Con cerca de cien usuarios y una operación altamente dependiente de la continuidad tecnológica, Fosko S.A., fabricante nacional de envases plásticos, enfrentó un incidente de ransomware que comprometió equipos de producción y archivos compartidos. Ante este escenario, Egs-Latam activó su respuesta inmediata, contuvo el ataque y fortaleció la infraestructura para prevenir futuras reincidencias.
En la industria de fabricación y comercialización de envases plásticos, la ciberseguridad no suele estar en el centro de la conversación. A diferencia de sectores como la banca o el retail financiero, muchas empresas productivas priorizan la continuidad operacional y la inversión en maquinaria por sobre la modernización de su infraestructura tecnológica.
Ese era precisamente el escenario de esta compañía: años operando bajo el mismo esquema, infraestructura mínima, servidores antiguos – incluidos entornos productivos con Windows Server 2008 – firewall con configuración básica y soluciones de protección endpoint en su versión más elemental.
“Durante años la inversión tecnológica respondió a lo justo y necesario, bajo la premisa de que nunca habíamos sufrido un incidente grave. Operábamos con servidores y licencias antiguas, configuraciones básicas y sin entornos de prueba para validar actualizaciones. Mientras todo funcionara, no se veía la urgencia de invertir en seguridad, aunque el riesgo siempre estuvo presente”, explica Jonathan Díaz, Analista de Sistemas.
Díaz comenta que cuando asumió el área de TI, tampoco existían informes formales sobre el estado de los servidores ni una trazabilidad clara de configuraciones, lo que obligó a reconstruir el mapa tecnológico desde cero.
A ello se sumaba otra brecha habitual en empresas del sector: la ausencia de entornos de desarrollo para probar actualizaciones sin afectar la operación productiva. En este caso, muchas actualizaciones debían evaluarse directamente sobre infraestructura productiva, aumentando el riesgo.
“Cuando evaluamos la renovación de servidores, switches y firewall, buscamos proveedores que no solo cotizaran lo básico, sino que proyectaran el crecimiento futuro. No queríamos que, si aumentaba la red o cambiábamos los switches por equipos más rápidos, el firewall se transformara en un cuello de botella”, explica el profesional.
Acompañamiento técnico extendido en un momento crítico
La amenaza que, durante años parecía lejana, finalmente se concretó. El incidente se detectó cuando un usuario de bodega no pudo acceder a archivos clave para la facturación. Tras revisar la alerta, el responsable de TI confirmó la presencia del ransomware y aisló de inmediato los equipos comprometidos para evitar su propagación.
El malware cifró por completo un equipo y alcanzó una carpeta compartida en un servidor de archivos, propagándose a otro computador con acceso a la misma ruta. En total, dos estaciones de trabajo quedaron encriptadas y un servidor fue afectado de forma parcial. “El ransomware busca privilegios para moverse lateralmente. Detectó una carpeta con permisos amplios y desde ahí se expandió, pero logramos identificar el patrón a tiempo”, explica el analista de TI.
Dada la limitada visibilidad sobre la infraestructura y la incertidumbre respecto al tiempo de permanencia del atacante en la red, se activó de inmediato el servicio especializado de Egs-Latam, que, en ese momento crítico, su rol fue mucho más allá de lo estrictamente estipulado por contrato.
Pese a ocurrir en vísperas de Navidad, el equipo de Egs-Latam mantuvo un acompañamiento técnico extendido, cercano y continuo, actuando en la práctica como una extensión del equipo interno de TI de Fosko. La respuesta incluyó análisis forense detallado, revisión exhaustiva de logs, coordinación permanente con el área interna, activación de capacidades avanzadas de detección y respuesta, cambio masivo de credenciales y monitoreo reforzado para descartar movimientos laterales adicionales.
“Lo más complejo era no saber si el atacante llevaba semanas dentro”, asegura Díaz. Asimismo, agrega: “La asesoría y el acompañamiento técnico fueron fundamentales para tomar decisiones con mayor certeza”.
Quienes participaron directamente en la contención del incidente explican que, en situaciones de este tipo, la rapidez en la respuesta y la capacidad de análisis son determinantes para evitar que el impacto escale a niveles críticos para la operación.
“En una incidencia de ransomware, el tiempo y la visibilidad son los factores más críticos. Al activarse la alerta en Fosko, nuestro equipo no se limitó al alcance contractual; dimos respuesta inmediata, dedicando más de 130 horas de trabajo especializado para contener la propagación, erradicar la amenaza y recuperar de forma segura los servicios afectados. Actuamos como una extensión del equipo de TI, priorizando la recuperación de sus sistemas críticos y el fortalecimiento de su arquitectura para asegurar que, tras la crisis, la compañía quedara en una posición de madurez defensiva superior”, comentan desde el Team de Servicios de Egs-Latam.
El análisis forense confirmó que el ataque se originó en un equipo de bodega y que el objetivo principal era acceder a información financiera y de clientes. Si bien parte de la infraestructura criminal asociada a esta variante fue desarticulada durante 2024, el malware continuaba operando, lo que explica su persistencia en el ecosistema delictual.
Frente a este escenario, la compañía decidió no pagar rescate y priorizar la restauración segura de sus respaldos. Gracias a la detección temprana, la coordinación técnica especializada y las acciones de fortalecimiento posteriores, Fosko logró mantener su operación sin una paralización total. Aunque se registró una afectación administrativa cercana a ocho horas, la producción no se detuvo. Gracias a este trabajo conjunto, la compañía aumentó significativamente su visibilidad sobre la red y cerró brechas acumuladas por años.
Más allá del incidente, el caso marcó un punto de inflexión para la compañía. La experiencia evidenció que la ciberseguridad no puede abordarse solo desde la reacción, sino como un componente estructural de la continuidad operativa. En ese proceso, el acompañamiento experto y comprometido de Egs-Latam fue clave para transformar una crisis en una oportunidad de madurez tecnológica y organizacional.