En noviembre de 2025, nuestro grupo enfrentó un incidente de ciberseguridad que impactó directamente la operación. El responsable fue un tipo de malware conocido como ransomware, específicamente una variante de LockBit 5.0, uno de los programas maliciosos más avanzados utilizados actualmente por grupos de ciberdelincuencia.

Pero… ¿qué significa esto realmente? 🤔

💻 ¿Qué es el ransomware?

El ransomware es un tipo de software malicioso que bloquea o cifra la información de una empresa para impedir el acceso a archivos, sistemas o servidores. Posteriormente, los atacantes solicitan un rescate económico (generalmente en criptomonedas) a cambio de la supuesta recuperación de la información.

🔎 ¿Cómo funciona LockBit?

LockBit es especialmente peligroso porque actúa de forma automática y muy rápida:

1. Acceso inicial – Puede ingresar mediante correos maliciosos, archivos infectados, vulnerabilidades o dispositivos inseguros.
2. Movimiento interno – Una vez dentro, intenta expandirse a otros equipos dentro de la red.
3. Cifrado de información – Utiliza algoritmos criptográficos avanzados para convertir los archivos en datos ilegibles.
4. Extorsión – Los atacantes amenazan con eliminar o publicar la información si no se paga el rescate.

🧠 ¿Por qué es tan difícil recuperar la información?

Aquí viene la parte interesante… y un poco frustrante.

LockBit utiliza criptografía de nivel empresarial (sí, del mismo tipo que protege transacciones bancarias).
Normalmente combina:

• AES-256 (cifrado simétrico) para cifrar los archivos rápidamente.
• RSA-2048 o superior (cifrado asimétrico) para proteger la clave que permitiría descifrar los archivos.

¿Y qué tan complejo es eso?
Veámoslo con números:

AES-256 tiene 2²⁵⁶ combinaciones posibles.

Eso equivale aproximadamente a:

115,792,089,237,316,195,423,570,985,008,687,907,853,269,984,665,640,564,039,457,584,007,913,129,639,936 combinaciones posibles 😵

Si tuviéramos una supercomputadora capaz de probar 1 trillón de claves por segundo, tardaría más tiempo que la edad estimada del universo en encontrar la correcta.

En otras palabras:

intentar descifrarlo por fuerza bruta es como tratar de adivinar un número al azar… entre todos los granos de arena de la Tierra… multiplicados por varios planetas.

O dicho de forma más honesta:
es más fácil ganarse la lotería 10 veces seguidas… sin comprar boleto.

Por eso, cuando ocurre un incidente de ransomware:

• No existe un botón mágico de “recuperar”
• No hay garantía de que pagando se obtenga la información
• Y la recuperación puede tomar mucho tiempo incluso con respaldos

🛡️ ¿Por qué TI ha implementado controles más estrictos?

Después del incidente entendimos algo muy importante:

Si antes teníamos 10 puertas abiertas, ahora preferimos tener 3 puertas… pero con cerradura, cámara, alarma y registro de quién entra 🔐😅

La ciberseguridad funciona muy parecido a las matemáticas: entre más variables controla un atacante, mayor probabilidad tiene de encontrar una combinación vulnerable.

Ejemplo simple:

• Si una contraseña tiene solo números del 1 al 9 y 4 posiciones → existen 6,561 combinaciones
• Si ahora usamos mayúsculas, minúsculas, números y símbolos con 12 posiciones → existen aproximadamente 95¹² combinaciones
  Resultado:
  Pasamos de algo que una computadora puede probar en segundos… a algo que podría tardar miles de años.

En seguridad pasa lo mismo:
cada control adicional multiplica la dificultad del ataque 📈

Por eso se implementaron medidas más robustas:

✔ Restricción de USB no controlados
Un USB desconocido puede contener malware que se ejecuta en segundos.
Es como conectar un “invitado” a la red… sin saber si trae virus.

✔ Protección avanzada contra malware
Antes era suficiente detectar virus conocidos.
Hoy los ataques usan variantes nuevas cada día, por lo que se utilizan motores de análisis de comportamiento.

✔ Monitoreo constante de la red
Si algo intenta comportarse fuera de lo normal, se detecta antes de que se propague.

✔ Controles de acceso más estrictos
No todos los usuarios necesitan acceso a todo.
Entre menos accesos innecesarios existan, menor superficie de ataque.

✔ Respaldos más robustos
Porque el mejor ransomware… es el que no logra afectar los respaldos 😎

✔ Segmentación de red
Antes la red podía verse como un solo espacio.
Ahora se divide en “zonas”, de modo que si un atacante entra en una sección, no pueda moverse libremente por toda la organización.

En términos prácticos:
antes el atacante necesitaba abrir una sola puerta 🚪
ahora tendría que abrir muchas puertas al mismo tiempo, cada una con diferentes llaves… y algunas ni siquiera están visibles.

¿Puede parecer más estricto? sí.
¿Reduce el riesgo exponencialmente? también.

Porque en ciberseguridad:
la facilidad para trabajar nunca debe ser mayor que la facilidad para atacar.

La seguridad no busca complicar el trabajo… busca evitar que un incidente vuelva a detenerlo.

Sabemos que algunos cambios pueden modificar la forma de trabajar, pero estas acciones buscan proteger la información de todos, mantener la continuidad de la operación y evitar riesgos que puedan afectar directamente a la empresa y a nuestros colaboradores.

🔎 La seguridad no es solo responsabilidad de TI, es un trabajo en equipo. Cada buena práctica suma para mantener protegida nuestra información.