamente aislados de la red principal y no son accesibles desde los sistemas de producción. (2 puntos) — Tenemos algún nivel de aislamiento pero no estamos seguros de que sea completo. (1 punto) — Nuestros backups están en la misma red que los sistemas de producción o en unidades accesibles desde ellos. (0 puntos)
Pregunta 4: ¿Sabes cuánto tiempo tardarías en restaurar tus sistemas críticos?
Este es el número que más importa y que casi ninguna empresa conoce antes de que ocurra un incidente. Restaurar un servidor de archivos de 2TB no lleva lo mismo que restaurar una base de datos de gestión con dependencias complejas. ¿Horas? ¿Días? ¿Una semana?
— Tenemos un RTO (Recovery Time Objective) definido y lo hemos validado con pruebas reales. (2 puntos) — Tenemos una estimación aproximada pero no la hemos validado con pruebas. (1 punto) — No tenemos ni idea de cuánto tiempo llevaría recuperar los sistemas. (0 puntos)
Pregunta 5: ¿Cuántos días de datos podrías permitirte perder?
El RPO (Recovery Point Objective) es la cantidad máxima de datos que tu negocio puede asumir perder en un incidente. Si tus backups son diarios y sufres un ataque a las 5 de la tarde, perderías todo lo trabajado ese día. ¿Es eso asumible para tu negocio? ¿Y si los backups son semanales?
— Nuestro RPO está definido, nuestros backups lo cumplen y lo hemos validado. (2 puntos) — Tenemos una idea aproximada pero no hemos alineado los backups con un RPO formal. (1 punto) — No hemos pensado en esto o nuestros backups no nos permitirían cumplir ningún RPO razonable. (0 puntos)
Pregunta 6: ¿Tienes MFA activado en todos los accesos críticos?
El robo de credenciales es uno de los principales vectores de entrada del ransomware. Si un atacante obtiene las credenciales de un usuario con acceso a los sistemas, el MFA (autenticación multifactor) es la barrera que impide que ese robo se convierta automáticamente en una brecha. Sin MFA en los accesos críticos (VPN, correo, panel de administración, sistemas en la nube), una contraseña robada es todo lo que necesita un atacante.
— MFA activado en todos los accesos críticos: VPN, correo, sistemas en la nube, paneles de administración. (2 puntos) — MFA activado en algunos sistemas pero no en todos los críticos. (1 punto) — MFA no implementado o implementado solo en el correo. (0 puntos)
Pregunta 7: ¿Tienes un plan de respuesta a incidentes documentado?
No un documento guardado en una carpeta que nadie ha leído. Un plan real: quién hace qué cuando se detecta un incidente, cómo se aíslan los sistemas afectados, a quién se llama, cómo se comunica internamente y externamente, qué decisiones pueden tomarse sin esperar a dirección.
— Tenemos un plan documentado, el equipo lo conoce y lo hemos practicado al menos una vez. (2 puntos) — Tenemos algo documentado pero el equipo no lo ha practicado o está desactualizado. (1 punto) — No tenemos plan documentado. En caso de incidente, improvisaríamos. (0 puntos)
Pregunta 8: ¿Tienes un proceso activo de gestión de parches?
La explotación de vulnerabilidades sin parchear es otro vector de entrada habitual del ransomware. Si los sistemas operativos y aplicaciones de tu empresa no se actualizan de forma sistemática y rápida cuando se publican parches de seguridad, estás dejando ventanas abiertas que los atacantes explotan activamente.
— Tenemos un proceso automatizado de gestión de parches con tiempos de aplicación definidos. (2 puntos) — Aplicamos parches pero el proceso es manual, inconsistente o con retrasos habituales. (1 punto) — No tenemos un proceso definido de gestión de parches. (0 puntos)
Pregunta 9: ¿Tus empleados han recibido formación sobre phishing en el último año?
El phishing sigue siendo el vector de entrada número uno del ransomware, y la razón es simple: es más fácil engañar a una persona que explotar una vulnerabilidad técnica bien parcheada. La formación en concienciación de seguridad no elimina el riesgo, pero lo reduce significativamente. Y una simulación de phishing realizada periódicamente da una medida real de la exposición actual.
— Formación anual en concienciación de seguridad y simulaciones de phishing periódicas. (2 puntos) — Hemos hecho alguna formación pero no es sistemática ni incluye simulaciones. (1 punto) — No hemos hecho formación específica sobre phishing o fue hace más de dos años. (0 puntos)
Pregunta 10: ¿Tienes seguro de ciberriesgos?
El seguro de ciberriesgos no es un sustituto de las medidas técnicas, pero sí es la red de seguridad financiera que puede marcar la diferencia entre un incidente costoso y uno que amenaza la continuidad del negocio. Cubre desde los costes de recuperación y el lucro cesante hasta las sanciones regulatorias y los gastos legales derivados de una brecha de datos.
— Tenemos un seguro de ciberriesgos vigente con coberturas específicas para ransomware. (2 puntos) — Estamos evaluando o tenemos un seguro general que podría cubrir parte del impacto. (1 punto) — No tenemos seguro de ciberriesgos. (0 puntos)
Interpretación de resultados
De 17 a 20 puntos — Preparación alta
Tu empresa tiene los elementos fundamentales en su lugar. Tienes backups aislados y probados, procesos definidos y una postura de seguridad que te daría una oportunidad real de recuperarte de un ataque sin que suponga una crisis existencial. El siguiente paso es mantener y auditar lo que tienes, porque la preparación se degrada con el tiempo si no se revisa activamente.
De 10 a 16 puntos — Preparación parcial
Tienes algunas piezas en su lugar, pero hay brechas significativas que un atacante podría explotar. Lo más probable es que en caso de un ataque real, la recuperación fuera posible pero costosa, lenta y caótica. Identifica cuáles son las preguntas en las que puntuaste 0 o 1 y tratalas como prioridades inmediatas, no como mejoras a largo plazo.
De 5 a 9 puntos — Preparación insuficiente
Un ataque de ransomware hoy te colocaría en una situación muy difícil. Las probabilidades de recuperar la operativa en un plazo razonable sin pagar el rescate son bajas, y el impacto financiero y reputacional sería severo. Este no es un resultado para guardar en un cajón: es una señal de que se necesita actuar ahora.
De 0 a 4 puntos — Sin preparación
Con toda la honestidad posible: tu empresa no sobreviviría un ransomware serio en las condiciones actuales. No porque sea imposible mejorar, sino porque los elementos más básicos de resiliencia no están en su lugar. La buena noticia es que los primeros pasos son concretos y alcanzables. La mala es que cada día que pasa sin actuar es un día de exposición real.
El error más común: los backups que no son backups
Si hay una conclusión práctica que llevarse de este test, es esta: la mayoría de las empresas que creen tener backups suficientes para sobrevivir a un ransomware descubren durante el incidente que sus backups tenían alguno de estos problemas:
Estaban conectados a la misma red. El ransomware los cifró junto con el resto de los archivos. La empresa tenía tres copias de seguridad y las tres quedaron inutilizables.
Nunca se habían probado. La restauración fallaba por errores de configuración, corrupción de datos o incompatibilidades que nadie había detectado porque nadie había intentado restaurar en condiciones reales.
Cubrían solo parte de los sistemas. El backup del servidor de archivos existía y funcionaba. El backup de la base de datos del sistema de gestión, no. Recuperar los archivos sin la base de datos de clientes tenía un valor limitado.
El tiempo de restauración era asumible en teoría, no en práctica. Restaurar 4TB desde un backup externo a través de una conexión de internet estándar puede llevar días. Días en los que la empresa no opera.
Estos no son escenarios hipotéticos. Son los patrones que se repiten una y otra vez en los informes post-incidente de empresas que sufrieron ransomware pensando que estaban protegidas.
Cómo Acronis resuelve exactamente estos problemas
Acronis nació como empresa de backup y ha evolucionado hacia lo que hoy llama ciberprotección: la convergencia de backup, recuperación ante desastres y ciberseguridad en una única plataforma.
La razón de esa convergencia es exactamente el problema que hemos descrito: un backup que no está protegido activamente contra el ransomware puede ser cifrado junto con el resto de los datos. Y una solución de seguridad que no incluye backup no puede garantizar la recuperación cuando el ataque tiene éxito.
Backup inmutable y aislado
Acronis almacena las copias de seguridad en un formato que las hace resistentes a la modificación o el cifrado por parte del ransomware. Sus copias en la nube son inmutables: ni el malware, ni un administrador malintencionado, ni un error operativo pueden alterarlas. Esto resuelve directamente el problema de los backups cifrados junto con el resto de los datos.
Protección activa contra ransomware con IA
Acronis incluye un motor de detección de ransomware basado en inteligencia artificial que monitoriza el comportamiento de los procesos en tiempo real. Cuando detecta patrones característicos del ransomware —cifrado masivo y rápido de archivos, por ejemplo— lo detiene antes de que complete su trabajo y restaura automáticamente los archivos que hayan podido ser afectados en los segundos anteriores a la detección.
Es la combinación que cierra el círculo: si la prevención falla y el ransomware empieza a actuar, la detección lo para. Y si algo se pierde en esos segundos, el backup lo recupera.
Recuperación rápida con RTO definido
Una de las limitaciones más frustrantes de los sistemas de backup tradicionales es que el tiempo de recuperación es una incógnita hasta que ocurre el incidente. Acronis permite definir y validar tiempos de recuperación reales mediante funcionalidades de recuperación ante desastres que incluyen la posibilidad de arrancar sistemas en la nube mientras se restaura la infraestructura física, manteniendo la operativa incluso durante el proceso de recuperación.
Visibilidad centralizada de toda la protección
Desde un único panel, el equipo de IT puede ver el estado de todos los backups, las alertas de seguridad activas, los dispositivos protegidos y los que tienen incidencias pendientes. Sin saltar entre herramientas, sin cruzar datos manualmente.
Esta centralización no es solo comodidad: es lo que hace posible que un equipo pequeño tenga visibilidad real sobre el estado de protección de toda la organización.
El plan mínimo viable para una pyme que empieza desde cero
Si el resultado de tu test ha sido bajo y necesitas priorizar, este es el orden lógico de actuación:
Primero: backups aislados y automáticos. Es el paso más importante y el que más impacto tiene en la capacidad de sobrevivir a un ransomware. Implementa una solución que almacene las copias fuera del alcance de la red de producción, con frecuencia al menos diaria para los sistemas críticos.
Segundo: prueba la restauración. Antes de dar por bueno el sistema de backup, haz una prueba de restauración completa. Documenta el tiempo que tarda y los problemas que encuentras. Eso te da el RTO real, no el teórico.
Tercero: activa MFA en todos los accesos críticos. Es una de las medidas de mayor impacto con menor coste de implementación. VPN, correo, paneles de administración, sistemas en la nube: todos.
Cuarto: gestión de parches automatizada. Reduce la ventana de exposición a vulnerabilidades conocidas sin depender de procesos manuales que inevitablemente se retrasan.
Quinto: plan de respuesta documentado y practicado. No tiene que ser un documento de cien páginas. Tiene que ser algo que el equipo conozca y sepa ejecutar bajo presión.
Conclusión: la pregunta correcta no es “¿nos atacarán?”
La pregunta correcta es “¿cuánto tardamos en volver a operar si nos atacan mañana?”. Y la respuesta honesta a esa pregunta es lo que debería determinar la urgencia con la que tu empresa aborda su estrategia de backup y recuperación.
El ransomware no discrimina por tamaño. Las pymes son objetivos frecuentes precisamente porque tienen datos valiosos y, en muchos casos, defensas más débiles que las grandes corporaciones. Y el coste de un incidente no gestionado —en tiempo de inactividad, pérdida de datos, impacto reputacional y posibles sanciones regulatorias— supera con creces la inversión en una protección adecuada.
Herramientas como Acronis existen precisamente para que esa protección sea accesible, manejable y real: no solo un backup que existe en algún servidor, sino una garantía verificada de que cuando ocurra algo, tu empresa tiene la capacidad de levantarse.
