Ir al contenido
OsTigerLab
Acceder ahora
Casos forenses

Cómo analizar un caso de ransomware desde cero

LO Lautaro O. 12/05/2026 · 12 min de lectura

El ransomware sigue siendo una de las amenazas más comunes contra pymes, instituciones públicas y profesionales independientes en Argentina. Cuando un equipo cae, la respuesta tiene que ser ordenada — no improvisada. Este artículo recorre el procedimiento estándar desde la perspectiva del perito informático.

1. Triage inicial: documentar antes de actuar

El primer paso ante un incidente de ransomware no es ejecutar herramientas. Es documentar el estado del sistema antes de tocarlo: fotografías de la pantalla, estado de los servicios, listado de procesos visibles, archivos críticos accesibles. Esto es la base de la cadena de custodia.

  • Fotografía de la pantalla con la nota de rescate (si la hay).
  • Captura de pantalla de los procesos actuales si todavía hay sesión activa.
  • Hash SHA-256 de los archivos cifrados muestra (sin abrir).
  • Tiempo del sistema y zona horaria.

2. Contención preservando evidencia volátil

Aislar la máquina comprometida del resto de la red, pero mantener la evidencia volátil. Esto significa preservar memoria RAM, conexiones de red activas y procesos en ejecución. Apagar el equipo destruye evidencia clave (claves de cifrado en memoria, conexiones C2 activas).

Crítico
Antes de apagar el equipo, hacer dump de memoria con herramientas como Magnet RAM Capture, FTK Imager o Belkasoft RAM Capturer. Una vez apagado, esa información no se recupera y muchas variantes de ransomware guardan ahí la clave de cifrado.

3. Análisis del binario

Si encontraste el ejecutable, generá hash SHA-256 y compará contra bases públicas: VirusTotal, MalwareBazaar, ANY.RUN. Probablemente sea una variante conocida y quizás haya descifrador en NoMoreRansom.

Para análisis estático: strings, PEview, Detect It Easy. Para dinámico: sandbox aislada (Cuckoo, ANY.RUN). Nunca ejecutar en la red corporativa.

4. Recuperación y reporte

Si hay backup limpio (idealmente offline o inmutable), restaurar a partir de ahí. Si no, evaluar pago como última opción y siempre con consideraciones legales y éticas (puede financiar más ataques, no garantiza descifrado). El reporte final debe documentar:

  • Timeline del incidente.
  • Indicadores de compromiso (IOCs): IPs, dominios, hashes, mutex.
  • Vector de entrada (phishing, RDP expuesto, vulnerabilidad sin parchar).
  • Recomendaciones técnicas y organizativas para evitar recurrencia.

Conclusión

Un caso bien manejado de ransomware combina respuesta rápida con preservación rigurosa de evidencia. Si te interesa profundizar, en el programa de Certificación en Cibercrimen cubrimos esto en profundidad con casos reales documentados.

¿Te interesa el campo forense?

Programa de 3 meses con casos reales y certificado al finalizar.

Ver el programa