Ransomware 3AM: Amenaza Silenciosa para Empresas Colombianas

Imagínate esto: un lunes cualquiera, la bandeja de entrada del gerente de una PyME colombiana explota con correos urgentes. Entre ellos, uno parece venir del área técnica: “Por favor, comparte acceso rápido”. Presionado por el volumen y el ritmo, el gerente accede sin pensar. Lo que no sabe es que acaba de activar uno de los ataques más sofisticados del momento: el ransomware 3AM. Este tipo de ataque combina ingeniería social, suplantación telefónica y tecnología virtual para infiltrarse sin levantar alarmas. Y lo más grave: muchas empresas en Colombia no están preparadas para enfrentarlo. Desde TODO EN UNO.NET te explicamos paso a paso cómo opera este ransomware, cómo detectarlo y qué puedes hacer para evitar que tu empresa se convierta en la próxima víctima. lee nuestro blog estoy seguro que te ayudará

¿Qué es el ransomware 3AM?

El ransomware 3AM es una variante emergente de malware que ha sido identificada por Sophos y otros expertos en ciberseguridad. A diferencia de otros ataques más masivos y ruidosos, 3AM se caracteriza por su discreción, precisión y enfoque personalizado. Su nombre alude al momento de mayor vulnerabilidad operativa: la madrugada.

La técnica consiste en usar ingeniería social avanzada, suplantación de identidad y herramientas legítimas para acceder a los sistemas de una empresa sin activar alarmas tempranas.

Las 5 fases del ataque

Fase 1: Reconocimiento

Los atacantes analizan la estructura de la empresa, perfiles de empleados, jerarquías internas y flujos de comunicación. Estos datos son usados para crear correos y llamadas falsas altamente convincentes.

Normativa aplicable: Ley 1581 de 2012. Cualquier mal manejo de datos personales (interno o externo) puede derivar en sanciones por parte de la Superintendencia de Industria y Comercio.

Fase 2: Email Bombing

Inundan la bandeja de entrada del empleado con mensajes simultáneos. Entre ellos, uno malicioso se camufla como solicitud interna urgente.

Consecuencia: El usuario baja la guardia, responde o hace clic en un enlace falso, activando la siguiente fase.

Fase 3: Vishing (voice phishing)

El atacante llama, simulando ser del equipo de soporte. Con un número “spoofeado” y tono de confianza, guía al empleado para ejecutar acciones técnicas.

Fase 4: Acceso remoto + despliegue de QDoor

Usan Microsoft Quick Assist o RDP para obtener control del equipo. Instalan una máquina virtual con el troyano QDoor, diseñado para evitar detecciones y permanecer activo en segundo plano.

Fase 5: Exfiltración y cifrado

Se extraen datos sensibles (financieros, comerciales, personales), que son enviados a servidores remotos. Luego, se cifra toda la información del dispositivo. El rescate se exige en criptomonedas.

Por qué las empresas colombianas son un blanco fácil

1. Desconocimiento de ingeniería social: La mayoría de empresas no capacita a su personal en cómo identificar ataques modernos.
2. Herramientas con permisos laxos: Quick Assist y RDP suelen estar activos sin monitoreo ni autenticación de múltiples factores.
3. Falsa percepción de cumplimiento: Muchas empresas creen que cumplir con la Ley 1581 implica solo políticas, pero no adoptan medidas técnicas reales.
4. Ausencia de planes de contingencia: Frente a un ataque, no saben a quién llamar, qué hacer o cómo restaurar la operación.

¿Qué hacer? Estrategia de protección funcional de TODO EN UNO.NET

Desde 1995, TODO EN UNO.NET ha enfrentado ciberataques reales en empresas reales. Por eso, proponemos una estrategia integral de ciber-resiliencia funcional, basada en buenas prácticas, normativa colombiana y herramientas accesibles para PYMEs:

Capacitación continua del personal

• Simulacros de phishing y llamadas fraudulentas.

• Recompensas para empleados que detectan amenazas.

• Manuales prácticos y boletines mensuales.

Autenticación multifactor (MFA)

• Aplicación obligatoria en accesos a ERP, CRM, correo, VPN, RDP.

• Uso de tokens físicos o móviles.

Restricción y monitoreo de acceso remoto

• Solo permitir Quick Assist bajo ticket validado.

• Registro de cada sesión con video y logs.

• Revisión semanal de accesos remotos.

Monitoreo de red y detección temprana

• IDS/IPS como Suricata y Snort.

• SIEMs con alertas ante conexiones no autorizadas.

• Análisis de comportamiento del tráfico interno.

Actualización y parcheo obligatorio

• Plan de actualización mensual (sistemas y apps).

• Escaneo de vulnerabilidades con OpenVAS o Nexpose.

Backups seguros y recuperación

• Aplicación de la estrategia 3-2-1:
  3 copias, 2 formatos, 1 ubicación offline.

• Validación de restauración cada trimestre.

Planes de respuesta y continuidad

• Definición de roles, protocolos y tiempos.

• Comunicación con SIC en caso de brechas.

• Asistencia legal y técnica.

Normatividad aplicable en Colombia

Ley 1581 de 2012

Obliga a proteger datos personales y reportar violaciones.

Guías SIC de Gestión de Incidentes

Exigen reportar brechas de seguridad en máximo 15 días.

ISO 27001 (referente internacional)

Integra políticas y medidas técnicas exigidas por entes de control.

---

Casos reales en empresas colombianas

Empresa de servicios en Medellín

Ataque de QDoor detectado por configuracion implementada por TODO EN UNO.NET. Se evitó el cifrado de 2 TB de datos.

Resultado: restauración inmediata sin pago de rescate.

Consultora en Bogotá

Correo de phishing suplantó al gerente general. Con autenticación MFA y entrenamiento previo, el intento fue bloqueado.

Resultado: cultura digital fortalecida.

👉 También te puede interesar: Videovigilancia con Inteligencia Artificial y Nube: El Futuro de la Seguridad en Colombia

https://todoenunonet.blogspot.com/2025/06/videovigilancia-con-inteligencia.html

👉 También te puede interesar: Gestión Normativa y Protección de Datos en Empresas

https://todoenunonet-habeasdata.blogspot.com/2025/06/gestion-normativa-y-proteccion-de.html

📚 Recomendado desde nuestro blog aliado: Colombia y la IA: Preparados para liderar la transformación

https://todoenunonet.blogspot.com/2025/07/colombia-y-la-ia-preparados-para.html

📚 Recomendado desde nuestro blog aliado: IA Empresarial: La Brecha que PYMEs en Colombia Deben Cerrar

https://todoenunonet.blogspot.com/2025/07/ia-empresarial-la-brecha-que-pymes-en.html

En TODO EN UNO.NET sabemos que protegerse de amenazas como 3AM no se trata de instalar un antivirus y esperar lo mejor. Se trata de crear una cultura de prevención, una arquitectura tecnológica funcional y procesos definidos para actuar antes, durante y después de cualquier incidente. Nuestra experiencia con empresas colombianas de todos los tamaños nos permite anticiparnos, implementar medidas prácticas y acompañar a cada cliente desde la prevención hasta la recuperación.

¿Listo para transformar tu empresa con tecnología funcional?

📅 Agenda: https://outlook.office365.com/book/TodoEnUnoNET1@todoenuno.net.co/

📹 YouTube: http://www.youtube.com/@TodoEnUnoNET

🐦 Twitter (X): https://x.com/todoenunonet

📘 Facebook: https://www.facebook.com/todoenuno.net.9

📸 Instagram: https://www.instagram.com/todoenunonet/

👥 LinkedIn: https://www.linkedin.com/company/todo-en-uno-net-s-a-s/

💬 WhatsApp: https://chat.whatsapp.com/Jp0sFfqtiy8Edg2jbAdasi

📢 Telegram: https://t.me/+NXPQCwc1yJhmMGNh

🌐 Web: https://todoenuno.net.co/

📲 WhatsApp directo: https://api.whatsapp.com/send?phone=573218653750

🧠 Blog central: https://todoenunonet.blogspot.com/

“Prevenir un ataque cibernético no es suerte, es estrategia bien aplicada.”

Julio César Moreno Duque

Fundador – Consultor Senior en Tecnología y Transformación Empresarial

TODO EN UNO.NET