Pagamos el Rescate del Ransomware y No Recuperamos Nada: Anatomía de un Ataque Real en México

La decisión más cara que tomó esta empresa

Viernes 3:42 PM. El servidor de archivos de una empresa manufacturera de 120 empleados en Monterrey muestra el temido mensaje. Todos los archivos — CAD, contabilidad, nómina, contratos, bases de datos — encriptados con extensión .lockbit3.

El rescate: 15 Bitcoin (aproximadamente $800,000 MXN al tipo de cambio del momento). El plazo: 72 horas. La amenaza: publicar 2TB de datos confidenciales si no pagan.

Lunes 9:00 AM — La decisión

Después de un fin de semana de pánico, sin backup funcional (el último backup tenía 3 meses y estaba en el mismo servidor — también encriptado), la directiva decide pagar.

Martes 2:00 PM — El desengaño

Reciben el "decryptor". Lo ejecutan. Falla en el 70% de los archivos. Contactan a los atacantes pidiendo ayuda. Silencio total. El dinero se fue. Los datos también.

Según Sophos (State of Ransomware 2025), solo el 8% de las empresas que pagan rescate recuperan TODOS sus datos. El 29% recupera menos de la mitad. Y pagar te convierte en blanco para futuros ataques — el 80% de las empresas que pagan son atacadas de nuevo.

Cómo debió ser (y cómo protegemos a nuestros clientes)

Lo que falló

• Backup en el mismo servidor (se encriptó junto con los datos)
• Sin segmentación de red (el ransomware se propagó en minutos a toda la red)
• Sin EDR (el antivirus básico no detectó el ataque)
• Sin plan de respuesta (3 días de caos antes de tomar una decisión)
• Acceso RDP expuesto a internet (la puerta de entrada del ataque)

Lo que debió existir

• Backup 3-2-1-1: Copia local + copia en nube + copia inmutable. Restauración probada mensualmente
• Segmentación de red: VLANs que impiden propagación lateral
• EDR con respuesta automática: Aísla el equipo infectado en segundos
• Zero Trust: Sin RDP expuesto, VPN obligatoria, MFA en todo
• Plan de respuesta: Procedimiento documentado: aislar → notificar → analizar → restaurar

Costo de la prevención vs. costo del ataque

Implementar todo lo anterior: ~$35,000 MXN/mes. Costo del ataque para esta empresa: $800,000 (rescate) + $2,100,000 (downtime 3 semanas) + $450,000 (reconstrucción parcial) = $3,350,000 MXN. Prevenir costaba el 1% de lo que costó no prevenir.

Referencias:

• Sophos, State of Ransomware Report 2025
• Cybereason, Ransomware: The True Cost to Business 2024
• FBI IC3, Internet Crime Report 2024
• Coveware, Quarterly Ransomware Report Q4 2025