Protección contra Ransomware

No al 100%, y cualquiera que te diga lo contrario te está vendiendo humo. Lo que sí es posible, y es lo realista, es: (1) reducir drásticamente la probabilidad de que un ataque tenga éxito (detección en fases tempranas de la kill chain); (2) contener el impacto cuando un atacante entra (segmentación, principio de mínimo privilegio); (3) detectar rápido para reaccionar antes de que cifre datos críticos; (4) tener capacidad de recuperación sin pagar rescate (backups offline, procedimientos probados). Nuestra stack Fortinet ataca las cuatro capas.

El antivirus tradicional detecta amenazas por firmas conocidas: si el malware ya está catalogado, lo bloquea; si es nuevo o variante, no. FortiEDR (Endpoint Detection and Response) funciona diferente: monitoriza el comportamiento del endpoint en tiempo real (procesos, acceso a ficheros, llamadas al kernel, comunicaciones de red) y detecta patrones maliciosos aunque el payload sea completamente desconocido. Cuando detecta intento de cifrado masivo o exfiltración, lo bloquea a nivel kernel antes de que se complete. Además aísla automáticamente el endpoint de la red para cortar movimiento lateral.

FortiSandbox intercepta ficheros sospechosos (adjuntos de email, descargas web, tráfico de apps) y los ejecuta en un entorno virtualizado aislado. Durante la ejecución analiza el comportamiento: ¿intenta persistir en el registro?, ¿modifica masivamente archivos?, ¿contacta con dominios C2?, ¿cifra datos?. Si detecta comportamiento malicioso, clasifica el fichero como amenaza y lo bloquea en el FortiGate y el FortiMail para todos los demás usuarios. Todo en minutos, antes de que el ransomware llegue al primer endpoint real.

Parcialmente. El bundle UTP incluye antivirus avanzado, IPS, filtrado web/DNS y control de aplicaciones — suficiente para bloquear el 90% del ransomware común que llega por vectores conocidos (phishing, descargas maliciosas, exploits populares). Para el 10% restante, el ransomware dirigido y avanzado, necesitas el bundle ATP (añade sandboxing con FortiSandbox) o, mejor aún, ATP + FortiEDR en endpoints. El coste incremental es notable pero el ROI en caso de ataque dirigido es brutal.

Cuatro acciones inmediatas: (1) desconecta físicamente los sistemas afectados de la red — cable fuera — para detener el cifrado y el movimiento lateral; (2) NO apagues los equipos cifrados, los forenses los necesitan vivos; (3) llama a tu seguro de ciberriesgos si lo tienes (activa el protocolo de respuesta); (4) contacta con INCIBE-CERT (900 116 117) que es gratuito y ofrece asistencia. Después: no pagues el rescate sin haber agotado la vía de recuperación con backups. Nosotros también ofrecemos respuesta de incidentes como servicio; si estás en una crisis activa, llámanos y activamos nuestro protocolo.

Nuestra recomendación clara: NO pagar, y por varias razones. Primera: pagar no garantiza recuperar los datos — estudios muestran que entre el 30% y 50% de las víctimas que pagan no reciben descifrador funcional o reciben descifrador parcial. Segunda: te marca como víctima pagadora y aumenta la probabilidad de volver a ser atacado. Tercera: financia a grupos criminales y, en el caso de grupos bajo sanciones (Conti, LockBit, grupos rusos), pagar puede constituir delito según la legislación española. Cuarta: una buena estrategia de backups offline + respuesta coordinada casi siempre es más barata que el rescate a medio plazo. La única excepción defendible es riesgo vital (hospitales) sin alternativa.

Para una PYME de 20-50 empleados con una sede, un paquete razonable sería: FortiGate 60F con bundle ATP 3 años (~2.000€) + FortiEDR para 50 endpoints (~4.000€ / 3 años) + formación básica de concienciación al personal (~500€). Total indicativo: 6.500-7.500€ a 3 años. Comparado con el coste medio de un incidente de ransomware en PYME española (50.000€-200.000€ entre rescate potencial, parada operativa, recuperación y daños reputacionales), el ROI defensivo es evidente. Si quieres una cotización exacta para tu caso, hacemos el dimensionado en la auditoría gratuita.