¿Cuánto cuesta responder a un incidente de ransomware o filtración?
Respuesta directa
Hay dos precios a comparar. El costo de RESPONDER a un incidente ya en curso (de emergencia, sin contrato previo) suele quedar entre R$ 30 mil y R$ 80 mil para un caso pequeño y simple, y fácilmente supera los R$ 150 mil a R$ 500 mil+ en un ransomware con paralización, peritaje forense y notificación a la ANPD. El costo de TENER la respuesta a incidentes lista —un retainer/guardia 24x7 contratado antes— suele quedar entre R$ 2 mil y R$ 15 mil por mes (tamaño pequeño/mediano), con horas de peritaje a tarifa reducida cuando el incidente ocurre. El punto central: responder en la emergencia, sin contrato, sale de 2 a 4 veces más caro por hora y tarda más en empezar; y es justamente la demora la que multiplica el perjuicio. Según IBM, el costo promedio de una violación de datos en Brasil fue de R$ 6,75 millones (2024) y R$ 7,19 millones (2025); tener un plan de respuesta probado es el factor aislado que más reduce esa cuenta. El rango exacto depende del alcance: tamaño del entorno, si hay cifrado/extorsión, volumen de datos filtrados y obligación de notificar a los titulares. Abajo aprendes a dimensionar tu caso y a contratar sin que te exploten en el peor día de la empresa.
En resumen
- ›El costo de un incidente no es el rescate: es la paralización. IBM señala que el downtime no planificado por ransomware puede llegar a US$ 125 mil por hora, y el tiempo promedio para identificar y contener una violación fue de 258 días (2024). Es el reloj, no el pago al criminal, lo que define la factura.
- ›La respuesta de emergencia (sin contrato) cuesta de 2 a 4 veces más por hora que la respuesta con retainer. Mercado internacional de referencia: hora de emergencia US$ 800–1.500 vs. hora contratada US$ 175–400. En Brasil, la relación se mantiene: pagas la prima de pánico más el tiempo perdido buscando proveedor con la empresa detenida.
- ›Tener un plan de respuesta probado es el mayor reductor de costo aislado. Según IBM, las empresas con equipo de IR y plan probado tuvieron un costo promedio de violación 58% menor (US$ 3,26 mi vs. US$ 5,29 mi); el plan probado por sí solo reduce, en promedio, US$ 2,66 millones de la cuenta.
- ›Una filtración activa la LGPD. La Resolución CD/ANPD n.º 15/2024 fija un plazo de comunicación inicial a la ANPD cuando hay riesgo/daño relevante; quien lo descubre y no notifica agrava la dosimetría. Las multas llegan hasta el 2% de la facturación, limitadas a R$ 50 millones por infracción (art. 52 de la LGPD).
- ›El retainer/guardia 24x7 es el producto que transforma un costo catastrófico e imprevisible en un costo mensual previsible, y garantiza un SLA de inicio (horas, no días) en el momento en que cada hora importa.
- ›Pagar el rescate rara vez resuelve: el 63% de las organizaciones optó por no pagar (IBM, 2025). Aun pagando, todavía tienes peritaje, restauración, notificación y pérdida de clientes. El rescate es la parte menor de la cuenta.
Qué estás comprando realmente: responder al incidente vs. tener la respuesta lista
Antes de cualquier número, hay que separar dos preguntas que suelen confundirse. La primera es: cuánto cuesta RESPONDER cuando el incidente ya está ocurriendo —la empresa detenida, los archivos cifrados, el aviso de extorsión en la pantalla—. La segunda es: cuánto cuesta TENER la respuesta a incidentes contratada y lista antes de que algo salga mal. Son productos distintos, con lógicas de precio opuestas, y quien compra sin entender esa diferencia casi siempre paga el precio peor.
Responder en la emergencia es como llamar a una grúa en la carretera a las 3 de la madrugada con el auto en llamas: no estás negociando, estás aceptando. El proveedor sabe que tu empresa está detenida, que cada hora cuesta caro y que no tienes tiempo de cotizar tres propuestas. Ese es el escenario de mayor asimetría de poder posible en una relación comercial, y es exactamente en él donde entra muchas empresas, porque nunca contrataron respuesta a incidentes antes de necesitarla. El resultado es una tarifa horaria de pánico, un contrato improvisado y el inicio del trabajo retrasado en horas o días mientras se firma papel y se aprueba presupuesto.
Tener la respuesta lista es lo opuesto. Es contratar, en tiempo de paz, un equipo de respuesta a incidentes (en inglés, Incident Response o IR) que queda disponible 24x7 bajo un retainer, una especie de plan de guardia. Pagas una mensualidad o anualidad para garantizar tres cosas: un SLA de inicio (el equipo empieza a actuar en horas, no en días), una tarifa horaria de peritaje ya negociada y muy por debajo de la de emergencia, y un equipo que ya conoce mínimamente tu entorno. Cuando el incidente llega, no hay cotización, no hay pánico de proveedor: hay un teléfono que llamas y gente que empieza a trabajar.
Decripte estructura esto en dos planes complementarios. El plan de Respuesta a Incidentes (IR 24x7) es la guardia que garantiza inicio rápido y tarifa de peritaje contratada: es el producto primario de esta decisión. El plan de SOC 24x7 actúa antes: es la detección continua que ve el ataque temprano y reduce el tamaño del estrago, acortando justamente los 258 días promedio que IBM mide entre el inicio de la violación y la contención. Los dos juntos atacan la variable que más pesa en la cuenta: el tiempo. Si todavía no sabes dónde estás expuesto, el diagnóstico gratuito en el Intelligence Center mapea el riesgo actual antes de cualquier contratación.
El costo real de un incidente: por qué el rescate es la menor parte de la cuenta
La pregunta 'cuánto cuesta un ataque' rara vez tiene como respuesta el valor del rescate. El rescate es la parte más visible y, con frecuencia, la menor. El costo de un incidente es una suma de componentes que pocos ven hasta pasar por uno. El mayor de ellos es la paralización. Cuando el ERP, el e-commerce, el sistema de emisión de factura o la operación entera quedan fuera de servicio, cada hora tiene un precio: en ingresos no facturados, en equipo ocioso, en clientes que se van. IBM estima que el downtime no planificado derivado de ransomware puede llegar a US$ 125 mil por hora en organizaciones grandes. Incluso en una empresa de tamaño mediano brasileña, días de operación detenida fácilmente significan decenas a cientos de miles de reales.
El segundo componente es el peritaje forense y la contención. Responder a un ransomware serio exige investigar cómo entró el atacante (el vector inicial), qué accedió y movió (movimiento lateral), si hubo exfiltración de datos antes del cifrado (la llamada doble extorsión), y luego erradicar su presencia y restaurar con seguridad. Ese trabajo técnico se mide en horas de especialista, y la referencia de mercado es clara: IBM señala que el ransomware suele exigir, como mínimo, del orden de 150 horas de respuesta para ser plenamente remediado. La tarifa horaria de esas horas es lo que más varía entre el escenario de emergencia y el contratado.
El tercer componente es jurídico y regulatorio. Si datos personales se filtraron, la LGPD entra en escena. Hay costo de asesoría jurídica especializada, de notificación a la ANPD dentro del plazo de la Resolución CD/ANPD n.º 15/2024, de comunicación a los titulares afectados y, potencialmente, de sanción administrativa. El cuarto y más duradero es la pérdida de negocio: clientes que cancelan, contratos que no se renuevan, reputación que cuesta años recuperar. IBM mide ese 'lost business' como una de las mayores porciones del costo total de la violación, y es la que no aparece en la factura, pero sí en el balance del año siguiente.
Sumando todo, se llega a los números de IBM: costo promedio de una violación de datos en Brasil de R$ 6,75 millones en 2024 y R$ 7,19 millones en 2025, con sectores regulados aún más expuestos (salud en R$ 11,43 mi, finanzas en R$ 8,92 mi). Ese es el tamaño del problema que la respuesta a incidentes existe para contener. Y por eso la conversación sobre el precio de IR nunca debe empezar por el costo del servicio: debe empezar por el costo de no tener el servicio.
El peor momento para contratar la respuesta a incidentes es durante el incidente: con la empresa detenida y el reloj corriendo, pagas la tarifa de pánico y encima esperas a que el equipo llegue. Invierte la lógica mientras estás en paz: empieza por el diagnóstico gratuito en el Intelligence Center para ver dónde estás expuesto, activa el SOC 24x7 para detectar el ataque temprano y estructura la guardia con el plan de Respuesta a Incidentes 24x7. Es la diferencia entre un costo mensual previsible y una cuenta de seis dígitos en el peor día de tu empresa.
Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.
Rangos de precio reales en Brasil: emergencia, retainer y peritaje por hora
Siendo honestos sobre los números: no existe un precio único para la respuesta a incidentes, y cualquier proveedor que fije un valor cerrado sin conocer tu entorno está estimando al azar o escondiendo algo. El precio es función del alcance: cuántos servidores y endpoints, si hubo cifrado o solo filtración, volumen y sensibilidad de los datos, urgencia, y si tienes o no backups íntegros. Lo que sí se puede hacer con honestidad es dar rangos de mercado y enseñarte a posicionarte dentro de ellos.
En el modelo de EMERGENCIA (llamas sin contrato, con el incidente en curso), el trabajo se cobra por hora o por paquete de horas, a tarifas de pánico. La referencia internacional es de US$ 800 a US$ 1.500 por hora de especialista sénior de IR. En el mercado brasileño, un proyecto de emergencia pequeño y bien delimitado rara vez sale por debajo de R$ 30–80 mil; un ransomware de tamaño mediano con peritaje, restauración y notificación típicamente cae en el rango de R$ 150 mil a R$ 500 mil o más, dependiendo de los días de paralización y las horas de peritaje. Suma a eso el costo invisible: el tiempo hasta que el equipo empieza, porque sin contrato gastas horas críticas cotizando, aprobando presupuesto y firmando papel con la empresa detenida.
En el modelo RETAINER (contratas antes, en tiempo de paz), hay dos componentes. Una mensualidad/anualidad de disponibilidad —que en el mercado internacional va de US$ 10 mil a US$ 100 mil por año según el tamaño, y que en Brasil, para pequeñas y medianas empresas, suele quedar en el rango de R$ 2 mil a R$ 15 mil por mes— y una tarifa horaria de peritaje ya contratada y descontada para cuando el incidente ocurra (la referencia internacional de hora contratada es US$ 175–400, contra los US$ 800–1.500 de emergencia). Muchos retainers además convierten las horas no usadas en assessment, simulacros y hardening, de modo que el dinero no se desperdicia si nada ocurre.
La aritmética favorece al retainer de forma consistente. Un ejemplo del propio mercado: 500 horas de respuesta a tarifa de emergencia de US$ 1.000/h cuestan US$ 500 mil; las mismas 500 horas a tarifa contratada de US$ 300/h cuestan US$ 150 mil, más la anualidad de US$ 30 mil, un total de US$ 180 mil, contra US$ 500 mil. Un ahorro de casi tres veces, antes incluso de contar la ganancia de iniciar las horas más temprano. Para dimensionar tu caso, empieza por el Intelligence Center: el diagnóstico gratuito estima el tamaño de tu entorno y de tu riesgo, que es lo que define en qué rango caes.
Tabla: el costo de un incidente sin preparación vs. con plan de IR
La forma más clara de ver el valor de contratar la respuesta a incidentes antes es poner lado a lado el mismo incidente —un ransomware de tamaño mediano con indicio de filtración— en los dos escenarios: la empresa que no tenía nada contratado y la empresa que tenía un retainer de IR activo. Los componentes son los mismos; lo que cambia es el precio de cada uno y, sobre todo, la velocidad. La tabla de abajo (en el bloque comparativo de esta página) detalla ítem por ítem. Aquí vale destacar la lógica detrás de cada línea.
El inicio de la respuesta es la diferencia más cara de todas. Sin preparación, desde el momento en que percibes el incidente hasta que el equipo empieza a actuar suelen pasar de 1 a 3 días —tiempo de encontrar proveedor, cerrar contrato de emergencia y aprobar presupuesto—. Con retainer, el SLA garantiza inicio en horas. Cada hora extra de paralización es ingreso perdido y estrago que se propaga, así que comprimir ese intervalo es lo que más reduce el costo total. No por casualidad, IBM muestra que las violaciones contenidas en menos de 200 días costaron cerca de US$ 1 millón menos que las que se arrastraron más allá de eso.
La tarifa de peritaje es la segunda diferencia. Las mismas horas de especialista cuestan de 2 a 4 veces más en modo de emergencia. Y la tercera es la parte regulatoria: sin preparación, la notificación a la ANPD y a los titulares se hace a las apuradas, con riesgo de errar el plazo y agravar la dosimetría de la sanción; con plan, el flujo jurídico-regulatorio ya está mapeado. El efecto combinado es lo que IBM cuantifica: las empresas con equipo de IR y plan probado tuvieron un costo promedio de violación 58% menor (US$ 3,26 millones contra US$ 5,29 millones), y el plan probado, por sí solo, reduce en promedio US$ 2,66 millones de la cuenta, el mayor reductor individual del informe.
En resumen: el escenario 'sin preparación' no es solo más caro en cada línea, es más caro justamente en las líneas que más pesan (paralización y pérdida de negocio), y es más lento exactamente donde la velocidad vale más. El retainer no elimina el incidente; transforma un evento catastrófico e imprevisible en un costo controlado y gestionable.
Sin tarjeta, sin compromiso — entiende tu riesgo real antes de invertir.
Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.
LGPD, ANPD y el costo regulatorio de la filtración
Cuando el incidente involucra datos personales —y la mayoría de los ransomwares modernos roba datos antes de cifrar, justamente para extorsionar dos veces— la respuesta deja de ser solo técnica y pasa a ser también jurídica y regulatoria. Ignorar esa capa es una de las formas más caras de errar, porque el costo regulatorio se suma al técnico y puede, por sí solo, superarlo.
La LGPD (Ley n.º 13.709/2018) prevé, en el art. 48, el deber de comunicar a la ANPD y a los titulares la ocurrencia de un incidente de seguridad que pueda acarrear riesgo o daño relevante. La Resolución CD/ANPD n.º 15/2024 detalló el procedimiento y el plazo de esa comunicación. El punto práctico: el reloj de la notificación empieza a correr temprano, y quien descubre la filtración y no la comunica pasa a tener, en el lenguaje de la dosimetría, la omisión considerada en su contra. La Resolución CD/ANPD n.º 4/2023 regula cómo la ANPD calcula la sanción, con base en los criterios del art. 52, §1º de la LGPD: gravedad, buena fe, ventaja obtenida, condición económica, reincidencia, grado del daño, cooperación y, crucialmente, la adopción demostrada de mecanismos internos de mitigación.
Ese último criterio es donde la respuesta a incidentes se convierte en un atenuante concreto. Tener un plan de respuesta, actuar rápido, contener, notificar dentro del plazo y cooperar con la autoridad son exactamente los comportamientos que la dosimetría recompensa con una sanción menor. Lo inverso —descubrir, esconder, demorar— agrava. Las sanciones de la LGPD van de la advertencia a la multa de hasta el 2% de la facturación de la empresa, limitada a R$ 50 millones por infracción (art. 52). Y ya no es teórico: la ANPD salió de la fase de orientación y pasó a aplicar sanciones, con fiscalización temática en sectores como salud y biometría.
Por eso, un buen servicio de respuesta a incidentes en Brasil no entrega solo peritaje técnico: entrega el paquete completo: contención, evidencia forense preservada (que puede ser necesaria ante la justicia o ante la ANPD), apoyo a la notificación regulatoria dentro del plazo y comunicación a los titulares. Comprar IR mirando solo la parte técnica y descubrir, en medio del incidente, que nadie se ocupa de la parte de la ANPD es descubrir tarde que la mitad del costo quedó sin cubrir. Al momento de contratar, confirma explícitamente que el alcance cubre el flujo LGPD/ANPD.
Retainer vs. emergencia: por qué a demanda cuesta mucho más
La pregunta que cierra la decisión es directa: si simplemente puedo llamar a alguien cuando lo necesite, ¿por qué pagar un retainer mensual por algo que quizá nunca use? La respuesta tiene tres capas, y todas apuntan al mismo lugar.
Primera capa, el precio de la hora. En la emergencia compras en el peor momento posible, sin poder de negociación, a tarifas de 2 a 4 veces la contratada. Es la prima de pánico, y es estructural: no es el proveedor siendo codicioso, es el mercado precificando urgencia, disponibilidad inmediata y el riesgo de movilizar un equipo sénior fuera de toda planificación. Segunda capa, el tiempo hasta empezar. Sin contrato, antes de que corra la primera hora de peritaje, gastas horas o días preciosos cotizando proveedores, validando su idoneidad, cerrando contrato y liberando presupuesto, todo con la empresa detenida y el estrago propagándose. El retainer compra un SLA: alguien atiende y empieza en horas. Como la cuenta del incidente está dominada por la paralización, comprimir ese intervalo es el mayor generador de ahorro.
Tercera capa, y la más subestimada, la preparación previa. Un equipo que entra en frío a tu entorno el día del incidente necesita primero entender tu red, tus sistemas y tus backups, tiempo que pagas a tarifa de pánico. Un equipo en retainer ya hizo un assessment inicial, ya conoce tu topología, ya sabe dónde están los datos críticos y si tus backups sirven. Empieza conteniendo, no estudiando. Y en los meses en que nada ocurre, las horas del retainer no se pierden: se convierten en simulacros, pruebas del plan (el famoso plan probado que IBM señala como el mayor reductor de costo), revisión de backups y hardening; es decir, se convierten en prevención que reduce la probabilidad y el tamaño del próximo incidente.
La conclusión honesta es esta: el retainer no es un seguro contra un evento improbable; es la gestión de un evento que, estadísticamente, le ocurrirá a la mayoría de las empresas en algún momento. Cambia un costo catastrófico, imprevisible y mal negociado por un costo mensual modesto y previsible, con SLA garantizado. Para quien opera sistemas de los que el negocio depende —e-commerce, fintech, SaaS, cualquier empresa con datos de clientes— la pregunta no es '¿vale la pena?', es '¿puedo absorber una paralización de días y una cuenta de seis dígitos en el peor día de la empresa, sin nada contratado?'. Si la respuesta es no, el retainer ya se pagó. Empieza por el diagnóstico gratuito del Intelligence Center para ver tu riesgo actual, considera el plan de SOC 24x7 para detectar temprano y reducir el impacto, y estructura la guardia con el plan de Respuesta a Incidentes 24x7.
Mismo ransomware de tamaño mediano: sin preparación (emergencia) vs. con retainer de IR
| Componente del costo | Sin preparación (respuesta de emergencia) | Con retainer de IR contratado |
|---|---|---|
| Tiempo hasta que el equipo empieza a actuar | 1 a 3 días (cotizar, contratar, aprobar presupuesto con la empresa detenida) | Horas — SLA de inicio garantizado en contrato |
| Tarifa horaria de peritaje forense | De pánico (ref. US$ 800–1.500/h); sin poder de negociación | Contratada y descontada (ref. US$ 175–400/h), de 2 a 4x menor |
| Costo de la paralización (downtime) | Máximo — días detenido; ref. IBM hasta US$ 125 mil/hora en grandes | Reducido — la contención empieza temprano, restauración más rápida |
| Conocimiento previo del entorno | Cero — el equipo estudia tu red en frío, con el reloj de pánico | Ya hizo assessment, conoce la topología y validó los backups |
| Notificación LGPD/ANPD | A las apuradas, riesgo de errar el plazo y agravar la dosimetría | Flujo jurídico-regulatorio mapeado; notificación en plazo (Res. 15/2024) |
| Decisión sobre el rescate | Tomada en la desesperación, sin opción de restauración validada | Evaluada con equipo técnico y jurídico; restauración por backup cuando es viable |
| Previsibilidad del costo total | Imprevisible; típicamente R$ 150 mil a R$ 500 mil+ en el caso medio | Mensualidad modesta (ref. pyme R$ 2–15 mil/mes) + horas a tarifa baja |
| Efecto medido por IBM | Base de comparación (costo total de la violación) | Costo promedio de violación 58% menor con equipo + plan probado |
Términos clave
- Respuesta a Incidentes (IR — Incident Response)
- Conjunto de acciones técnicas, jurídicas y organizativas para detectar, contener, erradicar y recuperar la operación tras un incidente de seguridad (ransomware, intrusión, filtración). Incluye peritaje forense, restauración segura y apoyo a la notificación regulatoria.
- Retainer de IR (guardia contratada)
- Contrato firmado en tiempo de paz que garantiza disponibilidad 24x7 de un equipo de respuesta, con SLA de inicio (horas) y tarifa horaria de peritaje ya negociada y descontada. Se paga como mensualidad o anualidad de disponibilidad; las horas no usadas suelen convertirse en simulacros y hardening.
- Ransomware de doble extorsión
- Ataque en el que el criminal primero exfiltra (roba) los datos y solo después los cifra, extorsionando a la víctima dos veces: para devolver el acceso y para no publicar los datos filtrados. Por eso casi todo ransomware moderno también es una filtración sujeta a la LGPD.
- Tiempo de identificación y contención (MTTI/MTTC)
- Cuánto tiempo, en promedio, transcurre entre el inicio de una violación y su identificación y contención. IBM midió 258 días en 2024. Cuanto mayor sea ese tiempo, mayor el costo; por eso la detección (SOC) y el inicio rápido (retainer) son los principales reductores de perjuicio.
- Dosimetría de la ANPD
- Método por el cual la ANPD calcula la sanción administrativa por violación a la LGPD, regulado por la Resolución CD/ANPD n.º 4/2023 y por los criterios del art. 52, §1º. Considera gravedad, cooperación, reincidencia y la adopción demostrada de medidas de mitigación, lo que hace de tener respuesta a incidentes un atenuante concreto.
- Downtime (paralización no planificada)
- Período en que los sistemas críticos quedan indisponibles a causa del incidente. Es el mayor componente del costo de un ataque: IBM estima que puede llegar a US$ 125 mil por hora en organizaciones grandes. Reducir el downtime es el objetivo central de la respuesta rápida.
- SOC 24x7 (Security Operations Center)
- Centro de operaciones de seguridad que monitorea el entorno continuamente para detectar ataques temprano. Actúa antes de la respuesta a incidentes, acortando el tiempo hasta la detección y, con ello, reduciendo el tamaño y el costo del estrago.
Cómo decidir y contratar bien
- Dimensiona tu riesgo antes de cotizar precio: corre el diagnóstico gratuito en el Intelligence Center para mapear tu entorno (cuántos sistemas, qué datos sensibles, exposición actual). Es eso lo que determina en qué rango de precio caes; sin ello, cualquier cotización es una estimación al azar.
- Decide el modelo correcto para tu tamaño: si tu operación depende de sistemas que no pueden detenerse (e-commerce, fintech, SaaS, cualquier base de clientes), contrata un retainer de IR antes de necesitarlo. La respuesta de emergencia sin contrato solo tiene sentido como último recurso, nunca como estrategia.
- Confirma el SLA de inicio por escrito: pregunta en cuántas horas el equipo empieza a actuar tras el aviso, en horario comercial y fuera de él. Ese número es el que más reduce tu costo real. Desconfía de quien no fije un SLA.
- Verifica que el alcance cubra el flujo LGPD/ANPD: el servicio debe incluir preservación de evidencia forense, apoyo a la notificación a la ANPD en el plazo de la Resolución CD/ANPD n.º 15/2024 y comunicación a los titulares, no solo la parte técnica.
- Pregunta sobre la preparación previa: un buen retainer hace un assessment inicial, conoce tu topología y valida tus backups antes del incidente. Confirma que las horas no usadas se convierten en simulacros, pruebas del plan y hardening, no en dinero perdido.
- Compara la tarifa horaria contratada vs. la de emergencia: pide explícitamente la tarifa de peritaje ya descontada del retainer y compárala con la tarifa de emergencia del mismo proveedor. La diferencia (típicamente de 2 a 4 veces) es tu ganancia real.
- Verifica la cualificación e idoneidad del equipo: experiencia comprobada con ransomware, uso de frameworks reconocidos (MITRE ATT&CK para mapear al atacante), capacidad de producir un informe forense que sirva a la ANPD y a la justicia. En el peor día, quieres gente que ya haya hecho esto antes.
- Combina detección y respuesta: contrata el SOC 24x7 para ver el ataque temprano y el plan de Respuesta a Incidentes 24x7 para actuar rápido. Los dos juntos atacan la variable que domina el costo: el tiempo.
- Relee el contrato como contrato, no como folleto: límites de horas incluidas, qué cuenta como 'fuera del alcance', costo de horas extra, confidencialidad y quién es dueño de las evidencias. Negocia esto en tiempo de paz, nunca durante el incidente.
Preguntas frecuentes
¿Cuánto cuesta, en la práctica, responder a un ransomware en Brasil?
Depende del alcance, pero se puede ubicar. Un caso de emergencia pequeño y bien delimitado rara vez sale por debajo de R$ 30–80 mil. Un ransomware de tamaño mediano con peritaje forense, restauración y notificación a la ANPD típicamente cae en el rango de R$ 150 mil a R$ 500 mil o más, dominado por los días de paralización y por las horas de peritaje (la referencia es de al menos ~150 horas de respuesta). Con un retainer activo, la misma respuesta cuesta significativamente menos, porque la tarifa horaria está contratada (de 2 a 4 veces menor que la de emergencia) y el inicio es más rápido. Como referencia de la magnitud del problema, IBM señala un costo promedio de violación en Brasil de R$ 6,75 millones (2024) y R$ 7,19 millones (2025).
¿Vale la pena pagar un retainer mensual si quizá nunca lo use?
Para quien opera sistemas de los que el negocio depende, sí. El retainer cambia un costo catastrófico, imprevisible y mal negociado (la respuesta de emergencia en el peor día de la empresa) por un costo mensual modesto y previsible, con SLA de inicio garantizado. Y no desperdicias dinero en los meses sin incidente: las horas se convierten en assessment, simulacros, pruebas del plan y hardening, prevención que reduce la probabilidad y el tamaño del próximo ataque. IBM muestra que las empresas con plan de IR probado tuvieron un costo de violación 58% menor. La pregunta correcta no es '¿voy a usarlo?', es '¿puedo absorber días detenido y una cuenta de seis dígitos sin nada contratado?'.
¿Cuál es la diferencia entre respuesta de emergencia y retainer?
La respuesta de emergencia es llamar a un proveedor con el incidente ya en curso, sin contrato previo: pagas tarifa de pánico (referencia: US$ 800–1.500/hora), esperas horas o días para que el equipo empiece y negocias todo en el peor momento posible. El retainer es contratar antes, en tiempo de paz: garantizas SLA de inicio en horas, tarifa de peritaje ya descontada (referencia: US$ 175–400/hora) y un equipo que ya conoce tu entorno. El retainer es, en casi todos los escenarios, de 2 a 4 veces más barato por hora y mucho más rápido para empezar, y es la velocidad la que más reduce el costo total.
¿Debo pagar el rescate del ransomware?
En general, no, y la tendencia del mercado lo confirma: el 63% de las organizaciones optó por no pagar (IBM, 2025). Pagar no garantiza la clave de descifrado, no impide la publicación de los datos ya robados, financia el crimen y puede tener implicaciones legales. Además, aun pagando, todavía tendrás peritaje, restauración, notificación a la ANPD y pérdida de negocio: el rescate es la parte menor de la cuenta. La decisión debe tomarse con el equipo de respuesta a incidentes y asesoría jurídica, nunca en el calor de la desesperación. Un buen IR muchas veces restaura la operación a partir de backups íntegros sin pago alguno.
¿Cómo elegir un buen proveedor de respuesta a incidentes?
Mira cuatro cosas. Primero, SLA de inicio por escrito (en cuántas horas empieza el equipo, 24x7). Segundo, alcance completo: peritaje técnico más el flujo LGPD/ANPD (notificación en plazo, preservación de evidencia). Tercero, cualificación real: experiencia comprobada con ransomware, uso de frameworks como MITRE ATT&CK y capacidad de producir un informe forense que sirva a la autoridad y a la justicia. Cuarto, preparación previa: ¿el proveedor hace un assessment inicial y conoce tu entorno antes del incidente, o solo aparece en frío el día? Negocia todo en tiempo de paz; quien cierra contrato durante el incidente siempre cierra en desventaja.
¿El SOC 24x7 sustituye a la respuesta a incidentes?
No, son complementarios y atacan momentos distintos. El SOC 24x7 es detección continua: ve el ataque temprano, acortando el tiempo hasta la identificación (IBM midió 258 días promedio en 2024) y, con ello, reduciendo el tamaño del estrago antes de que se convierta en crisis. La respuesta a incidentes es la acción cuando el incidente ocurre: contención, peritaje, erradicación, restauración y notificación. El SOC reduce la probabilidad y el impacto; el IR resuelve cuando el impacto llega. Juntos, atacan la variable que domina el costo de cualquier ataque, que es el tiempo. Lo ideal es tener los dos.
¿Una filtración de datos me obliga a avisar a la ANPD? ¿Cuánto cuesta eso?
Sí, si el incidente puede acarrear riesgo o daño relevante a los titulares (art. 48 de la LGPD), hay deber de comunicar a la ANPD y a los afectados, en el plazo de la Resolución CD/ANPD n.º 15/2024. El costo tiene dos partes: la operativa (asesoría jurídica, redacción de la comunicación, soporte a los titulares) y el riesgo de sanción. Las multas llegan hasta el 2% de la facturación, limitadas a R$ 50 millones por infracción (art. 52). El punto crítico: actuar rápido, contener y notificar en plazo son atenuantes en la dosimetría de la ANPD; descubrir y esconder es agravante. Por eso un buen servicio de IR en Brasil ya incluye el apoyo a la notificación en el alcance.
Soy una empresa pequeña. ¿La respuesta a incidentes no es solo para grandes?
Al contrario. Las empresas pequeñas y medianas suelen ser blanco justamente por tener menos defensa, y absorben peor el impacto: una paralización de días o una multa de la LGPD puede ser fatal para una caja ajustada. La buena noticia es que existen rangos proporcionales al tamaño: los retainers para pymes en Brasil suelen quedar en el orden de R$ 2 mil a R$ 15 mil por mes, contra cuentas de emergencia que fácilmente superan los seis dígitos. Empieza por el diagnóstico gratuito del Intelligence Center para entender tu riesgo real y dimensionar lo que tiene sentido. El objetivo no es comprar el plan más caro, es no quedar expuesto al escenario sin ninguna preparación.
Referencias
- ›IBM Cost of a Data Breach 2024 — costo promedio Brasil R$ 6,75 mi; tiempo de identificación/contención de 258 días — IBM Security / ABES — relatorio-da-ibm-custo-medio-de-uma-violacao-de-dados-no-brasil
- ›IBM Cost of a Data Breach 2025 — costo promedio Brasil R$ 7,19 mi; plan de IR probado como mayor reductor de costo — IBM — ibm.com/reports/data-breach
- ›Resolución CD/ANPD n.º 15/2024 — comunicación de incidentes de seguridad a la ANPD y a los titulares — ANPD — gov.br/anpd
- ›Resolución CD/ANPD n.º 4/2023 y art. 52 de la LGPD — dosimetría y sanciones administrativas (multa hasta 2%, limitada a R$ 50 mi) — ANPD — gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria
- ›Rangos de mercado de IR — hora de emergencia US$ 800–1.500 vs. contratada US$ 175–400; retainer US$ 10k–100k/año — IncidentCost.com / Cynet — incidentcost.com/response-cost
- ›MITRE ATT&CK — framework de tácticas y técnicas adversarias usado en peritaje y respuesta a incidentes — MITRE — attack.mitre.org
Cómo lo resuelve Decripte
Del diagnóstico gratuito al servicio gestionado — elige el punto de entrada correcto.
El peor momento para contratar la respuesta a incidentes es durante el incidente: con la empresa detenida y el reloj corriendo, pagas la tarifa de pánico y encima esperas a que el equipo llegue. Invierte la lógica mientras estás en paz: empieza por el diagnóstico gratuito en el Intelligence Center para ver dónde estás expuesto, activa el SOC 24x7 para detectar el ataque temprano y estructura la guardia con el plan de Respuesta a Incidentes 24x7. Es la diferencia entre un costo mensual previsible y una cuenta de seis dígitos en el peor día de tu empresa.
Empieza gratis con la Gestión de Amenazas y descubre qué ya está expuesto. Evoluciona a los planes gestionados cuando tenga sentido — sin montar un equipo interno.
