Senda Digital by MM es un proyecto que comienzo en septiembre de 2025 con una única motivación: mejorar la seguridad en la red.
El simple hecho de que estés concienciado, hayas llegado hasta aquí y estés buscando mejorar tu seguridad ya supone una mejora de seguridad, ¡ENHORABUENA!.
Ransomware; no siempre estamos ante un gran hacker, sino una mala defensa.
El ransomware no avisa, ni es ruidoso, normalmente aparece cuando ya lleva tiempo dentro, cuando ha mirado, ha aprendido y ha decidido que merece la pena explotar. Y ahí es donde mucha gente cree que el problema empieza, cuando en realidad empezó bastante antes, en decisiones pequeñas, casi invisibles, tomadas por comodidad o por rutina.
Como lectores de este blog sabréis que defiendo a "capa y espada" la formación y la cultura de ciberseguridad como los cimientos de nuestra fortaleza inexpugnable y hoy no va a ser menos.
Durante años se ha hablado del ransomware como si fuera un virus torpe que bloqueaba pantallas y pedía dinero. Eso ya no existe. Hoy se rentabiliza, son grupos que trabajan con calma y totalmente estructurados... ¡vaya, que nos encontramos hasta con servicios de atención al cliente!. Existe toda una estructura de especialización en el crimen organizado, que consigue que cada área, cada vez, funcione mejor e interrumpe la trazabilidad de la cadena de evidencias entre los operadores maliciosos, consiguiendo outsourcing de áreas en el crimen organizado.
Primero, en la actualidad se compran accesos (esto implica que ya tenemos un área especialista en consecución de datos críticos para su posterior venta).
Segundo, los grupos actuales prueban, fallan, vuelven y esperan. No improvisan; hablamos de APT que duran semanas. Y eso descoloca a las organizaciones que siguen pensando la seguridad como algo lineal, ordenado, casi académico. Hay una idea que se repite demasiado: “tenemos antivirus y copias, estamos cubiertos”. Cuidado, es una frase peligrosa. Sin duda estás mejor cubierto que otros que no hayan dado este paso, pero esto es una carrera y si tus medidas de seguridad ya no son mejores que las del vecino, te toca. He visto entornos con herramientas de primer nivel caer sin resistencia real, simplemente porque todo estaba conectado con todo. Cuando un equipo de usuario cae y desde ahí se puede llegar a servidores, copias, consolas y paneles de gestión, el atacante no necesita ser especialmente bueno. Solo necesita tiempo. A veces, el fallo está en algo tan básico como una red plana; el diseño es rápido en creación y uso, no existe la fricción que ralentice y es cómodo, sí. Pero también es letal. Cuando nadie se ha parado a pensar qué sistemas deberían hablar entre sí y cuáles no, el ransomware se mueve como en casa, se pasea por el salón, se pone un café en la cocina y después va al baño relajadamente. Y cuando eso ocurre, ya da igual por dónde haya entrado.
Tercero, en otros casos el problema ni siquiera es técnico, sino de identidad. Se trata de cuentas que nadie revisa, privilegios heredados, accesos que se dieron “temporalmente” y se quedaron para siempre. El atacante entra con credenciales reales y, desde fuera, parece un usuario más. Si no hay límites claros, si todo el mundo puede hacer casi de todo, tenemos un gran problema.
Cuarto, las copias de seguridad. Estas merecen un párrafo aparte, porque aquí hay mucho autoengaño. Tener backups no significa nada si están accesibles desde la propia red o si se protegen con las mismas credenciales que el resto del sistema. He visto organizaciones descubrir en pleno incidente que sus copias también estaban cifradas... por favor, esto no es mala suerte, es lógica.
Cuando el atacante ya ha hecho lo suyo. Ha mirado qué hay, qué podría valer dinero, qué duele más perder... entonces la fase de cifrado es casi un trámite. Lo interesante ocurrió antes, cuando nadie estaba mirando. Porque seguimos empeñados en detectar el archivo malicioso, cuando lo que delata un ataque serio son los comportamientos raros, los movimientos que no encajan, las horas extrañas, los accesos que nadie se pregunta si son normales, etc. También ayuda poco la costumbre de acumular servicios expuestos sin revisar: Un RDP abierto “provisionalmente”, una aplicación antigua que sigue funcionando “porque siempre ha estado ahí”, un portal web que nadie recuerda quién mantiene. La mayoría de ataques entran por puertas así, no por zero-days de película. Y luego está el correo... siempre el correo. Da igual cuántas veces lo diga: sigue siendo el punto de entrada más habitual. Si quien recibe el mensaje no tiene criterio para desconfiar, si no sabe a quién avisar o teme hacerlo, el resto de medidas llegan tarde. La tecnología ayuda, pero no sustituye a la cabeza.
Curiosamente, casi nadie quiere hablar de qué hacer cuando todo falla. Como si planificar un incidente fuera atraerlo. Pero cuando llega, la diferencia entre el caos total y una respuesta decente suele estar en decisiones tomadas meses antes: quién manda, quién actúa, quién habla y quién no. Improvisar bajo presión es el peor escenario posible.
Al final, como siempre insisto... queda superépico hablar de ingeniería de ciberseguridad pero muchas veces se reduce a algo bastante menos glamuroso: debemos estar preparados, tener una mente alerta, fijarnos en los detalles, ser analíticos, sistemáticos, en definitiva ser el mastín que protege a las ovejas del lobo porque no pierde detalle. Es decir, evitar vectores de ataque con nuestra inquietud diaria. Intentemos ponerle las cosas incómodas al atacante y que, de entrar, no pueda moverse libremente. Y si consigue robar, que no robe todo; que no nos arrodille. Si lo consiguiésemos, el ransomware perdería interés. Y cuando algo deja de ser interesante, se va. Ya no es rentable. Y es que, aunque suene poco épico, ese sigue siendo el objetivo real de una buena estrategia de ciberseguridad.
Sus datos serán tratados por Senda Digital. Puede ejercer sus derechos o contactar con la empresa en "administracion@sendadigital.es" o en nuestro formulario. Consulte términos y condiciones aquí.