La palabra "ransomware" ya no basta para describir la amenaza actual. Lo que enfrentan las empresas chilenas hoy es un ataque de extorsión múltiple que combina el cifrado de datos con el robo de información confidencial y la amenaza de filtración pública. Grupos como LockBit y BlackCat han industrializado este modelo, causando daños operacionales y reputacionales devastadores.

Tras liderar equipos de respuesta a incidentes en varios países, he visto cómo la táctica ha cambiado. Ya no se trata solo de recuperar archivos, sino de manejar una crisis de comunicación y cumplimiento legal por la fuga de datos de clientes y propiedad intelectual.

El Nuevo Playbook del Ransomware:

1. Exfiltración Silenciosa: Los atacantes pasan semanas o meses dentro de la red, robando terabytes de datos sensibles (clientes, estrategias, diseños) antes de activar el ransomware.
2. Cifrado y Paralización: Activan el cifrado en los servidores y estaciones de trabajo, paralizando las operaciones.
3. Demanda Triple:
   • "Pague X Bitcoin para obtener la clave de descifrado."
   • "Pague Y Bitcoin adicional para que no filtremos sus datos en nuestro blog."
   • "Si no paga, contactaremos a sus clientes uno a uno para informarles que sus datos personales están en nuestras manos."

La Estrategia de Recuperación y Resistencia:
Pagar el rescate no es una solución. Fortalecer la prevención y la capacidad de recuperación lo es.

• Backup 3-2-1 Inquebrantable: Esta es su póliza de seguro. 3 copias totales de los datos, en 2 medios de almacenamiento diferentes (ej: almacenamiento en red y cintas), con 1 de esas copias fuera de línea (air-gapped) y fuera del sitio físico. Verifique la integridad de sus backups regularmente.
• Segmentación de Red Agresiva: Divida su red en zonas. Si el ransomware infecta la red de mercadeo, no debería poder saltar a la red de los servidores de producción o finanzas.
• Detección y Respuesta Extendida (XDR): Implemente soluciones que correlacionen alertas de endpoints, red y correo para detectar la actividad silenciosa de exfiltración de datos antes de que se active el cifrado.
• Plan de Respuesta a Incidentes Probado: Su equipo debe saber exactamente qué hacer: aislar sistemas, contactar a las autoridades como la PDI, activar el comité de crisis y comenzar la recuperación desde los backups limpios.

El objetivo ya no es solo prevenir la entrada, sino asumir que el intruso puede estar dentro y limitar su capacidad para moverse y causar daño. La resiliencia es la nueva seguridad.