El punto de partida
La llamada llegó de madrugada: los servidores de expedientes y el gestor documental estaban cifrados, y en cada carpeta una nota de rescate. La entrada, como confirmaría después el forense, fue una VPN sin doble factor a la que los atacantes accedieron con credenciales robadas a un proveedor externo del despacho. Nada exótico: la puerta estaba abierta y alguien tenía la llave.
La angustia de los socios no era solo operativa. Un despacho puede rehacer trabajo; lo que no puede es faltar al secreto profesional. Si los atacantes se habían llevado información de clientes — sociedades en litigio, operaciones en curso, estrategias procesales — el daño trascendía lo informático y tocaba el núcleo deontológico de la profesión. Necesitaban saber, con evidencia y no con suposiciones, qué había salido y qué no.
Cómo lo abordamos
- Contención en horas — aislamiento de los segmentos de red afectados, revocación de todos los accesos remotos y de las credenciales potencialmente comprometidas, y preservación forense de las evidencias (imágenes de disco, memoria y registros) antes de tocar nada. Sin evidencias intactas, todo lo posterior habría sido conjetura.
- Análisis forense — reconstrucción de la cadena completa del ataque: entrada por la VPN sin MFA, movimiento lateral y una ventana de intrusión de 9 días antes del cifrado. El análisis específico de exfiltración — tráfico de salida, artefactos de las herramientas del atacante, accesos a ficheros — confirmó el robo parcial de datos de 3 expedientes concretos, y descartó una exfiltración masiva.
- Decisión de no pagar y restauración — con copias offline íntegras, se descartó el pago del rescate. La restauración fue parcial en un área: 11 días de trabajo de un equipo no cubiertos por la última copia válida se rehicieron a mano. Doloroso, pero acotado y sin financiar a los atacantes.
- Obligaciones legales y comunicación — notificación a la AEPD dentro de las 72 horas, comunicación individualizada a los 3 clientes afectados con el informe forense como soporte, y acompañamiento del despacho ante su aseguradora ciber. La transparencia con datos verificados, no la ocultación, fue lo que sostuvo la confianza.
- Reconstrucción endurecida — MFA obligatorio en todos los accesos, sustitución de la VPN por acceso ZTNA, EDR gestionado en todos los equipos, copias inmutables verificadas periódicamente y monitorización 24/7 posterior al incidente. El despacho no volvió al estado anterior: volvió a uno mejor.
Resultados
72 horas
hasta operar en modo degradado; 3 semanas hasta la recuperación completa
0 €
de rescate pagado: la restauración se hizo desde copias offline
3 de ~4.000
expedientes afectados por exfiltración, confirmado por el forense
Ningún cliente rescindió su relación con el despacho. Los 3 afectados recibieron una explicación individualizada, sostenida en el análisis forense, de qué información se había visto comprometida y qué medidas se habían tomado. Esa conversación, difícil pero honesta, salvó las relaciones — y el expediente ante la AEPD se cerró sin sanción, acreditadas la diligencia en la respuesta y la notificación en plazo.
Claves del caso
- Sin análisis forense, la única opción habría sido asumir lo peor y notificar a los ~4.000 clientes del despacho. Acotar la exfiltración a 3 expedientes cambió el incidente por completo.
- El MFA habría evitado el acceso inicial. Unas credenciales robadas a un tercero no deberían bastar para entrar en la red de un despacho.
- La copia offline fue la diferencia entre un incidente grave y el cierre del despacho: sin ella, la mesa de negociación habría sido la del atacante.
Preguntas frecuentes
¿Qué hay que hacer en las primeras horas tras un ransomware?
Aislar los segmentos de red afectados, revocar los accesos remotos y las credenciales potencialmente comprometidas, y preservar las evidencias — imágenes de disco, memoria y registros — antes de tocar nada. No conviene apagar equipos de forma indiscriminada ni negociar con los atacantes por cuenta propia: ambas cosas destruyen evidencias y opciones. Cuanto antes intervenga un equipo especializado, más se puede acotar el incidente.
¿Hay que pagar el rescate?
Nuestra posición es que no. Pagar no garantiza recuperar los datos ni evita su publicación, financia al grupo atacante y señala a la organización como pagadora de cara a futuros ataques. Con copias de seguridad offline íntegras, restaurar es casi siempre la mejor vía: en este caso el despacho recuperó su operación sin abonar rescate alguno.
¿Cuánto se tarda en recuperar la operación tras un ransomware?
Depende del alcance del cifrado y del estado de las copias de seguridad. En este caso, el despacho operaba en modo degradado a las 72 horas y recuperó la normalidad completa en 3 semanas, incluida la reconstrucción endurecida de la infraestructura. Sin copias offline válidas, tanto los plazos como el desenlace habrían sido muy distintos.
¿Qué obligaciones legales hay tras un ransomware?
Si hay datos personales comprometidos, el RGPD obliga a notificar a la AEPD en un máximo de 72 horas desde que se tiene constancia de la brecha y, cuando el riesgo para los afectados es alto, a comunicárselo también a ellos. Un análisis forense que acote qué se ha exfiltrado permite cumplir con precisión: en este caso bastó con comunicar a los 3 clientes afectados, y el expediente se cerró sin sanción.
Servicios relacionados
¿Incidente en curso o quieres estar preparado?
Cada hora cuenta. Hard2bit responde con contención, forense y soporte en las obligaciones legales — y si aún no ha pasado nada, te ayudamos a que unas credenciales robadas no basten para parar tu despacho.