Recuperar Datos de Ransomware sin Pagar el Rescate

El ransomware cifra tus archivos y exige un pago para devolverte el acceso. Sin embargo, en muchos casos es posible recuperar los datos sin pagar: identificando la variante exacta, utilizando decryptors gratuitos publicados por investigadores de seguridad, aprovechando copias de sombra supervivientes o recurriendo a laboratorios especializados que explotan fallos en la implementación del cifrado.

Paso 1 — Identifica exactamente qué ransomware te ha infectado

No todos los ransomwares son iguales. Antes de tomar cualquier decisión conviene identificar la variante exacta, porque de ello depende si existe o no un decryptor gratuito. Las pistas más útiles son:

• Extensión añadida a los archivos cifrados: .locked, .WNCRY, .ryuk, .conti, .phobos, .stop, .mkp, entre otras. Cada familia tiene extensiones características que permiten una identificación preliminar inmediata.
• Nombre del fichero de nota de rescate: README.txt, HOW_TO_DECRYPT.txt, DECRYPT_FILES.html. El contenido y la redacción identifican muchas veces la familia concreta.
• Dirección de contacto o dominio .onion: los grupos de ransomware más conocidos tienen infraestructura identificable mediante análisis de inteligencia de amenazas público.
• ID de víctima o clave pública: algunos ransomwares incrustan en la nota un identificador único que los investigadores pueden cruzar con filtraciones de servidores C2 aprehendidos por la policía.

La herramienta más fiable para identificar la variante es ID Ransomware (id.ransomware.malwarehunterteam.com): sube la nota de rescate y un archivo cifrado de muestra; la plataforma compara contra más de 1.000 variantes conocidas y te indica el nombre exacto y si existe decryptor. Es gratuita y no requiere registro.

Paso 2 — Busca un decryptor gratuito antes de hacer nada más

Una vez identificada la variante, el siguiente paso es buscar si existe una herramienta de descifrado gratuita. Los recursos más completos son:

• NoMoreRansom.org: iniciativa conjunta de Europol, Interpol y más de 180 socios del sector privado. Alberga decryptors para más de 160 familias. En el apartado «Crypto Sheriff» puedes verificar la variante y descargar la herramienta si existe.
• Emsisoft Decryptor Collection: ha liberado decryptors específicos para STOP/Djvu (la familia más extendida en usuarios domésticos), AstraLocker, Babuk, HermeticRansom y varias decenas más. STOP/Djvu afecta principalmente a usuarios de software descargado de sitios no oficiales.
• Avast Free Ransomware Decryption Tools: soluciones para Alcatraz, CryptoMix, Globe, HiddenTear y otras familias antiguas basadas en código fuente filtrado en foros clandestinos.
• Kaspersky RakhniDecryptor y RannohDecryptor: cubren Crysis, Dharma, Rakhni y variantes relacionadas muy comunes en ataques dirigidos a pymes mediante RDP expuesto a Internet.
• Operaciones policiales: las claves privadas recuperadas en acciones contra Emotet, REvil, NetWalker, Hive y ALPHV/BlackCat se han integrado en herramientas distribuidas vía NoMoreRansom.

Advertencia: descarga el decryptor solo desde fuentes oficiales. Existen sitios fraudulentos que distribuyen nuevo malware disfrazado de herramienta de recuperación, especialmente en búsquedas populares como «decryptor STOP Djvu gratis».

Paso 3 — Comprueba si las Instantáneas de Volumen (VSS) han sobrevivido

Windows crea automáticamente copias de sombra (Volume Shadow Copies) cuando se generan puntos de restauración o mediante la función «Versiones anteriores». Muchas variantes de ransomware intentan eliminar estas copias, pero no siempre lo consiguen:

• Ransomware antiguo (pre-2019): a menudo no eliminaba las VSS o lo hacía de forma incompleta en sistemas con Control de Cuentas de Usuario activado que impedía ejecutar vssadmin delete shadows con éxito.
• STOP/Djvu y Phobos: algunas variantes fallan en la eliminación de VSS si el proceso ransomware no obtiene privilegios de administrador, situación frecuente cuando el usuario infectado trabaja con una cuenta estándar.
• Unidades separadas: si los datos están en un volumen distinto al del sistema, las copias de sombra de ese volumen pueden sobrevivir aunque se eliminen las del sistema.
• Snapshots de hipervisor: en entornos VMware, Hyper-V o Proxmox con snapshots automáticos previos al ataque, es posible restaurar la máquina virtual completa a un punto limpio.

Para comprobar si existen instantáneas, ejecuta en un símbolo del sistema con privilegios de administrador: vssadmin list shadows

Si aparecen entradas anteriores a la infección, herramientas como ShadowExplorer (gratuito) permiten navegar y exportar ficheros de las VSS sin restaurar todo el sistema. También puedes hacer clic derecho sobre una carpeta en el Explorador de Windows y seleccionar «Restaurar versiones anteriores».

Paso 4 — Rescata desde backups offline o copias en la nube

La primera línea de recuperación real es siempre el backup offline: discos externos desconectados, cintas LTO, NAS sin acceso permanente desde la red. Si el backup estaba conectado durante el ataque o era accesible mediante credenciales de dominio comprometidas, es probable que también esté cifrado o borrado.

• OneDrive y Microsoft 365: historial de versiones de 30 a 180 días. La función «Restaurar OneDrive» permite recuperar toda la biblioteca a cualquier punto de los últimos 30 días en planes personales y más en Business.
• Google Drive: historial de versiones de 30 días en cuentas gratuitas; los archivos de Docs, Sheets y Slides tienen historial de revisiones ilimitado.
• Dropbox: 30 días en plan gratuito, 180 días en Plus/Professional y 1 año en Business Plus. La recuperación masiva requiere la opción Extended Version History.
• Backblaze, Wasabi y AWS S3 con versionado: si el versionado estaba activado antes del ataque y el acceso a la consola de gestión no fue comprometido, los ficheros originales existen como versiones anteriores indefinidamente.

Paso 5 — Cuándo puede ayudar un laboratorio de recuperación especializado

Cuando no existe decryptor gratuito y no hay backup disponible, un laboratorio especializado puede ofrecer alternativas avanzadas:

• Errores de implementación criptográfica: muchos grupos de ransomware cometen fallos al implementar el cifrado. REvil reutilizaba semillas de clave en escenarios offline; variantes basadas en HiddenTear cifraban solo los primeros 2 MB de cada archivo, dejando el resto intacto.
• Cifrado parcial por bloques: LockBit 2.0 y ALPHV/BlackCat cifran por bloques alternos para maximizar velocidad. Archivos grandes como bases de datos SQL, vídeos o proyectos CAD pueden tener bloques enteros sin cifrar.
• Datos residuales en sectores libres: si el ransomware cifró los archivos y eliminó los originales, en NTFS los clústeres pueden no haber sido sobrescritos. El carving permite recuperar contenido sin estructura de directorios.
• Análisis de memoria RAM: en sistemas que no se han apagado desde el ataque, un volcado de memoria puede contener claves de cifrado en texto claro si el ransomware las cargó en RAM antes de cifrar.
• Intermediación técnica: los laboratorios pueden verificar que el grupo tiene la clave real mediante pruebas de descifrado antes de cualquier negociación o pago.

¿Cuándo NO pagar el rescate?

La recomendación de las agencias de ciberseguridad (INCIBE en España, CISA en EE.UU., ENISA en la UE) es no pagar porque:

• El pago financia nuevos ataques y perpetúa el modelo de negocio criminal.
• Entre el 20 y el 40 % de las organizaciones que pagan no reciben un decryptor funcional o los datos vuelven corruptos.
• Pagar coloca a la organización en listas de «pagadores fiables» que circulan entre grupos criminales, aumentando la probabilidad de un segundo ataque.
• En algunos casos pagar puede vulnerar regulaciones de sanciones internacionales si el grupo está en listas de la OFAC estadounidense o equivalentes europeos.
• Los grupos de doble extorsión que también roban datos no garantizan destruir las copias aunque se pague.

¿Cuándo podría considerarse el pago como último recurso?

Hay escenarios extremos en que el pago puede valorarse: datos clínicos irreemplazables, proyectos sin ningún tipo de backup o situaciones donde la continuidad del negocio está en juego. En ese caso:

1. Contacta primero con el INCIBE (017 gratuito en España) y con un laboratorio especializado.
2. Solicita al grupo una prueba de descifrado: envía 2-3 archivos cifrados no sensibles y exige recibirlos descifrados antes de negociar.
3. Usa un servicio de intermediación profesional para la negociación y el pago en criptomoneda.
4. Documenta todo para la denuncia policial y la notificación a la AEPD si hay datos personales afectados (RGPD: plazo de 72 horas).

Medidas preventivas para el futuro

La mejor protección contra el ransomware es la estrategia de backup 3-2-1-1-0: tres copias, dos soportes distintos, una fuera de las instalaciones, una offline, y cero errores verificados en restauraciones periódicas.

• Segmentación de red y principio de mínimo privilegio: las cuentas de usuario no deben tener acceso de escritura a los repositorios de backup.
• EDR con protección anti-ransomware comportamental: detecta el proceso de cifrado masivo antes de que afecte a todos los ficheros.
• MFA en todos los accesos remotos: RDP expuesto a Internet sin MFA es el vector de entrada más frecuente en ataques a empresas españolas.
• Actualizaciones automáticas: WannaCry infectó 200.000 sistemas con un exploit publicado y parchado dos meses antes del ataque masivo.
• Simulacros de recuperación: un backup que no se ha probado a restaurar no es un backup, es una esperanza.

Te puede interesar

• › Ransomware: cómo recuperar archivos cifrados
• › ¿Pagar el Rescate de un Ransomware? Lo Que Dicen los Expertos en 2026
• › Diferencias entre recuperación lógica y física de datos
• › Cómo recuperar datos de un USB o pendrive dañado [Guía 2026]