El día que el ransomware paró una empresa de 200 empleados
Historia real de cómo un solo email destruyó meses de trabajo, paralizó un negocio durante tres días y costó más de 180.000 euros. Y lo fácil que habría sido evitarlo.
Los nombres de empresas, personas y datos específicos han sido modificados para proteger la identidad de las partes involucradas. El caso está basado en hechos reales documentados.
Eran las 8:47 de un martes de febrero. Alejandro Moreno aparcó su coche en el parking de las oficinas de su empresa, una compañía de logística y distribución que dirigía desde hacía doce años. Doscientos empleados. Tres almacenes. Una flota de 40 vehículos. Un negocio que había construido desde cero y del que estaba orgulloso.
Esa mañana tenía reunión con un cliente importante a las diez. El pedido sobre la mesa era grande: un contrato de distribución para toda la peninsula por tres años. Había pasado dos meses preparando la propuesta. Subiría al despacho, revisaría los últimos números con su equipo financiero, prepararía la presentación y, con suerte, cerraría el trato antes de comer.
Nada de eso ocurrió.
Un martes aparentemente normal
Todo empezó con una llamada de Sara, la responsable del departamento de administración, cuando Alejandro aún estaba en el ascensor. «Alejandro, tengo un problema raro con el ordenador. No se abre ningún archivo.» Él pensó que sería algún fallo puntual del sistema. Cosas que pasan.
Cuando abrió la puerta de su despacho, su ordenador estaba encendido. La pantalla mostraba algo que nunca había visto: un fondo negro con texto rojo. No el texto de error habitual de Windows. Algo diferente. Algo que le heló la sangre.
⚠ YOUR FILES HAVE BEEN ENCRYPTED ⚠
All your documents, databases, photos and other important files have been encrypted with military-grade AES-256 encryption.
Do not attempt to recover files using third-party tools. Doing so may cause permanent data loss.
To recover your files, you must pay €185,000 in Bitcoin.
You have 72 hours before the ransom doubles.
ID: TL-2026-02-LOCK-8847A2 | Contact: dec_support@protonmail.com
Alejandro tardó casi un minuto en procesar lo que estaba leyendo. Luego llegaron más llamadas. El teléfono empezó a sonar sin parar. Primero el responsable de sistemas, Miguel. Luego el jefe de almacén. El departamento de ventas. Contabilidad. Recursos humanos. Todos con el mismo mensaje: «Los ordenadores no funcionan.»
En menos de veinte minutos, los 200 ordenadores de la empresa mostraban la misma pantalla negra. El servidor de ficheros: bloqueado. El ERP de gestión: inaccesible. Los albaranes del día: cifrados. Las rutas de los transportistas: perdidas. La propuesta para el cliente de las diez: desaparecida.
«Fue como si alguien hubiera metido la llave en la cerradura de tu empresa y se la hubiera llevado. Todo seguía físicamente en su sitio, pero nada funcionaba. Absolutamente nada.»
El caos de las primeras horas
A las 9:15, Alejandro reunió en la sala de juntas a Miguel (sistemas), a la directora financiera y al responsable de operaciones. El cliente de las diez ya era lo de menos. Habían avisado a los transportistas de que no salieran del almacén hasta nuevo aviso. Cuarenta vehículos parados. Doscientas personas sin poder trabajar.
Miguel intentó lo evidente: acceder al servidor de backups para restaurar desde la última copia. El servidor respondía, pero los archivos de backup también estaban cifrados. El ransomware había llegado antes que ellos. Habían tenido más de tres semanas infiltrado en la red antes de activarse, moviéndose silenciosamente de máquina en máquina, mapeando los sistemas, localizando los backups y destruyéndolos primero.
La penúltima copia de seguridad intacta tenía seis semanas de antigüedad. Seis semanas de pedidos, facturas, contratos, registros de clientes, rutas optimizadas y datos operativos: evaporados.
A las 10:30, Alejandro llamó a su asesor legal. A las 11:00, a la policía y al INCIBE (Instituto Nacional de Ciberseguridad). A las 12:00, a una empresa de respuesta ante incidentes de ciberseguridad que le costó 4.500 euros solo la primera visita de emergencia. Para entonces, ya sabía que el día estaba perdido. Lo que no sabía aún era que también lo estaban los dos siguientes.
Las 72 horas del colapso
Cómo se desarrollaron los tres días más largos de la historia de la empresa
Martes · 08:47
Primer aviso
Sara llama desde administración. Los archivos no se abren. En el despacho de Alejandro, la pantalla de rescate ya está activa. En 20 minutos, toda la empresa está bloqueada.
Martes · 09:30
Intento de recuperación
Miguel accede al servidor de backups. Los archivos de copia también están cifrados. El ransomware los atacó primero. La copia más reciente intacta tiene seis semanas.
Martes · 11:00
Notificación a autoridades
Se notifica al INCIBE y a la Policía Nacional. La empresa de respuesta ante incidentes llega a las 14:00. Diagnóstico: ransomware LockBit 4.0, con acceso inicial estimado hace 23 días.
Martes · 15:00
El negocio se paraliza
40 vehículos parados. 200 empleados sin poder trabajar. Se cancela la reunión con el cliente. Tres clientes grandes llaman para reclamar pedidos no entregados. El primer día: 0€ de facturación.
Miércoles · Todo el día
Reconstrucción manual
El equipo intenta reconstruir rutas y pedidos desde emails y WhatsApp. Se alquilan portátiles de emergencia. Los técnicos trabajan 18 horas. Solo se recupera el 30% de los datos más críticos.
Jueves · 16:00
Reactivación parcial
Los sistemas más críticos vuelven a funcionar, pero con datos de hace seis semanas. Los tres días siguientes se dedicarán a reconciliar datos a mano. El coste total ya supera los 180.000 euros.
¿Cómo entró el virus?
Tres semanas antes del ataque, Carlos, uno de los comerciales del equipo de ventas, recibió un correo electrónico aparentemente enviado por uno de sus proveedores habituales de material de oficina. El asunto era «Actualización de factura pendiente — Ref. 2026-01-3341». El email tenía el logo del proveedor, el mismo formato que siempre y una firma convincente.
El archivo adjunto era un Excel con macros. Carlos lo abrió, hizo clic en «Habilitar contenido» cuando Excel lo pidió —algo que había hecho decenas de veces en su vida— y siguió con su jornada. No ocurrió nada visible. Ninguna alerta. Ningún mensaje de error. El ordenador siguió funcionando perfectamente.
El email que lo inició todo
De: facturacion@suministros-iberia-sl.com [DOMINIO FALSO — registrado 4 días antes]
Para: carlos.vega@translogis.es
Asunto: Actualización de factura pendiente — Ref. 2026-01-3341
Adjunto: Factura_3341_actualizada.xlsm [MACRO MALICIOSA]
Estimado Carlos,
Adjuntamos factura actualizada correspondiente al pedido 3341 del pasado enero, con corrección en el desglose de IVA solicitado por su departamento.
Por favor, confirme recepción. Cualquier duda, no dude en contactarnos.
Saludos,
Dpto. de Facturación
Suministros Iberia SL
¿Por qué funcionó? El email imitaba perfectamente al proveedor real. El dominio era casi idéntico (suministros-iberia-sl.com vs. suministros-iberica-sl.com). Carlos había recibido facturas similares en Excel antes. Y ningún filtro antispam lo detectó.
Lo que Carlos no sabía es que al habilitar las macros del Excel, ejecutó un pequeño programa que se instaló silenciosamente en su ordenador. Ese programa —conocido como dropper— descargó de internet el ransomware real y lo instaló en segundo plano. A partir de ahí, empezó a moverse lateralmente por la red de la empresa.
Durante 23 días, el malware estuvo activo en la red sin que nadie lo detectara. Fue mapeando todos los servidores, identificando los sistemas críticos, localizando las copias de seguridad accesibles desde la red y preparando el ataque coordinado. Los atacantes esperaron al martes para activarlo: un día de alta actividad, con más probabilidades de presión para pagar rápido.
Las 4 fases de infiltración en la empresa
Acceso inicial via phishing (Día 0)
Carlos abre el Excel malicioso. El dropper se instala y establece conexión con el servidor de control de los atacantes.
Escalada de privilegios (Días 1-5)
El malware explota una vulnerabilidad en el sistema sin parchear para obtener credenciales de administrador de dominio.
Reconocimiento y destrucción de backups (Días 6-20)
Los atacantes mapean todos los servidores, identifican y cifran o eliminan las copias de seguridad accesibles desde la red.
Activación masiva coordinada (Día 23)
A las 6:00 AM, antes de que llegara nadie, el ransomware se despliega simultáneamente en los 200 equipos. En 90 minutos, todo está cifrado.
El daño real: más allá del rescate
Alejandro no pagó el rescate. La empresa de respuesta ante incidentes le aconsejó que no lo hiciera —el 68% de las empresas que pagan no recuperan todos sus datos de todos modos— y los peritos del INCIBE le advirtieron que el pago podría acarrear implicaciones legales. Pero no pagar el rescate no significó que el ataque fuera gratis. Ni mucho menos.
~€68.000
Pérdida de facturación
3 días con 40 vehículos parados y operaciones manuales. Pedidos cancelados y retrasos en entregas.
€42.000
Recuperación técnica
Empresa de respuesta a incidentes, técnicos externos, alquiler de equipos y licencias de emergencia.
€18.500
Horas de empleados perdidas
200 empleados × 3 días prácticamente improductivos. Horas extra de recuperación manual posterior.
€12.000
Asesoría legal y notificaciones
Abogados, notificación a la AEPD por datos comprometidos, posible sanción por brecha de datos.
Incalculable
Daño reputacional
El cliente de la reunión de las 10 eligió a otro proveedor. Dos clientes redujeron su volumen de negocio.
€41.000
Renovación infraestructura
Nuevos servidores, sistemas de backup offsite, licencias de seguridad que no tenían. Inversión que habrían hecho igualmente.
COSTE TOTAL ESTIMADO DEL INCIDENTE
€181.500
Sin contar el daño reputacional ni el contrato perdido (estimado en €200.000/año)
Para contextualizarlo: una plataforma de ciberseguridad completa como las que analizamos en otros artículos de este blog habría costado a la empresa entre €400 y €700 al mes para sus 200 empleados. En doce meses, eso son entre 4.800 y 8.400 euros. Frente a 181.500 euros de pérdida real.
La ciberseguridad no es un gasto. Es un seguro. Y como todos los seguros, su valor se entiende el día que lo necesitas.
Lo que habría cambiado todo
Lo más doloroso de este caso —y lo repite Alejandro cuando habla de ello— es que se podría haber evitado completamente. No con una inversión millonaria ni con un equipo de ciberseguridad de diez personas. Con medidas básicas que cualquier empresa mediana puede implementar.
Backups offline e inmutables
Lo que hizo la empresa
Los backups estaban en servidores conectados a la misma red. El ransomware los localizó y cifró antes de activarse. La copia más reciente intacta tenía 6 semanas.
Lo que debería haberse hecho
Backups inmutables en la nube o en sistemas air-gapped (desconectados de la red) que el ransomware no puede alcanzar. Copias diarias automáticas. Regla 3-2-1.
Filtrado avanzado de email con sandboxing
Lo que hizo la empresa
El correo de phishing pasó todos los filtros. El dominio falso era muy similar al real. El archivo Excel con macros no fue bloqueado.
Lo que debería haberse hecho
Soluciones de email security con sandboxing ejecutan los adjuntos en un entorno aislado antes de entregarlos. El comportamiento malicioso se habría detectado antes de llegar a Carlos.
Formación antiphishing del equipo
Lo que hizo la empresa
Carlos nunca había recibido formación específica sobre phishing. Habilitar macros en Excel era algo que hacía habitualmente sin cuestionarlo.
Lo que debería haberse hecho
Simulacros de phishing periódicos y formación breve mensual. Los empleados entrenados detectan el 80% de los intentos de phishing dirigido.
Gestión de parches y actualizaciones
Lo que hizo la empresa
El sistema tenía vulnerabilidades sin parchear desde hacía meses. El ransomware las explotó para escalar privilegios y moverse por la red.
Lo que debería haberse hecho
Actualización automática de sistemas operativos y software crítico. Los parches de seguridad aplicados en menos de 48 horas eliminan el vector de escalada.
Detección y respuesta en endpoints (EDR)
Lo que hizo la empresa
No había ninguna solución que monitorizara el comportamiento de los procesos. El ransomware estuvo 23 días moviéndose por la red sin que nadie lo detectara.
Lo que debería haberse hecho
Un EDR detecta comportamientos anómalos en tiempo real: un proceso que intenta leer miles de archivos, movimientos laterales sospechosos, conexiones externas inusuales. Alerta en minutos.
Principio de mínimo privilegio
Lo que hizo la empresa
Muchos empleados tenían permisos de escritura en carpetas compartidas de toda la empresa. Una vez dentro, el ransomware pudo acceder a todo.
Lo que debería haberse hecho
Cada usuario solo tiene acceso a lo que necesita para su trabajo. Si el ransomware entra por un comercial, solo cifra lo que ese comercial puede ver, no toda la empresa.
La conclusión de Alejandro
«Antes del ataque pensaba que la ciberseguridad era cosa de grandes empresas o de bancos. Que nosotros éramos demasiado pequeños para que alguien nos atacara. Ahora sé que es justo al revés: los atacan a los que menos se protegen, porque son los más fáciles. Y en eso nosotros éramos perfectos.»
Tres meses después del incidente, la empresa implantó una plataforma de ciberseguridad unificada. El coste mensual: 620 euros. El coste del incidente que ya no tendrán: 181.500 euros.
¿Qué debe hacer tu empresa hoy?
Si tu empresa tiene más de 10 empleados y usa ordenadores, este artículo va dirigido a ti. No hace falta ser una multinacional para ser víctima de ransomware. Las empresas medianas son el objetivo preferido precisamente porque tienen datos valiosos pero, habitualmente, menor nivel de protección que las grandes.
1. Audita tus copias de seguridad esta semana
¿Cuándo fue la última copia? ¿Está conectada a tu red? ¿La has probado restaurando alguna vez? Si no puedes responder con seguridad, tienes un problema. Un backup que no se ha probado no es un backup.
2. Implementa una solución de seguridad de email
El 78% de los ataques de ransomware comienzan con un email de phishing. Filtros avanzados con sandboxing pueden detenerlos antes de que lleguen a los buzones de tu equipo.
3. Haz una formación antiphishing con tu equipo
No hace falta ser técnico. Sesiones de 30 minutos explicando qué es el phishing y cómo reconocerlo. Incluye simulacros periódicos. Es la medida con mejor ratio coste/beneficio en ciberseguridad.
4. Evalúa una plataforma de ciberseguridad unificada
Soluciones como Coro integran en un solo panel: protección endpoint, seguridad de email, backup automático, detección de amenazas y gestión de accesos. Diseñadas para empresas medianas que no tienen un equipo técnico dedicado.
¿Tu empresa está preparada para un ataque?
Descubre cómo proteger a empresas medianas con una plataforma unificada de ciberseguridad. Sin equipos técnicos especializados. Sin complicaciones.
Artículos relacionados
Principales plataformas de ciberseguridad automatizadas todo-en-uno en 2026
Análisis objetivo de las 9 mejores plataformas XDR y de seguridad unificada para empresas medianas en 2026: Microsoft Defender, CrowdStrike, Sophos, Coro, SentinelOne y más. Descubre cuál encaja mejor con tu organización.
NIS2 para empresas: qué es y cómo cumplirla sin ser técnico
Guía práctica sobre la directiva NIS2 para responsables de empresa: qué obliga, a quién afecta, plazos, sanciones y cómo adaptarse sin conocimientos técnicos. Cumplimiento NIS2 en España 2026.
Phishing en empresas: cómo detectarlo y evitarlo en 2026
Guía completa sobre phishing para empresas: qué es, cómo detectar correos fraudulentos, tipos de ataques (spear phishing, smishing, vishing) y las mejores medidas de protección para pymes en 2026.