¿Qué hago si mi empresa fue hackeada o tiene un ransomware?

Contactá inmediatamente al equipo de ROISA TECH al +549-11-5040-3810. No apagues los equipos afectados ni borres archivos. Nuestro equipo de respuesta a incidentes está disponible 24/7 para contener el ataque y minimizar el daño.

¿Pueden recuperar datos cifrados por ransomware?

En muchos casos sí es posible recuperar datos sin pagar el rescate, dependiendo del tipo de ransomware y el estado de los backups. ROISA TECH realiza análisis forense para determinar el vector de ataque y las posibilidades de recuperación.

¿Cuánto tiempo demora la respuesta a un incidente?

El tiempo de respuesta inicial es de menos de 2 horas para clientes con contrato activo. Para nuevas organizaciones, coordinamos el primer contacto en menos de 4 horas. La duración total del proceso forense y recuperación varía según la complejidad del incidente.

¿Qué es el análisis forense digital?

El análisis forense digital es la investigación técnica de un ciberataque para determinar cómo ocurrió, qué datos fueron comprometidos y qué acciones tomar. ROISA TECH entrega un informe forense detallado con evidencias para uso legal si fuera necesario.

Respuesta a Incidentes Argentina | Forense Digital

Las 6 etapas del proceso

Preparación

Definición de roles, responsabilidades y canales de comunicación. Plan personalizado para tu infraestructura.

Identificación

Detección y clasificación del incidente. Determinación del alcance, vectores de ataque y activos comprometidos.

Contención

Acciones inmediatas para detener la propagación. Aislamiento de sistemas afectados preservando evidencia forense.

Erradicación

Eliminación del malware, backdoors y persistencia del atacante. Hardening de sistemas comprometidos.

Recuperación

Restauración controlada de servicios. Validación de integridad y retorno a operación normal.

Lecciones aprendidas

Análisis post-incidente, informe ejecutivo y mejoras al plan para fortalecer la postura de seguridad.

Servicio incluido

Fase 1 — Plan & Definición ~40 horas de especialista. Relevamiento de infraestructura, workshops de roles y especificación de controles técnicos.

Fase 2 — Tabletop Exercise Simulación ciber táctica (1 semana post-entrega). Evaluación de la respuesta organizacional ante escenarios reales.

Informe ejecutivo + técnico Documentación completa del incidente, hallazgos forenses y recomendaciones de mejora.

SKUSRV-CIB-PRI · Cobertura6 etapas de gestión

Activar plan IR →

Caso Real · 2025 · Confidencial

Empresa química.
3 meses sin ser detectado.

Sector químico · Buenos Aires, Argentina · Servicio: Análisis Forense + Respuesta a Incidentes

El punto de partida

El 19 de marzo de 2025, una empresa del sector químico encontró sus sistemas cifrados y sus operaciones completamente paralizadas. La dirección desconocía cómo habían ingresado y qué tan profundo había llegado el atacante.

Nos convocaron con un objetivo concreto: identificar el vector de ataque.

Vector de ataque

El análisis forense confirmó que la intrusión inicial ocurrió el 7 de diciembre de 2024 — más de 3 meses antes de que el incidente fuera detectado.

El punto de entrada fue el firewall FortiGate de la organización, explotado mediante CVE-2024-55591: una vulnerabilidad zero-day con puntaje CVSS 9.8 que permitía obtener acceso de super-administrador de forma remota, sin credenciales y sin que el 2FA pudiera bloquearlo.

Durante esos 3 meses los atacantes operaron en silencio:

→ Crearon cuentas de administrador ocultas con nombres aleatorios
→ Modificaron reglas de VPN y firewall para mantener acceso permanente
→ Eliminaron logs del sistema para obstaculizar el análisis forense
→ Comprometieron toda la infraestructura: Hyper-V, servidores, storage y cintas de backup
→ Desplegaron LockBit Black, cifrando la totalidad de los sistemas incluidos los backups

Respuesta — Mitigando el compromiso

Con el vector identificado, el equipo ejecutó la contención y remediación en simultáneo. Cada acción fue ejecutada en orden de criticidad: primero cortar el acceso activo del atacante, luego limpiar la persistencia, finalmente restablecer operaciones.

Acción	Fecha
Aislamiento de interfaz de administración de internet	20/03 · 11:00 hs
Aplicación de patch FortiOS 7.0.17	20/03 · 16:05 hs
Eliminación de cuentas maliciosas + reset de credenciales	20/03
Auditoría forense de Hyper-V, Active Directory y CCTV	20–24/03
Levantamiento de infraestructura y revisión general	24/03

Resultado

3 días

RTO operativo

Pago de rescate

CVE

Vector identificado y documentado

La detección tardía — producto de la ausencia de monitoreo continuo — fue el factor que amplificó el daño: lo que podría haberse contenido en horas se convirtió en un incidente de semanas con impacto operativo y económico significativo.

Los datos del cliente son estrictamente confidenciales. CVE-2024-55591 fue divulgado públicamente por Fortinet en enero de 2025. Referencia técnica →

Respuesta a Incidentes