¿INCIDENCIA ACTIVA? LLAMA AL +971 58 594 6337 · SIGNAL DISPONIBLE · PUENTE DE RESPUESTA 24/7 TIEMPO MEDIO DE CONTENCIÓN: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — BIBLIOTECA DE DESCIFRADORES ACTUALIZADA NO APAGUE LOS HOSTS INFECTADOS — CONSERVE LA MEMORIA ¿INCIDENCIA ACTIVA? LLAME AL +971 58 594 6337 · SIGNAL DISPONIBLE · PUENTE DE RESPUESTA 24/7 TIEMPO MEDIO DE CONTENCIÓN: 47 MIN LOCKBIT / BLACKCAT / AKIRA / PLAY / RHYSIDA — BIBLIOTECA DE DESCIFRADORES ACTUALIZADA NO APAGUE LOS HOSTS INFECTADOS — CONSERVE LA MEMORIA
Inglés Español húngaro العربية Русский Ucraniano Deutsch Eslovaco Thai Chino 日本語 한국어 Rumanía Français Hindi Bengalí Bahasa Indonesia Português Italiano Tagalo Vietnamita Farsi Kiswahili Birmano Amárico Türkçe Urdu Javanés Polaco Čeština
system.log
últimos 5 minutos · 20 eventos
Instantáneas
últimos 7 días · 7 instantáneas
No se han encontrado copias de seguridad
Último repositorio conocido: inaccesible

cuánto cuesta realmente
incidente sin tratar.

Extraídas de nuestros datos internos de respuesta a incidentes y de informes públicos verificados entre 2024 y 2025: múltiples sectores, múltiples ubicaciones geográficas.

01
5,08 millones de dólares
Coste total medio de un incidente de ransomware o extorsión
02
241
Promedio de días necesarios para detectar y contener una brecha de seguridad sin un equipo especializado en respuesta a incidentes
03
24
Días de inactividad operativa media por cada ataque de ransomware
04
4
Mediana de días desde la intrusión inicial hasta el cifrado
05
50
de los ataques de ransomware siguen terminando con el cifrado de los datos
06
28
De las víctimas de cifrado, también se les sustrajeron datos con fines de extorsión
Autoevaluación // 4 preguntas • 30 segundos

antes de entrar en pánico,
evalúa la situación.

Responde a cuatro preguntas. Generaremos una puntuación de gravedad en tiempo real y las cuatro primeras medidas que tu equipo debería tomar ahora mismo, antes de que alguien toque el teclado enfadado.

PREGUNTA 01 / 04
¿Qué fue lo primero que descubriste?
Lo primero que se observe determinará de cuánto tiempo dispones.
PREGUNTA 02 / 04
¿Hasta dónde se ha propagado?
Cuenta los hosts con cifrado o manipulación confirmados.
PREGUNTA 03 / 04
¿Estado de la copia de seguridad?
«Inmutable» significa verdaderamente inmutable: bloqueo de objetos, aislamiento físico o fuera de línea.
PREGUNTA 04 / 04
¿Señales de robo de datos?
La filtración convierte una tarea de recuperación en una tarea de divulgación.
RESULTADO
Evaluación completada.
Esta es una puntuación aproximada. Un analista de PWN-ALL puede precisarla en 15 minutos en el puente de respuesta.
ABRIR EL PUENTE DE RESPUESTA
▸ VEREDICTO EN DIRECTO
a la espera de información
Responde a las preguntas de la izquierda. La gravedad se actualiza en tiempo real.
00255075100

▸ Primeras cuatro acciones

  1. Aísle los hosts afectados de la red; no los apague.
  2. Conserve las copias de seguridad de la memoria y del volumen en al menos un host.
  3. Revoca las credenciales utilizadas en las últimas 72 horas; rota las cuentas de servicio.
  4. Establezca un canal de comunicación con PWN•ALL antes de tocar las copias de seguridad.
Proceso de respuesta

cuatro fases.
Un único puente.

Gestionamos cada incidente a través de un único puente de respuesta auditado: tu equipo, nuestros analistas de DFIR, una línea de tiempo compartida y registros en cada paso.

FASE 01 // 0–60 min

Contención

Aislamiento a nivel de red sin destruir pruebas. Detendremos el movimiento lateral en el conmutador, bloquearemos el C2, congelaremos las cuentas con privilegios y preservaremos la memoria en los hosts pivote.

Tiempo medio de permanencia antes del cifrado: 4 días. El margen para la contención se mide en horas, no en turnos.
FASE 02 // 1–6 h

Alcance

Evaluación forense de todos los activos cifrados, vectores de acceso inicial, persistencia y rastros de exfiltración. Identificamos la cepa, las TTP del operador y el tiempo de permanencia.

Sin un equipo de respuesta a incidentes dedicado, el ciclo de vida medio de una brecha es de 241 días desde la intrusión hasta la contención.
FASE 03 // 6–48 h

Recuperación

Reconstrucciones en sala limpia, comprobaciones de integridad de las copias de seguridad, comparación del descifrador con nuestra biblioteca interna y —cuando existen claves— descifrado por etapas de los datos de producción.

El tiempo medio de inactividad por ransomware es de 24 días. Las organizaciones preparadas reducen ese tiempo a menos de una semana.
FASE 04 // 2–14 días

Fortalecer

Solución de la causa raíz, limpieza de identidades, implementación de EDR/MFA donde falte, y un informe escrito que su junta directiva, su aseguradora y el regulador puedan leer.

El 32 % de los incidentes de ransomware comienzan con una vulnerabilidad explotada. La fase 4 cierra la puerta por la que entraron.
Lo que gestionamos

cada cepa tiene un
punto débil. Nosotros lo encontramos.

Nuestra biblioteca de investigación de descifradores y nuestra información de negociación se actualizan a partir de casos reales que resolvemos cada semana. Si hay una forma de recuperarse sin pagar, la encontramos primero.

FAMILIA // CENTRADA EN WINDOWS

LockBit • BlackCat • Play

  • Controlador de dominio y selección de objetivos de Veeam
  • Borrado de la copia de sombra mediante vssadmin/WMI
  • Exfiltración por etapas a través de MEGA/Rclone
  • Recuperación parcial de claves cuando sea aplicable
FAMILIA // HIPERVISOR

Akira • Royal • Rhysida

  • Parada y cifrado de ESXi en la capa VMFS
  • Ransomware ELF para Linux en dispositivos
  • Recuperación de volúmenes a nivel de almacén de datos
  • Auditoría de integridad del lado del hipervisor
FAMILIA // SOLO EXTORSIÓN

Cl0p • Karakurt • RansomHub

  • Puro robo de datos, sin cifrado
  • Supervisión y retirada de sitios de filtración
  • Coordinación de la divulgación legal
  • Comunicaciones con los operadores gestionadas por nosotros
Puente de respuesta

un analista ya está
mirando el reloj.

En el momento en que llamas, se activa un puente compartido con acciones con marca de tiempo, custodia de pruebas y un panel de gravedad en tiempo real. Tu aseguradora y tu equipo legal pueden unirse en modo de solo lectura.

00
horas
47
minutos
12
segundos
en directo
00:02analista-04se ha unido al puente
00:05 el hostdc01 aislado en el conmutador
00:11Intento de movimiento lateral bloqueado — 10.4.2.88 → 10.4.2.12
00:18instantánea de memoria asegurada — 4 hosts
00:26coincidenciade cepa: lockbit 3.x (87 %)
00:34Repositorio decopia de seguridadintacto — veeam01 sin modificar
00:41Borrador del plan de recuperación — a la espera de aprobación

Sin misterios. Sin silencios.

Cada incidente de PWN-ALL se gestiona en la misma plantilla de puente que tus reguladores y tu aseguradora cibernética ya aceptan. Ves lo mismo que nosotros. Aprobas cada acción destructiva. Nada se cifra, se elimina ni se paga sin tu autorización.

Tras la contención, te llevas un informe de la cadena de custodia, una cronología mapeada según MITRE ATT&CK y un plan de refuerzo de seguridad a 30/60/90 días —no un PDF lleno de capturas de pantalla.

Preguntas

que la gente
que la gente hace a las 3 de la madrugada.

¿Deberíamos pagar el rescate?

Casi nunca es la primera medida adecuada. Solo negociamos como último recurso mientras se evalúan las opciones de recuperación, y solo con autorización legal y de sanciones. En aproximadamente el 94 % de nuestros casos, es posible una recuperación total o parcial sin pago.

¿Cuánto tardan en ponerse en contacto con nosotros?

Nuestro SLA es de menos de 60 minutos desde la primera llamada hasta que un analista se conecta a una conferencia compartida con su equipo. Las instrucciones de contención suelen comenzar en los primeros 15 minutos, mientras se lleva a cabo el análisis del alcance en paralelo.

Ya lo hemos apagado todo. ¿Es eso malo?

No es lo ideal —la memoria volátil contiene claves, procesos inyectados y rastros del operador—, pero es recuperable. No reinicie nada hasta que estemos en línea. Contamos con procedimientos para la evaluación inicial en frío.

¿Trabajan con nuestra aseguradora cibernética?

Sí. PWN-ALL está diseñado para integrarse en paneles de respuesta a incidentes (IR) estándar. Proporcionamos a la aseguradora un registro de acciones con marca de tiempo, controles de costes y un informe final en el formato que aceptan la mayoría de las aseguradoras.

¿Qué pasa si los datos no solo se han cifrado, sino que también se han robado?

Analizamos la exfiltración por separado: qué se ha sustraído, de dónde y durante cuánto tiempo. A continuación, coordinamos la divulgación, los aspectos legales y —cuando sea apropiado— la monitorización del sitio de la filtración y las comunicaciones con los operadores.

¿Pueden prevenir el próximo?

Esa es la fase 4. Corrección de la causa raíz, higiene de identidades, implementación de EDR/MFA y monitorización continua, junto con VulnScan y ConnGuard para el perímetro.

24/7/365

No esperes a
el lunes por la mañana.

Cada hora que se retrasa, las copias de seguridad se borran, las pruebas caducan y los operadores se adentran más. PWN-ALL responde el mismo día, los fines de semana, los días festivos... al reloj no le importa, y a nosotros tampoco.

LLAMA AL +971 58 594 6337 → Consulta sobre contratos de retención
SIGNAL DISPONIBLE EN EL MISMO NÚMERO
El 50 % de los ataques siguen terminando en cifrado. No esperes a descubrir en qué mitad.