A finales de 2019, Alberto (nombre modificado para guardar su anonimato) detectó un problema en su trabajo. Él era el manager de un equipo de cuatro empleados que conformaban el departamento de IT en una mediana empresa andaluza (entre 50 y 250 empleados, entre 10 y 50 millones de euros de facturación anual), así que fue a quien le notificaron lo ocurrido: un maquetador había recibido —y abierto— un correo que parecía ser de un cliente habitual. El dominio e incluso el nombre eran muy similares. Ese correo incluía un archivo zip, algo frecuente en las bandejas de entrada del departamento de diseño. Ni el firewall ni el antivirus detectaron nada extraño. Sin embargo, dos días después de abrir ese archivo comprimido, toda la red de la empresa pasó a estar cifrada.