¿Qué frameworks oficiales se usan en este plan de recuperación ante ransomware?

Este checklist está basado en NIST Cybersecurity Framework 2.0 (CSF), NIST SP 800-61 Rev. 2 (Computer Security Incident Handling), ISO/IEC 27001:2022, MITRE ATT&CK v15, CIS Controls v8.1, guías de INCIBE (España), directrices de MinTIC Colombia, y la Ley 1581 de 2012 de Protección de Datos Personales de Colombia.

¿Cuántos controles incluye el checklist de preparación ante ransomware?

El checklist incluye 56 controles organizados en 8 categorías: Preparación y Gobernanza (8), Control de Acceso (7), Infraestructura (8), Resiliencia de Backups (7), Detección y Monitoreo (7), Respuesta Inmediata (7), Recuperación (6) y Mejora Continua (6). Cada control tiene una prioridad (Crítico/Importante/Recomendado) y referencia al framework oficial.

¿Qué obligaciones legales tiene una empresa colombiana tras un ataque de ransomware?

En Colombia, la Ley 1581 de 2012 exige notificar a la Superintendencia de Industria y Comercio (SIC) y a los titulares de datos si hay datos personales afectados. El Decreto 1074 de 2015 regula las notificaciones. La Ley 1273 de 2009 penaliza delitos informáticos. Se debe presentar denuncia ante la Policía Cibernética de Colombia. MinTIC emite directrices adicionales para entidades del Estado.

¿Cómo se genera el informe PDF de evaluación?

Marque los controles implementados en el checklist, ingrese el nombre de su empresa y haga clic en 'Generar Informe PDF'. El sistema calcula automáticamente el porcentaje de preparación por categoría y genera un informe de 6 páginas con portada, resumen ejecutivo, análisis de brechas, mapeo de frameworks, contexto de amenazas y contacto de CiberTechSolucion.

¿Cuál es la estrategia de backup recomendada contra ransomware según NIST?

El NIST CSF 2.0 (función Recover) y CIS Control 11 recomiendan la estrategia 3-2-1: al menos 3 copias de datos, en 2 tipos de medio diferentes, con 1 copia fuera del sitio (offsite). Además, los backups deben ser inmutables (air-gapped) para que el ransomware no pueda cifrarlos ni eliminarlos. El 94% de las empresas con backups inmutables logran recuperarse exitosamente según Veeam 2025.

¿Qué hacer en los primeros 60 minutos tras detectar ransomware?

Según NIST SP 800-61: 1) No apagar equipos (preservar RAM), 2) Aislar la red desactivando puertos/WAN, 3) Identificar la variante de ransomware, 4) Documentar evidencia (fotos, logs), 5) Activar equipo de respuesta, 6) Notificar gerencia y legal, 7) Contactar proveedor TI especializado, 8) Reportar a la Policía Cibernética de Colombia.

¿Qué es MITRE ATT&CK y cómo ayuda ante ransomware?

MITRE ATT&CK es un marco de conocimiento de adversarios que documenta tácticas y técnicas usadas por grupos de ransomware. Permite identificar vectores de ataque (T1566 Phishing, T1190 Exploit Public-Facing Application, T1133 External Remote Services), mapear las defensas existentes y priorizar controles. La versión v15 cubre más de 200 grupos de ransomware documentados.

¿Cómo puede CiberTechSolucion ayudar con la preparación ante ransomware?

CiberTechSolucion ofrece respuesta ante incidentes de ransomware con tiempo inicial menor a 30 minutos, implementación de backup inmutable con Veeam/Acronis, firewall gestionado con IDS/IPS 24/7, planes de ciberseguridad completos con SOC gestionado, y evaluaciones de vulnerabilidades. Atendemos Medellín, Valle de Aburrá, Bogotá y toda Colombia. WhatsApp: +57 300 610 3184.

56 Controles · NIST · ISO · MITRE ATT&CK · 2026

Plan de Recuperación ante Ransomware para Empresas Colombianas

Checklist exhaustivo de 56 controles basado en NIST CSF 2.0, ISO 27001:2022, MITRE ATT&CK v15, CIS Controls v8.1, INCIBE y directrices de MinTIC Colombia. Genere su informe PDF profesional con gráficos, mapeo de frameworks y análisis de brechas.

Ir al Checklist Emergencia WhatsApp

Lectura: 20 min Actualizado: Enero 2026 Informe PDF profesional 8 categorías · 56 controles

Si está leyendo esto durante un ataque activo: Desconecte los equipos afectados de la red INMEDIATAMENTE pero NO los apague. Contacte a CiberTechSolucion: +57 300 610 3184. Cada minuto cuenta para contener la propagación del ransomware.

Contexto: Amenazas Ransomware 2025-2026

59%Organizaciones afectadas en LATAM (Sophos 2025)

$2.73M USDCosto promedio de recuperación (Sophos 2025)

22 díasTiempo promedio de recuperación (Sophos 2025)

94%Con backups inmutables se recuperan (Veeam 2025)

Checklist de Preparación ante Ransomware

Marque los controles que su empresa tiene implementados. El sistema calcula automáticamente su nivel de preparación y genera un informe PDF profesional con gráficos y mapeo de frameworks.

Tu empresa:

Nivel de Preparación ante Ransomware

Sin evaluar

0 / 56

Preparación y Gobernanza

NIST CSF ID.RA · ISO 27001 A.5.1 · MinTIC Colombia

0/8

Plan de respuesta a incidentes documentado y aprobado Crítico

Documento formal que define roles, procedimientos, escalables y tiempos de respuesta ante incidentes de seguridad.

ISO 27001:2022 A.5.24 · NIST SP 800-61 Rev.2

Equipo de respuesta designado con roles claros Crítico

CSIRT interno o externo con funciones definidas: coordinador, analista forense, comunicaciones, legal y TI.

NIST CSF ID.RA-01 · INCIBE Guía CSIRT

Directorio de contactos de emergencia actualizado Importante

Lista de contactos: proveedor TI, policía cibernética, aseguradora, abogado, bancos. Actualizado trimestralmente.

NIST CSF ID.RA · MinTIC Colombia Directriz

Póliza de seguro cibernético vigente Importante

Cobertura que incluya: recuperación forense, pérdida de ingresos, extorsión, fuga de datos y costos legales.

NIST CSF ID.RA · ISO 27001 A.5.21

Inventario de activos de TI actualizado Crítico

Inventario completo de hardware, software, servicios, datos y puntos de acceso. No se puede proteger lo desconocido.

NIST CSF ID.AM · CIS Control 1 & 2

Evaluación de riesgos de ransomware realizada Importante

Análisis formal de amenazas, vulnerabilidades e impacto potencial de ransomware sobre los activos críticos.

NIST CSF ID.RA · ISO 27001 A.5.28

Acuerdos de nivel de servicio con proveedores TI Recomendado

SLA formal con tiempos de respuesta definidos, responsabilidades claras y penalizaciones por incumplimiento.

ISO 27001 A.5.19 · MinTIC Colombia

Plan de comunicación de crisis aprobado Importante

Plantillas de comunicación para empleados, clientes, medios y reguladores ante un incidente de ransomware.

NIST CSF ID.RA · Ley 1581/2012 Colombia

Prevención — Control de Acceso

NIST SP 800-53 IA · ISO 27001 A.8 · MITRE ATT&CK T1110

0/7

Autenticación multifactor (MFA) en todos los accesos Crítico

MFA activo en correo, VPN, nube, paneles admin y estaciones de trabajo. Bloquea más del 99% de credential stuffing.

NIST SP 800-63B · CIS Control 6 · MITRE T1110

Políticas de contraseñas robustas (mínimo 12 caracteres) Crítico

Longitud mínima de 12 caracteres, complejidad, prohibición de reutilización y bloqueo tras intentos fallidos.

NIST SP 800-63B · ISO 27001 A.8.4

Principio de menor privilegio implementado Importante

Usuarios solo con permisos estrictamente necesarios. Eliminar permisos de administrador local en estaciones de trabajo.

CIS Control 6 · MITRE T1078 · ISO 27001 A.8.2

Cuentas de administrador separadas y auditadas Crítico

Cuentas admin dedicadas, con auditoría de uso. Nunca navegar con privilegios elevados.

CIS Control 6 · NIST SP 800-53 AC-6

Gestión de accesos de terceros y proveedores Importante

Controles de acceso para proveedores externos con VPN segmentada, tokens temporales y auditoría.

ISO 27001 A.5.19 · NIST SP 800-53 AC-17

Revisión periódica de permisos de acceso Importante

Revisión trimestral de todos los permisos. Revocar accesos de personal saliente inmediatamente.

ISO 27001 A.8.3 · CIS Control 6

Deshabilitación oportuna de cuentas inactivas Recomendado

Política de desactivación automática tras 30 días de inactividad. Proceso offboarding documentado.

ISO 27001 A.8.3 · CIS Control 6.7

Prevención — Infraestructura

CIS Controls · MITRE ATT&CK · NIST SP 800-53 SC

0/8

Firewall de nueva generación con IDS/IPS activo Crítico

NGFW con inspección profunda de paquetes, IDS/IPS, control de aplicaciones y filtrado SSL/TLS.

CIS Control 13 · MITRE T1547 · NIST SP 800-53 SC-7

Segmentación de red (VLANs) implementada Crítico

Red dividida en zonas con firewalls inter-zona. Servidores críticos en zona restringida. Aislamiento de IoT.

CIS Control 12 · MITRE T1021 · NIST SP 800-41

Sistemas operativos con parches actualizados Crítico

Actualizaciones automáticas habilitadas. El 60% de ataques de ransomware explotan vulnerabilidades parcheadas.

CIS Control 3 · MITRE T1059 · NIST SP 800-40

Antivirus/EDR de próxima generación en endpoints Crítico

Solución EDR con análisis de comportamiento, no solo firmas. Detecta ransomware sin firma conocida.

CIS Control 10 · MITRE T1059.001 · NIST SP 800-53 SI-3

Filtrado de DNS a nivel de red Importante

DNS seguro que bloquea dominios maliciosos conocidos y previene comunicación con servidores C2.

CIS Control 14 · MITRE T1071 · INCIBE

Gateway de correo seguro (anti-spam, anti-phishing) Importante

SEG con análisis de adjuntos sandboxed, URL rewriting y detección de spear-phishing.

CIS Control 9 · MITRE T1566 · INCIBE

Políticas de ejecución restringida (AppLocker) Importante

Bloquear ejecución desde temporales, descargas y USB. Solo software aprobado.

CIS Control 2.6 · MITRE T1059 · NIST SP 800-53 AC-3

VPN con cifrado fuerte para acceso remoto Crítico

VPN con cifrado AES-256, MFA obligatorio y autenticación por certificado. Prohibir RDP directo a internet.

CIS Control 13 · MITRE T1133 · NIST SP 800-77

Resiliencia de Backups

NIST CSF PR.DS · CIS Control 11 · ISO 27001 A.8.13

0/7

Estrategia de backup 3-2-1 implementada Crítico

3 copias, 2 medios diferentes, 1 fuera del sitio. Base fundamental de la resiliencia ante ransomware.

NIST CSF PR.DS-10 · CIS Control 11.1

Backups inmutables (air-gapped) configurados Crítico

Copias que no pueden ser modificadas ni eliminadas: S3 Object Lock, cintas LTO o almacenamiento desconectado.

NIST SP 800-92 · CIS Control 11.3

Backups verificados y testeados mensualmente Crítico

Restauración de prueba mensual verificando integridad y completitud. Backups no verificados no son respaldos confiables.

NIST CSF PR.IP-3 · ISO 27001 A.8.13

RTO y RPO definidos por sistema crítico Importante

Tiempo máximo de recuperación (RTO) y pérdida de datos aceptable (RPO) documentados para cada sistema.

ISO 22301:2019 · NIST CSF RC.RP

Recuperación a nivel de objetos/granular disponible Importante

Capacidad de restaurar archivos individuales, correos o registros específicos sin restaurar todo el sistema.

NIST SP 800-34 · CIS Control 11.1

Backups fuera del sitio (offsite/cloud) Importante

Copia geográficamente separada de los datos principales. Preferiblemente en región diferente.

CIS Control 11.1 · ISO 27001 A.8.13

Monitoreo de jobs de backup con alertas Recomendado

Alertas automáticas ante fallas de backup, ocupación de storage y vencimiento de retención.

NIST CSF PR.DS · CIS Control 11

Detección y Monitoreo

NIST CSF DE · MITRE ATT&CK · ISO 27001 A.8.15

0/7

Monitoreo de seguridad 24/7 (SOC/MDR) Crítico

Centro de operaciones de seguridad gestionado o propio con analistas en tiempo real.

NIST CSF DE.CM · CIS Control 7 · MITRE TA0001

Alertas por intentos de login fallidos Importante

Notificación inmediata ante múltiples intentos fallidos, posible brute-force o credential stuffing.

MITRE T1110 · CIS Control 7.5

Detección de acceso no habitual (UEBA) Importante

Análisis de comportamiento de usuarios que detecta patrones anómalos de acceso y actividad.

NIST CSF DE.AE · MITRE TA0006

Monitoreo de ejecución en directorios temporales Recomendado

Alertas ante ejecución de binarios desde %TEMP%, AppData y carpetas de descargas.

MITRE T1059 · CIS Control 7.6

Registro centralizado de logs (SIEM) Importante

Plataforma SIEM que centraliza logs de firewalls, endpoints, servidores y aplicaciones con correlación de eventos.

NIST CSF DE.AE · CIS Control 8 · ISO 27001 A.8.15

Auditoría de permisos de archivos sensibles Recomendado

Monitoreo de cambios en permisos de archivos críticos, con alertas ante modificaciones inusuales.

ISO 27001 A.8.13 · MITRE T1222

Detección de comunicación C2 (comando y control) Crítico

Capacidad de detectar y bloquear comunicación con servidores de comando y control de ransomware.

MITRE TA0011 · CIS Control 13 · NIST CSF DE.CM

Respuesta Inmediata

NIST SP 800-61 · INCIBE · MinTIC Colombia

0/7

Procedimiento de los primeros 60 minutos documentado Crítico

Lista de pasos secuenciales: no apagar, aislar red, identificar ransomware, documentar, activar equipo.

NIST SP 800-61 · INCIBE Guía Respuesta

Checklist de aislamiento de red disponible Crítico

Procedimiento para desconectar equipos, aislar VLANs, desactivar WAN y bloquear USB rápidamente.

NIST SP 800-61 Rev.2 · CIS Control 12

Procedimiento de preservación de evidencia digital Importante

Kit de herramientas forenses y procedimiento para capturar RAM, discos, logs y tráfico de red.

NIST SP 800-86 · INCIBE · ISO 27037

Herramientas forenses disponibles (kits de respuesta) Recomendado

Herramientas como Volatility, FTK Imager, Wireshark y scripts de análisis configurados y listos.

NIST SP 800-86 · MITRE T1005

Canal de comunicación de emergencia establecido Importante

Canal de comunicación alternativo (fuera de la red afectada) para el equipo de crisis: Signal, teléfono satelital, etc.

NIST SP 800-61 · MinTIC Colombia

Procedimiento de notificación legal (Ley 1581/2012) Crítico

Plantillas y tiempos para notificar a la SIC y titulares de datos según normativa colombiana de protección de datos.

Ley 1581/2012 · Decreto 1074/2015 · MinTIC

Contacto con Policía Cibernética Colombia establecido Importante

Relación establecida con la Policía Nacional — Grupo de Ciberseguridad. Denuncia pre-formateada lista.

Ley 1273/2009 · MinTIC · www.policia.gov.co

Recuperación

NIST CSF RC · ISO 27001 A.5.29-30

0/6

Plan de recuperación de sistemas documentado Crítico

Procedimiento paso a paso para reinstalar OS, restaurar datos y reconfigurar aplicaciones desde backup limpio.

NIST CSF RC.RP · ISO 22301 · NIST SP 800-34

Priorización de sistemas por criticidad Crítico

Lista ordenada de sistemas con prioridad de recuperación: ERP → correo → DNS → archivos compartidos → estaciones.

NIST CSF RC.RP-1 · ISO 22301 BIA

Procedimiento de restauración desde backup probado Importante

Restauración en ambiente aislado verificando integridad antes de reconectar a la red productiva.

NIST SP 800-34 · CIS Control 11

Verificación de integridad post-restauración Importante

Validación de integridad de datos restaurados, verificación de que no queda ransomware latente en los sistemas.

NIST CSF RC.CO · ISO 27001 A.8.13

Procedimiento de reintegro gradual de operaciones Recomendado

Plan de reactivación progresiva por fases, con monitoreo intensivo en cada etapa.

NIST CSF RC.RP · ISO 22301

Comunicación a afectados y reguladores post-recuperación Importante

Notificación final a clientes, empleados, SIC y otros reguladores con resumen del incidente y medidas tomadas.

Ley 1581/2012 · NIST CSF RC.CO

Mejora Continua y Cumplimiento

ISO 27001 A.5.36 · MinTIC Colombia · Ley 1581/2012

0/6

Análisis post-incidente documentado Crítico

Informe detallado con cronología, root cause, costos, impacto y recomendaciones tras cada incidente.

NIST CSF ID.RA · ISO 27001 A.5.36

Lecciones aprendidas integradas al plan Importante

Actualización del plan de respuesta con base en hallazgos del análisis post-incidente.

NIST SP 800-61 · ISO 27001 A.5.36

Simulacros de ransomware semestrales Crítico

Ejercicios tabletop y simulaciones técnicas cada 6 meses para validar preparación del equipo.

NIST CSF ID.RA · CIS Control 17 · INCIBE

Capacitación anti-phishing mensual Importante

Simulacros de phishing y sesiones de capacitación mensuales. Reduce clics maliciosos de 30% a menos de 5%.

CIS Control 14 · MITRE T1566 · NIST SP 800-50

Cumplimiento Ley 1581/2012 verificado Crítico

Verificación de cumplimiento integral de la normativa colombiana de protección de datos personales.

Ley 1581/2012 · Decreto 1377/2013 · MinTIC

Auditoría de cumplimiento ISO 27001 anual Recomendado

Auditoría interna o certificada anual contra ISO 27001:2022 para mantener mejora continua del SGSI.

ISO 27001:2022 · MinTIC Colombia

Plan de Recuperación ante Ransomware para Empresas Colombianas

Contexto: Amenazas Ransomware 2025-2026

Checklist de Preparación ante Ransomware

Preparación y Gobernanza

Prevención — Control de Acceso

Prevención — Infraestructura

Resiliencia de Backups

Detección y Monitoreo

Respuesta Inmediata

Recuperación

Mejora Continua y Cumplimiento

¿Necesita ayuda profesional contra el ransomware?

Recursos relacionados

Guía de Evaluación de Firewall

Checklist Ciberseguridad PYMES

Checklist Backup Veeam

Firewall Gestionado

Servicios de Ciberseguridad