Ransomware en una pyme del Vallès: anatomía de un ataque real
Caso real de ransomware en una pyme del Vallès Occidental: cómo entró, qué costó y cómo se recuperó. 5 lecciones de ciberseguridad para pymes y autónomos.

Caso real anonimizado. Los detalles que identificarían a la empresa se han cambiado u omitido; el resto del relato —cómo entró el ataque, el impacto y la recuperación— refleja un incidente que atendemos con demasiada frecuencia en el Vallès.
Era viernes por la tarde. Una pequeña empresa industrial del Vallès Occidental, ocho personas en plantilla, cerraba la semana. El lunes, al encender los ordenadores, nadie podía abrir un solo archivo. En lugar de los presupuestos, los albaranes y la contabilidad, había un mensaje en la pantalla: sus datos estaban cifrados y, para recuperarlos, pedían un rescate en criptomonedas.
No era una empresa descuidada. Tenían antivirus. Tenían un informático “que venía cuando hacía falta”. Y aun así, el negocio estuvo cuatro días sin poder facturar. Esto es lo que pasó, y lo que cualquier pyme o autónomo puede aprender de ello.
Cómo entró el ataque
El ransomware no entró por un hacker rompiendo cortafuegos. Entró por la puerta de siempre: un acceso remoto mal protegido. La empresa tenía habilitado el escritorio remoto (RDP) para que el gerente pudiera conectarse desde casa, con una contraseña sencilla y sin doble autenticación.
Los atacantes no eligieron a esta empresa: sus sistemas automáticos rastrean internet buscando puertos de escritorio remoto abiertos y prueban miles de contraseñas hasta que una funciona. La de “acceso fácil para el jefe” cayó en cuestión de horas. Una vez dentro, esperaron al fin de semana —cuando nadie miraba— para desactivar el antivirus, borrar las copias que encontraron y lanzar el cifrado.
Qué costó realmente
El rescate que pedían eran unos 4.000 €. Pero el rescate casi nunca es el coste principal:
- Cuatro días de parón: sin poder facturar, sin acceso a pedidos ni a contabilidad.
- Clientes esperando presupuestos y entregas que no llegaban.
- Horas de trabajo reconstruyendo lo que no se pudo recuperar limpio.
- El susto, que no se factura pero pesa: saber que alguien estuvo dentro de tu negocio.
Cómo se recuperó (y por qué no se pagó el rescate)
Aquí está la única buena noticia del caso: no se pagó el rescate. ¿Por qué? Porque, aunque los atacantes borraron las copias locales, existía una copia fuera de la oficina —en la nube, que ellos no llegaron a alcanzar—. Era de la noche del jueves.
Eso permitió:
- Aislar los equipos infectados desconectándolos de la red.
- Formatear y reinstalar desde cero los sistemas comprometidos.
- Restaurar los datos desde la copia en la nube, perdiendo solo el trabajo de un día.
- Cerrar la puerta: se eliminó el acceso remoto abierto y se sustituyó por una conexión segura con doble autenticación.
Pagar el rescate nunca es garantía de recuperar nada —estás confiando en delincuentes—. La copia 3-2-1 fue lo que convirtió una catástrofe en un mal fin de semana.
5 lecciones para tu negocio
- Nunca expongas el escritorio remoto (RDP) directo a internet. Si necesitas acceso remoto, que sea a través de una VPN con doble autenticación.
- La regla 3-2-1 no es opcional: 3 copias, 2 soportes, 1 fuera de tu oficina. La copia externa es la que salva el negocio cuando el ataque borra las locales.
- El antivirus no basta. Es necesario, pero los atacantes lo desactivan una vez dentro. La seguridad son capas, no un único producto.
- La doble autenticación habría parado este ataque entero. Es gratis y es la medida con mejor retorno que existe.
- Practica la restauración. Un backup que nadie ha probado a restaurar es una apuesta, no una garantía.
No esperes al lunes
La mayoría de pymes y autónomos del Vallès que sufren un ataque comparten el mismo perfil: medidas básicas a medias y la sensación de que “esto le pasa a otros”. Revisar tu exposición cuesta mucho menos que recuperarte de un incidente.
Hago auditorías de ciberseguridad para pymes y autónomos en Sabadell y el Vallès desde 55€: reviso accesos remotos, copias, contraseñas y correo, y te entrego un informe priorizado en pocos días. Si quieres saber por dónde podría entrar un ataque a tu negocio antes de que lo descubra otro, escríbeme por WhatsApp o el formulario.
📚 Este artículo forma parte de la guía definitiva de ciberseguridad para pymes en Cataluña: el plan completo, frente a frente, con todos los recursos de la serie.