Saltar al contenido
Ransomware Response · Respuesta a incidentes de ransomware
RRansomware
Response
incransom

incransom: cómo recuperar tus archivos y qué hacer

Publicado: 29 de junio de 2026· Última actualización: 29 de junio de 2026· 5 min de lectura

Sin descifrador gratuito conocido

No existe (todavía) una herramienta pública para descifrar esta familia. No pagues el rescate sin antes consultar con especialistas.

Esta guía es orientativa y se actualiza conforme surge nueva información. No garantiza la recuperación de archivos.

Resumen

INC Ransom es una operación de ransomware como servicio (RaaS) activa desde julio de 2023 que ataca de forma sistemática los sectores de salud, gobierno, educación y manufactura en Norteamérica y Europa [1]. Esta guía describe cómo identificar la infección, contener el incidente, preservar evidencia y evaluar las opciones realistas de recuperación. Importante: a la fecha no existe un descifrador gratuito conocido públicamente para INC Ransom.

TL;DR

  • No existe descifrador gratuito conocido para INC Ransom; desconfía de cualquier herramienta que prometa lo contrario [2].
  • Aísla de inmediato los equipos afectados de la red, pero no apagues los sistemas todavía (preserva memoria y evidencia volátil).
  • No pagues sin asesoría legal y de respuesta a incidentes; el pago no garantiza recuperación.
  • Preserva evidencia: notas de rescate, muestras de archivos cifrados, logs y artefactos forenses.
  • Restaura desde respaldos limpios y aislados verificados como no comprometidos.
  • Reporta el incidente a las autoridades competentes.
  • ¿Necesitas ayuda? Contáctanos: (800) 649-0625 · [email protected].

1. Qué es INC Ransom

INC Ransom es un grupo de ransomware como servicio (RaaS) que opera desde julio de 2023. Se caracteriza por una operación prolífica: tan solo en 2025 publicó más de 200 víctimas en su sitio de filtraciones, sin descartar ningún sector [1]. Sus objetivos preferentes son salud, gobierno, educación y manufactura en Norteamérica y Europa.

Como la mayoría de los grupos RaaS modernos, INC Ransom emplea la técnica de doble extorsión: cifra los archivos de la víctima y, además, exfiltra datos sensibles para presionar con su publicación si no se paga el rescate. El modelo de afiliados implica que las tácticas, técnicas y procedimientos (TTPs) pueden variar entre intrusiones, aunque suelen incluir acceso inicial por credenciales válidas o vulnerabilidades expuestas, movimiento lateral y despliegue del cifrador.

2. Cómo identificar la infección (notas, extensiones, IOCs)

Nota sobre datos verificados: a la fecha de elaboración de esta guía no contamos con nombres confirmados de la nota de rescate ni extensiones de cifrado específicas atribuibles de forma fiable a esta variante. Los señalamientos siguientes son indicadores generales para validar la atribución.

Señales típicas de una infección por INC Ransom o ransomware similar:

  • Archivos inaccesibles con extensiones añadidas o renombradas (n/d para esta variante; documenta la extensión que observes).
  • Nota de rescate en formato de texto (.txt) o HTML depositada en múltiples carpetas (nombre n/d; conserva el archivo exacto que encuentres).
  • Procesos anómalos de cifrado masivo y alto uso de CPU/disco.
  • Eliminación de instantáneas (Shadow Copies) y desactivación de respaldos.
  • Conexiones salientes inusuales previas al cifrado (posible exfiltración).
  • Cuentas o accesos remotos (RDP/VPN) sospechosos sin justificación.

Para una atribución confiable, no asumas la variante por la apariencia: recolecta muestras y consúltalas con un equipo de respuesta o un servicio de identificación como ID Ransomware [3].

3. Pasos inmediatos (contención, preservación de evidencia)

  1. Aísla los sistemas afectados: desconecta de la red (cable, Wi-Fi, segmentación), pero no apagues los equipos para preservar memoria volátil y artefactos.
  2. Desconecta respaldos y almacenamiento conectado que aún no esté cifrado, para evitar su compromiso.
  3. Revoca y rota credenciales privilegiadas y de servicios; deshabilita accesos remotos comprometidos.
  4. Preserva evidencia:
    • Captura imágenes forenses de disco y memoria si tienes capacidad.
    • Conserva la nota de rescate, muestras de archivos cifrados y un par de archivos originales (si existieran) para análisis.
    • Resguarda logs: firewall, EDR/antivirus, controladores de dominio, VPN, RDP y eventos de Windows.
  5. Activa tu plan de respuesta a incidentes y notifica a las partes interesadas (legal, dirección, seguros).
  6. Reporta a las autoridades competentes y, en caso de datos personales, evalúa obligaciones de notificación regulatoria.
  7. Documenta la línea de tiempo del incidente: primer indicio, alcance y sistemas afectados.

4. Opciones de recuperación

⚠️ No existe a la fecha un descifrador gratuito conocido públicamente para INC Ransom. Cualquier sitio o "herramienta" que afirme descifrar gratis tus archivos de esta variante debe tratarse con extrema sospecha: puede ser fraude o malware adicional [2].

Opciones realistas:

  • Restauración desde respaldos: la vía más confiable. Usa respaldos offline o inmutables verificados como no comprometidos. Antes de restaurar, asegúrate de haber erradicado al atacante de la red para evitar recifrado.
  • Reconstrucción de sistemas: reinstala desde imágenes limpias y aplica parches antes de reconectar.
  • Conservar copias cifradas: si no tienes respaldo, conserva los datos cifrados. En el futuro podría aparecer un descifrador (por incautación de claves por parte de fuerzas del orden o errores criptográficos del grupo). Vigila fuentes confiables como No More Ransom [2].
  • Sobre el pago del rescate: el pago no garantiza la recuperación, puede financiar más delitos y, en algunas jurisdicciones, implicar riesgos legales. Tómalo solo tras asesoría legal y de respuesta a incidentes, nunca como primer recurso.

Advertencia sobre herramientas no verificadas: descarga utilidades únicamente de fuentes oficiales reconocidas (No More Ransom, CISA, proveedores de seguridad establecidos). Evita ejecutables de foros, mensajería o correos no solicitados.

5. Prevención y endurecimiento

  • Respaldos 3-2-1 con al menos una copia offline/inmutable; prueba restauraciones periódicamente.
  • MFA en VPN, RDP, correo y accesos privilegiados; elimina exposición directa de RDP a Internet [4].
  • Parcheo prioritario de servicios expuestos (VPN, gateways, sistemas perimetrales).
  • EDR/antivirus con detección de comportamiento y respuesta administrada.
  • Segmentación de red y principio de mínimo privilegio; cuentas administrativas separadas.
  • Monitoreo de exfiltración y alertas sobre transferencias de datos anómalas.
  • Plan de respuesta a incidentes documentado y ejercitado; contactos de emergencia listos.
  • Concientización del personal contra phishing e ingeniería social.

Advertencias honestas (limitaciones)

  • No hay descifrador gratuito conocido para INC Ransom a la fecha; esta es la realidad y no debe ocultarse.
  • Los nombres de nota de rescate y extensiones no están confirmados en los datos verificados disponibles (n/d); no inventamos indicadores.
  • Las TTPs varían entre afiliados RaaS; la atribución requiere análisis caso por caso.
  • Esta guía es informativa y no sustituye una investigación forense profesional.

📞 ¿Necesitas ayuda con un incidente de INC Ransom? Contáctanos: (800) 649-0625 o [email protected]. Podemos apoyarte con contención, análisis y estrategia de recuperación.

Referencias

[1] Ransomware.live, "INC Ransom, Group Profile," ransomware.live. [En línea]. Disponible en: https://www.ransomware.live/

[2] No More Ransom Project, "Decryption Tools" y "Prevention Advice," nomoreransom.org. [En línea]. Disponible en: https://www.nomoreransom.org/

[3] ID Ransomware, "Identify your ransomware," id-ransomware.malwarehunterteam.com. [En línea]. Disponible en: https://id-ransomware.malwarehunterteam.com/

[4] Cybersecurity and Infrastructure Security Agency (CISA), "#StopRansomware Guide," cisa.gov. [En línea]. Disponible en: https://www.cisa.gov/stopransomware

Actualizamos esta guía conforme surge nueva información.