🦠 Virus y seguridad 

Ransomware en pymes: las 3 señales que veo antes del desastre

El año pasado atendí dos casos de ransomware en pymes de Barcelona. Una asesoría con 8 empleados, una pequeña empresa de logística con 15. Lo más doloroso de los dos casos fue lo mismo: las señales estaban ahí dos o tres días antes. Nadie las vio.

No te voy a hablar del ransomware como concepto — eso lo encuentras en cualquier sitio. Te voy a contar qué he visto yo, en primera persona, las horas antes del desastre y las horas después.

Por qué las pymes son el objetivo perfecto

Los grupos de ransomware ya no apuntan principalmente a multinacionales. Eso era hace cinco años. Hoy van masivamente contra pymes porque:

• Tienen datos valiosos (clientes, contabilidad, contratos).

• Tienen seguros que cubren el rescate.

• No tienen equipo de ciberseguridad propio.

• Pagan más rápido — porque cada día parado pierden facturación.

Si tienes una pyme con 5-50 empleados en España, estás dentro del rango exacto que estos grupos buscan. Que no te haya pasado todavía es estadística, no protección.

Las 3 señales que veo antes del ataque

Cuando reviso lo que pasó en pymes que han sufrido un incidente, casi siempre encuentro alguna combinación de estas tres señales en los días previos:

Señal 1: emails que "parecen normales" pero piden algo raro

El típico email que un empleado abre y luego dice "me sonó raro, pero como ponía el nombre de mi jefe...". Suelen ser:

• Falsos avisos de Microsoft o Office 365 pidiendo "verificar la cuenta".

• Facturas de proveedores con archivo adjunto (.zip, .iso, .docm).

• Mensajes de "tu paquete está retenido" con enlace para pagar la aduana.

• En los meses fiscales, falsas comunicaciones de la AEAT.

El empleado no descarga el archivo malicioso necesariamente. A veces basta con que abra el documento adjunto, active macros, o haga clic en un enlace. Y el atacante ya está dentro.

Qué hacer cuando llegue uno así: no abrirlo. Reenviarlo (sin abrir) a tu técnico IT, que lo analizará y te confirmará si la dirección de origen, el dominio y el comportamiento son legítimos.

Señal 2: lentitud puntual en archivos compartidos

Días antes del ataque masivo, el ransomware suele empezar a cifrar archivos en silencio: lentamente, en horarios de poco uso, empezando por carpetas profundas que nadie mira a diario.

Síntoma observable: alguien dice "no sé qué le pasa al servidor de archivos, va lento" y nadie investiga. O el técnico mira por encima, no ve nada raro y cierra el ticket.

Qué hacer: cualquier queja de lentitud en archivos compartidos o carpetas de red merece una revisión más profunda. Mira fechas de modificación de archivos: si hay miles de archivos modificados en las últimas 24-48 horas en carpetas que nadie debería tocar, enciende la alarma.

Señal 3: una sesión de usuario que entra fuera de horario

El atacante, una vez dentro, suele tantear el sistema fuera del horario laboral para no llamar la atención. Si tu IT no tiene logs centralizados o nadie los mira, no lo verás. Pero si lo tienes:

• Logins a las 3 de la madrugada de un usuario administrativo.

• Sesiones desde IPs que no son la oficina ni la VPN.

• Intentos de acceso fallidos en cuentas inactivas.

Qué hacer: revisión semanal mínima de logs de acceso. Y al menos una herramienta de detección de anomalías activada (Microsoft Defender for Business o equivalente cubren lo básico).

Qué hacer en las primeras 2 horas si crees que ha pasado

Si recibes la llamada de un empleado diciendo "me sale una pantalla rara que dice que pagamos en bitcoin para recuperar los archivos", esto es lo que tienes que hacer en orden:

1. Aislar el equipo afectado. Desconectar del cable de red. Quitarlo del WiFi. Apagarlo no es suficiente — desconectar físicamente la red.

2. No reiniciar. Mantener el equipo en su estado actual. Forense lo necesita.

3. Aislar los demás equipos. Cortar la red de la oficina si tienes esa capacidad. Si no, apagar el switch principal y dejar solo lo crítico online.

4. Cortar el acceso a las copias de seguridad. Si las copias están conectadas (NAS, disco USB conectado), desconectarlas YA. Las copias son el objetivo principal del segundo movimiento del atacante.

5. Llamar a tu IT o servicio de respuesta. Si tienes un retainer con alguien (como conmigo), tiene que llegar en horas, no en días.

6. NO pagar. Aunque tu seguro lo cubra. Cada vez más aseguradoras no cubren rescates por motivos legales y geopolíticos, y pagar no garantiza recuperar nada.

7. Notificar a la AEPD si hay datos personales afectados (en 72 horas desde que se detecta la brecha — es obligación legal por RGPD).

La pregunta incómoda: ¿tus backups te salvarían?

Los dos casos que mencioné al principio terminaron de forma muy distinta:

• Asesoría: tenía backups en la nube, separados del sistema principal, con copias diarias y test de restauración mensual. Recuperaron al 100 % en 36 horas. Coste: el tiempo de mi intervención más la formación posterior al equipo.

• Logística: tenía un NAS conectado a la red interna para backups. El ransomware lo cifró también. Sin backup útil. Tuvieron que pagar el rescate (y aun así perdieron 3 semanas de datos recientes). Coste real (rescate + parón + asesoría + pérdida de clientes): más de 40.000 €.

La diferencia no fue la sofisticación del antivirus. Fue cómo estaban hechas las copias de seguridad.

Una copia de seguridad que está conectada todo el tiempo a tu red no es una copia de seguridad real. Es solo otro disco donde el ransomware también va a llegar.

Las 5 señales que distinguen un ordenador reparable de uno terminal

Las tres intervenciones que más rinden

Si la respuesta a "¿lo reparo?" es sí, estas son las tres cosas que en mi experiencia más cambian la sensación de uso, en orden de impacto:

1. Cambiar HDD por SSD (60-120 €): el cambio más grande, siempre. Si solo puedes hacer una cosa, haz esta.

2. Ampliar la RAM (40-90 €): especialmente si trabajas con muchas pestañas, Excel pesado o aplicaciones colaborativas.

3. Reinstalación limpia de Windows (incluido en muchas intervenciones): equipos arrastran 5-10 años de basura acumulada. Una reinstalación limpia los devuelve al estado "recién comprado".

Con esas tres, un equipo de 4-5 años recupera el 80 % del rendimiento de uno nuevo, por un coste 4-5 veces menor.

Cuándo es mejor renovar (y no engañarte)

No siempre vale la pena reparar. Mejor renovar cuando:

• El equipo tiene más de 7-8 años.

• El procesador es muy antiguo (Intel 5ª gen o anterior, Celeron, Pentium).

• No soporta Windows 11 y manejas datos sensibles (con Windows 10 sin actualizaciones de seguridad pasas a ser objetivo).

• Empleado clave que pierde mucho tiempo: el coste de oportunidad supera el de un equipo nuevo.

• Necesitas garantía y soporte del fabricante para servicios críticos.

Resumen práctico

Antes de aprobar la siguiente partida de renovación de equipos en tu oficina:

1. Haz inventario de los equipos por edad y especificaciones.

2. Identifica cuáles tienen menos de 7 años y soportan Windows 11.

3. De esos, mira si tienen HDD en lugar de SSD o menos de 16 GB de RAM.

4. Cualquier equipo que cumpla 1-2-3 es candidato a reparación, no a sustitución.

5. Pide presupuesto de las dos opciones (reparar / renovar) antes de decidir.

En una pyme de 10-20 empleados, el ahorro entre hacer este ejercicio bien y "renovarlo todo cada 4 años" suele ir de 8.000 € a 15.000 €. No es una cifra menor.

📶 Internet y redes 

Por qué la WiFi de tu oficina rinde peor que la de tu casa

La queja más habitual cuando entro en una oficina nueva como cliente es exactamente la misma, independientemente del sector: "En la sala de reuniones la WiFi va fatal". Le sigue de cerca: "Cuando hago una videollamada en mi mesa, se me cuelga".

Y casi siempre la causa no es lo que la gente cree.

He visto empresas que se gastan 600 € en un router "pro" pensando que solucionaría el problema. No lo soluciona. He visto a otras culpar al operador y cambiar de Movistar a Vodafone (o al revés) sin notar diferencia.

Te cuento lo que sí pasa.

La WiFi de casa funciona porque hay 3 dispositivos. Y porque a nadie le importa si va a 50 Mbps o a 200. 

En una vivienda media tienes el router, dos móviles, un par de portátiles y una televisión. Cinco-seis dispositivos. Y la mayor exigencia es ver Netflix sin que se pause.

En una oficina pequeña de 15 empleados tienes:

• 15 portátiles

• 15 móviles (cada uno con WiFi conectado en automático)

• Impresoras WiFi

• Teléfonos IP

• Cámaras de seguridad

• Termostato inteligente (a veces)

• Una o dos pantallas de sala de reuniones

• Dispositivos de invitados ocasionales

Resultado: 40-60 dispositivos conectados a la misma red. Donde antes habías puesto un router doméstico.

Es como meter 60 coches por una calle de un solo carril y luego quejarte del tráfico. No es problema del coche. Es problema de la infraestructura.

Los 7 problemas que veo casi siempre en oficinas de pymes 

En orden de frecuencia, esto es lo que encuentro al ir a diagnosticar una WiFi de oficina:

1. Un solo router, mal ubicado

Suele estar en el rincón donde llegó la línea del operador, debajo de la mesa de la recepcionista o detrás de un mueble metálico. La señal tiene que llegar a salas que están a 15-20 metros y atravesar paredes de pladur (o peor, hormigón).

2. Banda 2,4 GHz saturada

Todos los dispositivos antiguos (impresoras, cámaras IP, termostatos) se conectan a 2,4 GHz. Más alcance, pero más lenta y más saturada. Si tu router solo emite a esa banda, todos los dispositivos pelean por el mismo carril.

3. Canales WiFi que pisan a los del vecino

En polígonos o edificios de oficinas, hay 5-10 redes WiFi cercanas emitiendo en los mismos 3 canales (1, 6, 11). Si no eliges canal manualmente o tu router no lo hace bien, te peleas con tus vecinos por el ancho de banda.

4. Router-operador como único equipo

Los routers que te da Movistar, Vodafone u Orange están pensados para una casa, no para una oficina. Limitan número de conexiones simultáneas, no tienen QoS configurable y suelen ser de gama baja.

5. Sin separación entre red de empleados y red de invitados

Cuando un cliente entra y se conecta a tu WiFi, comparte red con tus servidores, impresoras y archivos. Tres problemas: seguridad, rendimiento y privacidad.

6. Pared metálica entre el router y la sala que falla

Especialmente común: armarios IT con puertas metálicas cerradas, paredes con estructura de metal, ascensores cerca. El metal mata la señal WiFi.

7. Falta de actualizaciones del firmware del router

Un router con firmware de 2019 tiene los mismos problemas y vulnerabilidades que tenía en 2019. Y un buen porcentaje del hardware de oficina lleva años sin actualizar.

Las 4 intervenciones que arreglan el 90 % de los casos

No hace falta hacer todas. En orden de impacto:

1. Sistema mesh o WiFi 6 con varios puntos

Para oficinas de más de 80 m² o con paredes complicadas. Un sistema mesh de 2-3 puntos cubre toda la planta de forma uniforme. Inversión: 250-500 € para una oficina mediana.

2. Separar red de empleados y red de invitados