Una empresa italiana especializada en consultoría en seguridad laboral y en programas de formación y certificación obligatoria recurrió a Digital Recovery tras sufrir un grave ataque de ransomware Akira. El incidente se identificó un lunes por la mañana, cuando el equipo regresó a la oficina y encontró todo el entorno crítico inaccesible.
El entorno VMware estaba completamente indisponible, las carpetas almacenadas en el NAS habían sido cifradas y todos los sistemas responsables de la formación, las certificaciones y la documentación de los clientes estaban fuera de servicio. En la práctica, la operación de la empresa había quedado totalmente paralizada.
El primer contacto fue realizado por el administrador de TI, quien mostraba una gran preocupación. Había pasado todo el fin de semana intentando comprender el origen y el alcance del ataque, pero al regresar a la oficina confirmó el peor escenario posible: todos los sistemas críticos estaban cifrados.
Según el responsable técnico, la empresa dependía directamente de estos datos para mantener el cumplimiento legal de sus clientes. La pérdida de los registros de formación y certificaciones haría imposible la continuidad de las operaciones, además de generar riesgos contractuales y legales inmediatos.
A urgência do caso era evidente desde o primeiro contato.
Evaluación Técnica Inicial
Durante el análisis técnico inicial, el equipo de Digital Recovery identificó que el entorno estaba compuesto por una infraestructura virtualizada en VMware, diversos archivos VMDK cifrados por el ransomware Akira y un NAS utilizado tanto para almacenamiento como para copias de seguridad.
El Akira es un ransomware conocido por adoptar estrategias agresivas, incluida la corrupción deliberada de estructuras de copia de seguridad, con el objetivo de eliminar alternativas de recuperación y forzar el pago del rescate. Este comportamiento aumentaba significativamente la complejidad del escenario y reforzaba el temor de la empresa de no poder recuperar sus datos por medios convencionales.
Tras el análisis detallado realizado por los ingenieros de Digital Recovery, fue posible identificar dos factores críticos que hicieron viable la recuperación. Los snapshots existentes en el NAS contenían datos técnicamente recuperables y los encabezados esenciales de los archivos VMDK no habían sido destruidos durante el proceso de cifrado.
Con base en estas constataciones, se definió una estrategia de recuperación en múltiples capas. El proceso implicó la reconstrucción estructural de los archivos VMDK, lo que permitió restaurar la integridad lógica de los discos virtuales. En paralelo, los snapshots del NAS fueron extraídos directamente, sorteando los mecanismos tradicionales comprometidos por el ataque.
A continuación, todos los servidores fueron reconstruidos de forma individual, con validación completa de los sistemas operativos, aplicaciones y servicios. Por último, las plataformas de formación y certificación, así como toda la documentación de los clientes, fueron restauradas y probadas para garantizar consistencia, integridad y fiabilidad operativa.
Todo el trabajo fue realizado con un riguroso control técnico y forense, garantizando la trazabilidad, la seguridad y la preservación de los datos recuperados.
Resultado Final
El proyecto se completó con la recuperación total del entorno. Todos los servidores y documentos fueron restaurados con éxito, así como las plataformas de formación y certificación utilizadas por la empresa. No fue necesario realizar ningún pago de rescate y no hubo ninguna interrupción relacionada con los requisitos de cumplimiento normativo o contractual.
La empresa italiana logró retomar plenamente sus operaciones, preservando su continuidad, la confianza de sus clientes y su reputación en el mercado.
Este caso demuestra que, incluso frente a un ransomware altamente destructivo como Akira, un enfoque técnico especializado, junto con ingeniería avanzada de recuperación de datos, puede evitar pérdidas irreversibles y eliminar la necesidad de negociar con criminales.
Digital Recovery refuerza, con este proyecto, su posición como una empresa especializada en la recuperación de entornos virtualizados cifrados por ransomware, actuando de forma técnica, estratégica e independiente, siempre con el foco en la restauración completa de los datos y en la preservación de la integridad operativa de las empresas afectadas.
