🧪 Ransomware DR-Drill: Simulacro de Incendio Digital en OneDrive y SharePoint 🔥

Hacemos simulacros de incendios en la oficina física, pero ¿cuándo fue la última vez que hiciste un simulacro de «incendio digital»? Un ataque de Ransomware no avisa. Cuando ocurre, no puedes estar leyendo manuales por primera vez.

Hoy vamos a diseñar y ejecutar un DR-Drill (Disaster Recovery Drill) real. Vamos a simular una infección masiva en un entorno controlado para probar si tus herramientas de Microsoft 365 funcionan y, lo más importante, si tu equipo sabe reaccionar.

Antes de empezar, repasemos qué nos salvará la vida en M365 (sin backups de terceros):

1. Versionado: SharePoint/OneDrive guarda por defecto 500 versiones. Si un archivo se cifra, es técnicamente una «nueva versión». La limpia sigue debajo.

2. Restauración Masiva (Files Restore): La «máquina del tiempo» oculta. Permite rebobinar una biblioteca entera a un punto exacto (ej: ayer a las 09:41 AM).

3. Alertas de Eliminación Masiva: El canario en la mina. M365 te avisa si alguien borra muchos archivos de golpe.

⚠️ IMPORTANTE: Realiza esto en una Biblioteca de SharePoint de prueba o una cuenta de OneDrive de test («SandBox»). No uses datos de producción críticos.

Fase 1: Preparación (Día D – 1 Hora)

1. Crea el Campo de Batalla: Crea una nueva Biblioteca de Documentos llamada «Simulacro_Ransom».

2. Genera «Rehenes»: Sube unos 50-100 archivos de prueba (Word, Excel, PDFs dummy).

3. Espera: Deja pasar al menos 1 hora para que la indexación y el versionado inicial se asienten.

Fase 2: El Ataque (Simulación) 🏴‍☠️

Vamos a actuar como el Ransomware. Necesitamos cifrar (modificar masivamente) y renombrar.

• Método Manual: Selecciona 20 archivos, ábrelos, borra el contenido, escribe «ENCRYPTED» y guárdalos. Luego cámbiales el nombre a archivo.docx.locked.

• Método Script (PowerShell): Si eres valiente, usa un script sencillo que renombre masivamente los archivos de esa biblioteca de prueba añadiendo una extensión .enc.

Fase 3: La Detección (¿Suenan las alarmas?) 🚨

El Ransomware real suele borrar el original y subir la copia cifrada, o modificar masivamente.

• Comprobación: Ve al Centro de Seguridad y Cumplimiento o revisa tu correo de administrador.

• ¿Recibiste la alerta? Deberías ver una alerta de «Actividad inusual de eliminación de archivos» o «Posible actividad de ransomware» (si tienes Defender for Cloud Apps o licencias E5). Si no llega en 30 min, tu sistema de alerta temprana ha fallado.

Fase 4: La Recuperación (El Contrataque) 🛡️

Ahora, recupera los datos sin pagar rescate.

1. Ve a la Biblioteca infectada: En SharePoint/OneDrive.

2. Engranaje ⚙️ > Restaurar esta biblioteca: (Esta opción a veces está algo escondida en «Más configuraciones de biblioteca» o en el menú principal de OneDrive).

3. Selecciona el Punto de Restauración: Verás un histograma de actividad. Busca el pico de actividad del «ataque».

4. Rebobina: Selecciona «Ayer» o «Personalizado» y elige el minuto exacto antes de que empezaras a renombrar los archivos.

5. Ejecuta: Mira cómo la barra de progreso deshace el desastre.

• La limitación de los 30 días: La función «Restaurar OneDrive» solo va 30 días atrás. Si el ataque fue durmiente y se activó hace 40 días, esta herramienta nativa no te sirve.

• El bloqueo de la Papelera: Si el ransomware es listo y vacía la papelera de reciclaje, ¿tienes activada la retención de litigios o un backup de terceros inmutable?

• Comunicación: Durante el drill, ¿sabías a quién llamar? ¿Tenías los teléfonos de soporte de Microsoft a mano?