15 de octubre de 2024, 8:47 AM. El teléfono de CiberTechSolucion suena con urgencia. Al otro lado, la voz temblorosa de Carlos, gerente de una importadora de Medellín: "Todos nuestros archivos están cifrados. Piden 50 millones. Tenemos 72 horas." Este es el día a día de la ciberseguridad en Colombia.
La llamada que ningún empresario quiere recibir
"Estamos paralizados. No podemos acceder a facturas, pedidos ni información de clientes. El sistema muestra una nota de rescate. Tenemos 72 horas para pagar o perderemos todo." — Carlos, Gerente General.
El cliente: Importadora del Valle
- Empresa: Importadora de productos electrónicos
- Ubicación: Medellín, Antioquia
- Empleados: 28 personas
- Volumen de negocio: $2.8 millones COP/día en operaciones
- Infraestructura: 1 servidor local + 25 computadores en red
- Protección previa: Antivirus básico vencido hacía 3 meses
El ataque en tiempo real: cronología completa
Esto es exactamente lo que ocurrió, minuto a minuto, desde la infección hasta la recuperación total:
El correo trampa (DIAN falso)
Una empleada de contabilidad abre un email falsificando una notificación de actualización tributaria de la DIAN. El PDF adjunto ejecuta un dropper silencioso.
El ransomware se activa
LockBit 3.0 comienza a cifrar archivos locales y se propaga lateralmente por la red. Busca activamente servidores con acceso SMB y cuentas de administrador.
La red colapsa
El servidor principal y 18 computadores quedan completamente cifrados en 8 minutos. Aparece la nota: "Tus archivos están cifrados con RSA-4096."
Carlos nos contacta
Tras intentar reiniciar sistemas sin éxito, llaman a CiberTechSolucion. La nota de rescate exige 10 Bitcoin (~50 millones COP) en 72 horas.
Contención activa
Nuestro equipo se conecta remotamente. Identificamos LockBit 3.0. Aislamos la red infectada, desconectamos el segmento comprometido e identificamos 3 equipos aún limpios.
Identificamos el vector y los backups
Localizamos el email malicioso, la ruta de infección y confirmamos la integridad de los backups de 48 horas antes almacenados externamente.
Sistemas críticos online
Restauramos el servidor de facturación y el sistema de inventario. El 60% de las operaciones se reanudan. El equipo directivo respira.
Operación normalizada
Recuperamos el 95% de datos críticos. Solo se perdió información del día del ataque. La empresa opera con normalidad. No se pagó un solo peso de rescate.
La demanda: 50 millones o perder todo
Nota de rescate de LockBit 3.0
- 10 Bitcoin (~50 millones COP) en billetera cifrada
- 72 horas de plazo antes de eliminar las claves
- Amenaza de publicar datos en la dark web
- Precio aumenta 10% por cada hora de retraso
Recomendación real: Nunca pagues. Solo el 65% de quienes pagan recuperan sus datos, y el 80% vuelve a ser atacado.
Resultados del incidente
Costo real del incidente vs. costo de prevención
Los números no mienten. Esta empresa perdió un día y medio de operaciones:
Matemática simple
Costo del ataque: ~$4 millones COP (1.5 días sin operar + recuperación)
Prevención anual: $300.000/mes × 12 = $3.6 millones COP
Conclusión: Un solo ataque cuesta más que un año completo de protección.
6 lecciones críticas que toda PYME colombiana debe aplicar
Capacitación anti-phishing
El 92% de los ataques comienzan con un email. Capacita a tu personal trimestralmente para identificar suplantaciones de DIAN, bancos y proveedores.
Backup inmutable 3-2-1
3 copias, 2 medios diferentes, 1 offsite. Esta empresa sobrevivió gracias a backups de 48h. Sin ellos, hubieran perdido todo o pagado.
Firewall empresarial activo
Un antivirus básico vencido no detiene LockBit. Un firewall OPNsense o MikroTik con IDS/IPS hubiera bloqueado la propagación lateral.
Segmentación VLAN
La red plana permitió que el ransomware infectara 18 equipos en 8 minutos. Con VLANs, el daño hubiera quedado contenido en el segmento contable.
Privilegios mínimos
Demasiados usuarios con derechos de administrador. Aplicar el principio de mínimo privilegio hubiera ralentizado la propagación.
Plan de respuesta escrito
Tener definido a quién llamar y qué hacer en los primeros 30 minutos puede ser la diferencia entre recuperar el 95% o perder todo.
Qué implementamos después del incidente
Una semana después del ataque, desplegamos la infraestructura de seguridad que debieron tener desde el inicio:
- Firewall MikroTik con reglas IDS, segmentación VLAN contabilidad/operaciones/WiFi y bloqueo GeoIP de rangos de alto riesgo
- Backup automático cada 6 horas con retención en 3 ubicaciones: local (NAS), cloud S3 inmutable y copia externa semanal
- Antivirus enterprise con protección de endpoints, actualizaciones automáticas y consola centralizada
- Monitoreo SIEM básico con Wazuh para detección de anomalías y alertas en tiempo real
- Políticas de acceso con privilegios mínimos y autenticación de dos factores en sistemas críticos
- Capacitación mensual de 30 minutos sobre phishing y seguridad digital para todos los empleados
Señales de alerta que ignoraron (y que quizás tú también ignoras)
Señales que estaban presentes semanas antes
- Emails extraños de "proveedores" con archivos adjuntos no solicitados
- Mensaje diario de renovación de antivirus que nadie atendió
- Lentitud inusual en algunos equipos los días previos (reconocimiento activo)
- Ningún backup verificado en los últimos 6 meses
- WiFi de oficina sin segmentación — visitantes en la misma red que servidores
Si estás sufriendo un ataque AHORA: pasos inmediatos
1. Desconecta todo
Desconecta TODOS los equipos de la red inmediatamente. Apaga switches, corta el WiFi. Cada segundo reduce el alcance del cifrado.
2. Fotografía la evidencia
Toma fotos de notas de rescate y pantallas de error. Es crucial para el análisis forense y para reportar a las autoridades (CSIRT Colombia).
3. Llama a expertos
No intentes resolverlo solo. Contacta inmediatamente a profesionales en ciberseguridad. Cada intento casero puede destruir evidencia forense.
4. NO PAGUES
No hay garantía de recuperación al pagar. El 80% de quienes pagan son atacados de nuevo. Pagar financia el siguiente ataque.
El testimonio de Carlos
Carlos — Gerente, Importadora del Valle (Medellín)
"Pensamos que estábamos perdidos. Los hackers nos daban 72 horas y estábamos a punto de pagar los 50 millones. El equipo de CiberTechSolucion llegó como salvavidas. En menos de 10 horas teníamos el 95% de nuestros sistemas funcionando. No solo nos salvaron de pagar el rescate: nos enseñaron a proteger nuestra empresa. Hoy dormimos tranquilos sabiendo que tenemos backups reales y un firewall que realmente funciona."
La nueva realidad: Ransomware as a Service (RaaS)
LockBit 3.0 es parte de una operación RaaS (Ransomware as a Service): cualquier persona sin conocimientos técnicos puede lanzar ataques pagando una suscripción mensual. Esto hace que el volumen de ataques en Colombia siga creciendo.
Mensaje final
La prevención no es un gasto, es el costo de seguir operando. Esta empresa sobrevivió porque tenía backups recientes y actuó rápido. Si no tienes backups verificados hoy, tu empresa está a una decisión errónea de un empleado de quedar paralizada.
La inversión en protección desde COP 300.000/mes es infinitamente menor que el costo de un solo ataque.