¿Hay que pagar el rescate?

No, no como primer movimiento. Las autoridades españolas (INCIBE, Policía Nacional), francesas (ANSSI), estadounidenses (FBI, CISA) y europeas (Europol) recomiendan no pagar. El pago no garantiza la recuperación, financia el cibercrimen y marca a la víctima como rentable para futuros ataques. Varias cepas tienen descifradores gratuitos en No More Ransom.

¿De cuánto tiempo dispongo para reaccionar?

Cuanto antes cortes la propagación, mejor. Muchos ransomware cifran en cascada — primero los archivos locales, después los recursos de red, luego las copias conectadas. Desconecta la red y los discos externos en los minutos siguientes al descubrimiento.

Mis copias locales también están cifradas, ¿qué hago?

Es el escenario más frecuente — los ransomware modernos atacan activamente los discos de backup conectados. Comprueba si tenías una copia en la nube con versionado (OneDrive, Backblaze, IDrive): las versiones previas al cifrado son recuperables. Si no, busca shadow copies de Windows aún no destruidas.

¿Cómo identifico la cepa del ransomware?

Anota la extensión añadida a los archivos cifrados (por ejemplo .locked, .crypt, .lockbit) y el contenido del README dejado por los atacantes. Sube un archivo cifrado + el README a ID Ransomware (id-ransomware.malwarehunterteam.com) — la base reconoce la mayoría de cepas en segundos.

¿Un software de recuperación puede descifrar mis archivos?

No, ningún software de recuperación descifra. Lo que EaseUS Data Recovery sí puede: encontrar copias sin cifrar todavía presentes en el espacio libre del disco, en las shadow copies, o en archivos temporales (Office .tmp, Photoshop .psb).

Sí, siempre. En España: denuncia ante la Policía Nacional o Guardia Civil, también vía INCIBE. En Francia: cybermalveillance.gouv.fr. En EE. UU.: IC3.gov. En la UE: Europol vía el portal nacional. Alimenta las investigaciones, puede activar ayuda y lo exige la mayoría de seguros cibernéticos.

Recuperar archivos tras un ransomware: metodología 2026

Un mensaje a pantalla completa reclama un rescate en bitcoin, tus documentos llevan una extensión extraña (.locked, .lockbit, .crypt), tu antivirus se apagó o fue desactivado. Estás ante un ransomware. Las horas siguientes deciden lo que podrás recuperar.

Esta guía reúne la metodología de respuesta aplicada por los CSIRT y los aseguradores cibernéticos en 2026, adaptada al caso particular (un puesto, no un SI corporativo).

Entender exactamente qué ha pasado técnicamente

Antes de actuar, tomarse un minuto para entender técnicamente lo que el ransomware ha hecho cambia completamente las opciones de recuperación que quedan abiertas. El desconocimiento de estos mecanismos empuja a muchos usuarios a decisiones catastróficas en las primeras horas — formateo inmediato, pago del rescate, o peor, reinicio de la máquina sin precaución.

Un ransomware moderno sigue generalmente tres fases distintas en el momento del ataque. Fase inicial: se ejecuta discretamente y hace una exploración del sistema para identificar los discos conectados (locales, USB, red compartida) y estimar el volumen a cifrar. Fase de cifrado: genera un par de claves AES por archivo (o por carpeta según la variante), cifra cada archivo en su sitio o crea una copia cifrada luego borra el original, luego cifra las claves AES con una clave pública RSA del servidor atacante — es esta última etapa la que hace imposible el descifrado sin la clave privada que tienen los atacantes. Fase de visibilidad: deposita las notas de rescate y cambia el fondo de pantalla para ser visible.

El matiz técnico crítico: el cifrado por AES por archivo puede tardar varias horas en una máquina grande (200.000 archivos, 2 TB). Si descubres la infección antes del final del proceso, apagando rápidamente la máquina (botón power mantenido 10 segundos, no Apagar Windows limpio), puedes salvar los archivos que aún no han sido tratados. A la inversa, si reinicias la máquina tras el final del cifrado, el ransomware puede relanzar un ciclo sobre los archivos recién creados desde la primera pasada. La buena reacción nunca es el reinicio inmediato.

El otro matiz importante concierne a las Volume Shadow Copies de Windows. El mecanismo sistema que permite volver a versiones anteriores de archivos es atacado en prioridad por el 95 % de los ransomwares modernos — ejecutan vssadmin delete shadows /all en los primeros segundos para eliminar esta vía de recuperación. Pero ciertas variantes fallan parcialmente o se olvidan de ciertos volúmenes (notablemente los discos externos no cifrados). Verificar la presencia eventual de shadow copies supervivientes antes de tocar el sistema es gratuito y puede salvar horas de trabajo.

Por último, las copias de seguridad conectadas en el momento del ataque también están en el punto de mira y cifradas por los ransomwares modernos. Si tu disco externo de backup estaba enchufado por USB o si tu NAS estaba montado como unidad de red en el momento del incidente, considéralos comprometidos hasta prueba en contrario. Es exactamente la razón de ser de la regla 3-2-1 con una copia offsite o desconectada — es ella la que efectivamente salva en el escenario ransomware.

Fase 1 — Aislar al instante (primeros 5 minutos)

No intentes comprender de entrada. El ransomware probablemente sigue cifrando.

Desconecta el cable Ethernet y desactiva el Wi-Fi (modo avión).
Retira todos los discos externos y USB. Los ransomware modernos (Conti, LockBit, BlackCat) atacan activamente los medios conectados.
Si estás en una red compartida (NAS, recurso compartido Windows), avisa a los demás usuarios y desconéctalos también. El ransomware puede propagarse por SMB.
No apagues el PC bruscamente. La memoria a veces contiene la clave de cifrado, explotable por algunas herramientas forenses.

En este punto, el cifrado activo se detiene (el ransomware necesita red o disco para continuar). Respira.

Fase 2 — Documentar para la denuncia y los descifradores

Con otro dispositivo (móvil, segundo PC), constituye un expediente de pruebas:

Foto de la pantalla del rescate.
Captura del nombre del README dejado por los atacantes (a menudo README.txt, HOW_TO_DECRYPT.html, etc.) y su contenido íntegro.
Anota la extensión añadida a los archivos cifrados (.locked, .lockbit3, .crypt, etc.).
Hora aproximada del descubrimiento.
Lista de programas que estaban abiertos justo antes.
Origen probable (adjunto de correo, enlace sospechoso, actualización de software pirata).

Estos elementos sirven a la denuncia (obligatoria para activar el seguro cibernético) y a la identificación de la cepa.

Fase 3 — Identificar la cepa

En el otro dispositivo, ve a id-ransomware.malwarehunterteam.com (proyecto mantenido por Michael Gillespie desde 2016). Sube un archivo cifrado + el README. La herramienta reconoce la mayoría de cepas en segundos. Para el procedimiento detallado y las trampas de identificación, sigue nuestra guía de identificación con ID Ransomware.

Una vez identificada, comprueba si existe un descifrador gratuito en No More Ransom — iniciativa conjunta de Europol, la Policía Nacional neerlandesa y varios fabricantes de antivirus. La base cubre más de 200 cepas en 2026, incluidas algunas familias extendidas (Phobos, STOP/Djvu — parcialmente, Avaddon, REvil). Si todavía no existe descifrador público, conserva los archivos cifrados: nuestra metodología completa en descifrar ransomware sin pagar detalla las vías restantes (fugas de claves, vulnerabilidades, publicaciones futuras).

Si existe un descifrador: sigue sus instrucciones al pie de la letra, prueba primero en un archivo copiado aparte (nunca en el original).

Fase 4 — Restaurar desde una copia limpia

La vía de recuperación más fiable, si tenías una copia.

Caso 1 — Copia en la nube con versionado

OneDrive, Google Drive, Dropbox, Backblaze, IDrive y servicios equivalentes conservan versiones anteriores de los archivos. En concreto:

OneDrive: web → archivo → menú de tres puntos → Historial de versiones. Permite restaurar la versión previa al cifrado.
Google Drive: web → archivo → clic derecho → Administrar versiones.
Backblaze Computer Backup: interfaz web → botón Restore → elegir fecha previa al ataque.
iCloud: limitado, no almacena todas las versiones; revisa el sitio de iCloud Drive.

Restaura archivo a archivo o en bloque vía las APIs de los servicios. No reconectes el equipo infectado a tu cuenta en la nube hasta que esté limpio.

Caso 2 — Copia local (disco externo / NAS)

Si habías desconectado el disco entre copias, probablemente esté limpio. Para comprobar:

En otro PC limpio, conecta el disco en solo lectura (lector USB con interruptor de protección si es posible).
Abre archivos recientes — si se abren con normalidad, la copia está intacta.
Procede a una reinstalación limpia del sistema en el PC infectado.
Restaura desde la copia una vez reconstruido el SO.

Si el disco externo estaba conectado durante el ataque, considéralo potencialmente cifrado. Escanea su contenido — los archivos recientes llevarán probablemente la misma extensión.

Fase 5 — Recuperar shadow copies y archivos residuales

Sin copia y sin descifrador, quedan dos pistas:

Shadow copies de Windows

Windows crea a veces shadow copies (instantáneas del volumen) que el ransomware intenta borrar con vssadmin delete shadows /all. Pero muchos fallan en algunas particiones o son interrumpidos.

Para comprobar:

Abre el Símbolo del sistema como administrador → vssadmin list shadows. Si lista copias, hay esperanza.
Usa ShadowExplorer (gratis, código abierto) o EaseUS Data Recovery Wizard para recorrer las shadow copies y restaurar los archivos previos a la infección.

Recuperación de archivos temporales y firmas binarias

EaseUS Data Recovery Wizard también puede escanear los sectores libres del disco buscando fragmentos sin cifrar: archivos .tmp de Office, autoguardados de Adobe, scratch de Photoshop (.psb), miniaturas EXIF de fotos.

Procedimiento:

Instala EaseUS Data Recovery Wizard en una memoria USB u otro PC (no en el sistema infectado).
Conecta el disco infectado en solo lectura al PC limpio (o arranca desde un live USB de recuperación).
Ejecuta un escaneo profundo.
Filtra por tipo de archivo (.docx, .jpg, .xlsx) y por fecha previa a la infección.
Restaura a un disco limpio.

En las seis últimas pruebas documentadas vía la comunidad de soporte, este método recuperó del 15 al 40 % del contenido — no ideal, pero a menudo mejor que cero.

Selección editorial

4.5 / 5

Lanzar un escaneo EaseUS Data Recovery Wizard

Fundada en 2004Garantía de 30 díasVersión gratuita 2 GB

Ver la oferta

Fase 6 — Denuncia, notificación y refuerzo

Denunciar

España: denuncia ante la Policía Nacional o Guardia Civil; INCIBE asiste a particulares y empresas en incibe.es.
Francia: comisaría o en línea en cybermalveillance.gouv.fr.
Estados Unidos: denuncia IC3 (ic3.gov).
UE: Europol vía el portal nacional.

Notificación RGPD

Si tratas datos personales de terceros (clientes, empleados, contactos), una notificación RGPD en 72 horas es obligatoria en caso de filtración probable. En España, ante la AEPD.

Reconstrucción y refuerzo

Tras el incidente, nunca reconectes un sistema infectado sin reinstalación limpia. Y antes de volver al servicio:

Parches del SO al día, EDR al día.
Copias 3-2-1 aplicadas estrictamente, incluida una copia externa inmutable.
Autenticación multifactor en todas partes (correo, nube, acceso remoto).
Macros de Office desactivadas por defecto.
Filtrado de extensiones de riesgo (.exe, .scr, .js, .vbs, .iso, .img) en la pasarela de correo.

Consulta nuestra guía Backup automático Windows / Mac 2026 para implantar una estrategia de copias resistente a ransomware. Para un entorno profesional (pymes, varios equipos, NAS, copias Veeam), nuestro dossier protección ransomware empresa 2026 cubre los controles adicionales (segmentación, inmutabilidad, EDR, ejercicios de recuperación).

No ceder al pago: por qué

Las autoridades (INCIBE, ANSSI, FBI, CISA, Europol) recomiendan unánimemente no pagar. Razones:

Sin garantía de recuperación: 1 víctima de cada 4 no recibe una clave funcional tras pagar (Sophos State of Ransomware 2024).
Financiación del cibercrimen: tu pago financia la próxima campaña.
Marcado como objetivo rentable: los actores comparten listas de pagadores. Reinfecciones frecuentes en 18 meses.
Sanciones: pagar a ciertos grupos (en listas OFAC, UE, ONU) puede constituir un delito.

Reflejo correcto: restaurar desde copia o descifrador, reforzar y sacar lecciones.

Recursos