Teléfono de RecuperaTusDatos900 899 002
Correo electrónico de RecuperaTusDatos info@recuperatusdatos.es
📞 Te llamamos
recuperación de datos
ES

Ransomware: Cómo Recuperar los Datos Cifrados sin Pagar el Rescate

Resumen del artículo

Archivos cifrados por ransomware y mensaje de rescate: opciones reales sin pagar — shadow copies de Windows, backups offline, herramientas de No More Ransom y recuperación en laboratorio.

Empresas 24/04/2025 12 min lectura Ángel López
Compartir:

El ransomware ha cifrado tus archivos y aparece un mensaje exigiendo un pago en criptomonedas. Lo primero: desconecta el equipo de la red inmediatamente pero no lo apagues. Lo segundo: no pagues. En muchos casos es posible recuperar los datos sin ceder al rescate, utilizando shadow copies de Windows, backups offline, herramientas gratuitas de No More Ransom o recuperación profesional en laboratorio. Esta guía técnica explica cada opción y cuándo aplica.

Datos clave — Ransomware: recuperar datos sin pagar

Situación:
Archivos cifrados + mensaje de rescate en pantalla
Primera acción:
Aislar el equipo de la red inmediatamente (cable y Wi-Fi)
No pagar si:
Hay shadow copies activas, backup offline o herramienta de descifrado disponible en No More Ransom
Probabilidad recuperación sin pago:
50–80% si hay backup offline; 20–40% si no hay backup
Precio servicio:
A consultar según caso; diagnóstico gratuito y sin compromiso

Primeros 15 minutos: protocolo de contención

Los primeros minutos tras detectar un ataque de ransomware son críticos. Cada segundo que el equipo permanece conectado a la red, el ransomware puede propagarse a otros sistemas. Cada decisión incorrecta puede destruir las evidencias necesarias para la recuperación. Sigue este protocolo en orden estricto:

1. Desconectar de la red de inmediato

Desconecta el cable ethernet y desactiva el Wi-Fi. Si es un servidor en un rack, desconecta físicamente el cable de red. No es suficiente con "desactivar la conexión" desde el sistema operativo si el sistema ya está comprometido: el proceso malicioso puede reactivarla. El objetivo es cortar la propagación lateral a otros equipos de la red antes de que el ransomware los alcance.

2. No apagar el equipo

Aunque el instinto natural sea apagar el ordenador, hacerlo puede destruir información valiosa. Algunos ransomware almacenan en la memoria RAM material criptográfico (claves parciales, semillas) que puede ser útil en la recuperación. Además, apagar forzosamente un equipo Windows puede corromper los VSS (Volume Shadow Copies) que podrían contener versiones anteriores de los archivos. Mantén el equipo encendido pero aislado de la red.

3. Documentar y fotografiar la nota de rescate

La pantalla o archivo de rescate (README.txt, DECRYPT_INSTRUCTIONS.html, YOUR_FILES_ARE_ENCRYPTED.txt...) contiene información crucial: el nombre o familia del ransomware, la dirección de pago, el ID de víctima único, y a veces el email o dominio .onion del portal de pago del grupo. Fotografía la pantalla y guarda todos estos archivos. Son imprescindibles para identificar la variante.

4. Identificar la variante con ID Ransomware

Desde otro dispositivo (no el infectado), accede a id-ransomware.malwarehunterteam.com. Sube un archivo cifrado de ejemplo y/o el archivo de nota de rescate. El servicio identifica la familia de ransomware en segundos e indica si existe un descifrador disponible. Esta identificación determina todas las opciones siguientes.

5. Denunciar ante las autoridades

Denuncia ante la Policía Nacional (Brigada de Investigación Tecnológica, @BIT_Policia) o la Guardia Civil (Grupo de Delitos Telemáticos, @GDT_GC). El INCIBE-CERT ofrece asistencia técnica gratuita a través del teléfono 017. Para empresas, el CCN-CERT (Centro Criptológico Nacional) gestiona incidentes en administraciones públicas y entidades estratégicas. La denuncia también es necesaria para la reclamación al seguro si tienes póliza de ciberriesgos.

Importante: No intentes desinstalar el antivirus ni "limpiar" el ransomware con herramientas automáticas antes de hacer una copia forense del sistema. La limpieza puede destruir artefactos útiles para la recuperación y eliminar archivos cifrados que el laboratorio necesitará analizar.

¿Pagar o no pagar? El debate real

La recomendación unánime de las autoridades y expertos en ciberseguridad es no pagar el rescate. Pero la realidad empresarial a veces lleva a plantear la pregunta con más matices. Aquí están los datos reales:

Estadísticas sobre el pago del rescate

Según el informe Sophos "State of Ransomware 2024", el 56% de las organizaciones que pagaron el rescate recuperaron todos sus datos, pero el 44% restante no recuperó datos completos aunque pagó. El coste medio de recuperación para quienes pagaron fue de 750.000 USD, frente a 375.000 USD para quienes no pagaron. Paradójicamente, las organizaciones que pagaron terminaron gastando más en la recuperación total.

Más preocupante: el 38% de las víctimas que pagaron sufrieron un segundo ataque en los doce meses siguientes, frecuentemente del mismo grupo o de afiliados que compraron su información como "objetivo ya dispuesto a pagar".

Riesgo legal y de re-infección

Pagar el rescate puede constituir un delito de financiación de actividades criminales, especialmente si el grupo de ransomware está sancionado por la OFAC (Office of Foreign Assets Control) de EE.UU. o incluido en listas de organizaciones terroristas. En la Unión Europea, aunque no hay prohibición explícita, las autoridades desaconsejan activamente el pago. Además, el pago no garantiza que el grupo no haya exfiltrado los datos y los vaya a vender o publicar igualmente (táctica de doble extorsión).

Posición del CCN-CERT

El Centro Criptológico Nacional español publica guías específicas sobre respuesta a ransomware. Su posición oficial es clara: no pagar el rescate, denunciar ante las autoridades, analizar las opciones de recuperación sin pago antes de tomar ninguna decisión, y en ningún caso negociar directamente con los atacantes sin asesoramiento especializado. La guía CCN-STIC 817 "Gestión de Ciberincidentes" establece los procedimientos de respuesta recomendados para organismos públicos y empresas privadas.

Nunca pagues sin antes verificar:
  • Si existe un descifrador gratuito en nomoreransom.org para tu variante
  • Si tienes shadow copies disponibles (VSS de Windows)
  • Si algún backup offline no estaba conectado durante el ataque
  • Si un laboratorio especializado puede recuperar datos sin la clave

Opción 1: Shadow Volume Copies de Windows (VSS)

El Servicio de Instantáneas de Volumen (VSS — Volume Shadow Copy Service) de Windows crea automáticamente copias instantáneas del estado del sistema de ficheros en ciertos momentos. Son la primera opción a verificar tras un ataque de ransomware, porque son internas al sistema y no requieren hardware adicional de backup.

¿Cuándo están disponibles las shadow copies?

Las shadow copies existen cuando:

  • La Protección del sistema estaba activada en Windows (Panel de control → Sistema → Protección del sistema)
  • El equipo tiene suficiente espacio en disco reservado para VSS (por defecto entre el 10% y el 15% de la capacidad del volumen)
  • El ransomware no las ha borrado antes de cifrar los archivos — este es el punto crítico

Cómo acceder a las shadow copies

Desde Windows Explorer, haz clic derecho sobre una carpeta o archivo → "Propiedades" → pestaña "Versiones anteriores". Si aparecen versiones disponibles, puedes restaurarlas directamente desde ahí. Para una recuperación más completa, herramientas como ShadowExplorer (gratuita) permiten navegar el contenido completo de cada shadow copy y extraer archivos individuales sin restaurar el sistema completo.

Desde la línea de comandos (ejecutar como administrador):

vssadmin list shadows /for=C:
wmic shadowcopy get DeviceObject,VolumeName,InstallDate

Por qué muchos ransomware borran las shadow copies

Los grupos de ransomware modernos son perfectamente conscientes de que las shadow copies permiten la recuperación sin pagar. Por eso, la mayoría de las variantes actuales incluyen rutinas de eliminación de VSS entre sus primeras acciones, ejecutadas antes de iniciar el cifrado masivo de archivos. Los comandos más habituales que ejecutan son:

vssadmin delete shadows /all /quiet
wmic shadowcopy delete
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no

Sin embargo, no todos los ransomware tienen éxito en esta operación: si el usuario del sistema comprometido no tiene privilegios de administrador suficientes, o si el ransomware actúa muy rápidamente sin completar todas sus rutinas, las shadow copies pueden sobrevivir. Vale siempre la pena comprobarlo.

Consejo de laboratorio: Si las shadow copies existen pero el sistema operativo no arranca, podemos montarlas en nuestro entorno de análisis y extraer los archivos sin necesidad de que el sistema víctima funcione. No intentes reparar el sistema operativo antes de verificar este punto.

Opción 2: Backup offline y la regla 3-2-1-1

Si tienes un backup que no estaba conectado a la red en el momento del ataque, es la opción de recuperación más fiable y completa. La palabra clave es offline: un backup en disco externo que estaba desconectado, una cinta magnética, un backup en nube con retención de versiones, o un bucket S3 con Object Lock.

La regla 3-2-1-1 y por qué el último "1" es el más importante

La regla clásica de backup 3-2-1 (3 copias, 2 soportes diferentes, 1 offsite) ha sido ampliada a 3-2-1-1 precisamente a causa del ransomware:

  • 3 copias totales de los datos
  • 2 soportes diferentes (por ejemplo, disco interno + NAS)
  • 1 copia offsite (nube o localización física distinta)
  • 1 copia offline o inmutable — este es el más importante ante ransomware

El "1 offline" es el más importante porque es el único que garantiza la supervivencia al ransomware. Un backup en NAS de red, aunque esté en otra sala, es accesible desde la red corporativa y puede ser cifrado. Un backup en disco externo conectado permanentemente al servidor también es vulnerable. Solo la copia que no puede ser alcanzada por la red en el momento del ataque está a salvo.

Para una guía completa sobre la implementación de esta estrategia, consulta nuestro artículo Copias de seguridad: la regla 3-2-1 explicada y cómo implementarla.

Qué verificar antes de restaurar desde backup

Antes de restaurar, verifica que el backup no esté también comprometido. El tiempo medio entre la intrusión inicial y el cifrado masivo es de 21 días (según Sophos). Eso significa que el atacante ha permanecido en la red casi tres semanas antes de activar el ransomware — tiempo durante el cual puede haber exfiltrado datos y, posiblemente, infectado los backups más recientes. Restaura desde una copia que sea anterior a la fecha probable de intrusión, no necesariamente la más reciente.

Atención: No conectes el disco de backup a un sistema que no haya sido completamente limpiado y reinstalado. Si el ransomware sigue presente en la red, puede cifrar inmediatamente el backup cuando lo conectes.

Opción 3: Herramientas gratuitas de No More Ransom

El proyecto No More Ransom (nomoreransom.org) es una iniciativa conjunta de Europol, la Policía Nacional de Países Bajos (NHTCU) y empresas de ciberseguridad como Kaspersky y McAfee, lanzada en 2016. Ofrece descifradores gratuitos para más de 165 familias de ransomware y es el primer recurso externo que debes consultar.

Cómo usar el portal ID Ransomware

El proceso es sencillo desde cualquier dispositivo no infectado:

  1. Accede a id-ransomware.malwarehunterteam.com
  2. Sube uno o varios archivos cifrados (no contienen información recuperable por el servicio, solo se analiza la estructura del cifrado)
  3. Opcionalmente, sube también el archivo con la nota de rescate
  4. El sistema identifica la familia de ransomware y enlaza a los descifradores disponibles si los hay
  5. Si hay descifrador disponible, sigue el enlace a nomoreransom.org para descargarlo

Familias con descifrador disponible (selección)

Familia de ransomware Extensión habitual Descifrador disponible
STOP/Djvu .djvu, .stop, +200 variantes Sí (Emsisoft) — versiones con clave offline
Avaddon .avdn Sí — claves publicadas por el grupo en 2021
Babuk (variantes antiguas) .babuk Sí — código fuente filtrado, clave recuperable
BlackCat/ALPHV (algunas variantes) Variable Parcial — herramienta del FBI para algunas variantes
Ryuk (variantes antiguas) .ryk Parcial — solo algunas versiones antiguas
MedusaLocker .medusa, .encrypted Parcial — analizar caso por caso
Phobos / Dharma .phobos, .dharma, .id[…] No disponible actualmente

La disponibilidad de descifradores cambia con frecuencia. Verifica siempre en nomoreransom.org, que actualiza el catálogo en tiempo real.

Limitaciones de los descifradores gratuitos

Los descifradores de No More Ransom funcionan cuando el grupo de ransomware utilizó una clave de cifrado con alguna vulnerabilidad conocida, cuando las fuerzas policiales incautaron los servidores del grupo y obtuvieron las claves, o cuando el propio grupo publicó las claves al "cerrar el negocio". Para variantes recientes y activas que no tienen ninguna vulnerabilidad conocida en su implementación criptográfica (AES-256 + RSA-2048 correctamente implementados), no existe descifrador gratuito disponible.

Opción 4: Recuperación profesional en laboratorio

Cuando no hay backup disponible, las shadow copies han sido eliminadas y no existe descifrador gratuito para la variante, un laboratorio especializado puede ofrecer opciones adicionales que van más allá de lo que el usuario puede intentar por su cuenta.

¿Cuándo puede recuperar el laboratorio datos cifrados?

Archivos parcialmente cifrados

Algunos ransomware, especialmente en ataques rápidos contra grandes volúmenes de datos, no cifran el archivo completo sino solo los primeros bloques o ciertos sectores. Cuando el proceso de cifrado se interrumpe (por un apagado del sistema, un fallo de red, o simplemente porque el ransomware prioriza velocidad sobre exhaustividad), quedan archivos parcialmente cifrados. El laboratorio puede analizar la proporción de datos cifrados frente a datos en claro, recuperar la parte no cifrada y, en algunos formatos de archivo, reconstruir parcialmente el contenido.

Cabeceras de archivo corrompidas pero datos recuperables

En documentos Office, PDFs, bases de datos SQL y otros formatos estructurados, la cabecera del archivo contiene los metadatos necesarios para interpretar el contenido. Algunos ransomware cifran solo la cabecera para hacer el archivo inaccesible sin cifrar los datos del cuerpo del archivo. El laboratorio puede reconstruir la cabecera a partir de plantillas del formato y recuperar el contenido del documento.

Datos en sectores no sobreescritos del disco

El proceso de cifrado de un ransomware implica leer el archivo original y escribir la versión cifrada. Dependiendo del sistema de ficheros y del método de escritura del ransomware, el bloque de datos original puede permanecer en sectores del disco que aún no han sido sobreescritos. Mediante análisis forense de bajo nivel y técnicas de file carving, el laboratorio puede recuperar datos de estos sectores antes de que sean reutilizados.

Versiones anteriores en sistemas de ficheros con journaling

Los sistemas de ficheros modernos (NTFS, APFS, Btrfs, ext4) mantienen journals de transacciones y, en algunos casos, estructuras de datos que contienen versiones anteriores de archivos o fragmentos de los mismos. El análisis forense a nivel de sistema de ficheros puede revelar versiones pre-cifrado de archivos críticos.

Proceso de análisis en laboratorio

  1. Diagnóstico gratuito: Análisis de la variante de ransomware, estado de los discos afectados y evaluación de posibilidades antes de presupuestar
  2. Imagen forense sector a sector: Copia exacta de todos los discos afectados antes de cualquier operación, usando duplicadoras forenses (PC-3000 UDMA)
  3. Análisis de cifrado: Identificación del algoritmo, modo de operación y posibles debilidades en la implementación
  4. Recuperación de datos accesibles: Shadow copies parciales, sectores no cifrados, file carving
  5. Reconstrucción de archivos dañados: Para formatos con cabeceras corrompidas pero datos recuperables
  6. Informe técnico: Documentación del incidente útil para seguros y autoridades
Sin recuperación, sin coste: El diagnóstico es siempre gratuito. Solo presupuestamos el trabajo cuando hemos evaluado las posibilidades reales. Si no recuperamos datos, no cobramos. Más información sobre nuestro servicio de recuperación por ransomware.

Variantes activas 2025–2026: LockBit 3.0, BlackCat/ALPHV, Cl0p, Akira

El panorama del ransomware evoluciona rápidamente. Los grupos operan bajo el modelo Ransomware-as-a-Service (RaaS): desarrolladores que crean y mantienen el malware, y afiliados que ejecutan los ataques y se reparten el rescate. Las variantes activas en 2025-2026 más relevantes para empresas españolas:

LockBit 3.0

A pesar de la "Operación Cronos" del FBI y Europol en febrero de 2024 que desmanteló temporalmente su infraestructura, LockBit sigue siendo el grupo de ransomware con mayor número de víctimas registradas en 2025. Utiliza cifrado híbrido AES-256 en modo CTR para los archivos y RSA-2048 para proteger la clave AES. Incorpora un encriptador personalizable por afiliado, eliminación automática de VSS, y capacidad de propagación lateral por SMB y WMI. Sin descifrador gratuito disponible para las variantes recientes.

BlackCat / ALPHV

Programado en Rust, lo que le da alta eficiencia y portabilidad entre plataformas (Windows, Linux, VMware ESXi). Implementa cifrado AES-256 + ChaCha20. El FBI publicó una herramienta de descifrado en diciembre de 2023 válida para algunas variantes tras infiltrar la infraestructura del grupo. El grupo anunció su cierre en marzo de 2024, pero investigadores observaron una posible reaparición bajo otras marcas. Verifica siempre en No More Ransom.

Cl0p

Conocido por explotar vulnerabilidades de día cero en software de transferencia de archivos corporativos (GoAnywhere MFT, MOVEit Transfer). Sus ataques más recientes se han centrado en exfiltración de datos masiva más que en cifrado puro, usando la amenaza de publicación como vector de extorsión ("extorsión sin cifrado"). Para los casos donde sí cifra, usa AES-256 con claves RSA-2048. Sin descifrador gratuito disponible.

Akira

Grupo emergente que opera desde 2023 con crecimiento exponencial en 2024-2025. Objetivo principal: pymes con menos de 500 empleados, especialmente en sectores de servicios profesionales, hostelería y manufactura. Utiliza VPN comprometidas (especialmente Cisco ASA/FTD con credenciales robadas) como vector de entrada. Cifrado híbrido con AES-256-CBC y RSA-4096. El FBI publicó un aviso técnico (CSA AA24-109A) con IoCs y TTPs específicos. Sin descifrador gratuito disponible.

Variante Cifrado Vector entrada habitual Descifrador
LockBit 3.0 AES-256 + RSA-2048 RDP expuesto, phishing, exploits No disponible
BlackCat/ALPHV AES-256 + ChaCha20 VPN sin MFA, credenciales robadas Parcial (FBI, algunas variantes)
Cl0p AES-256 + RSA-2048 Exploits 0-day en software MFT No disponible
Akira AES-256-CBC + RSA-4096 VPN Cisco sin MFA No disponible

Plan de recuperación empresarial post-incidente

La recuperación de los datos cifrados es solo una parte del proceso post-incidente. Las empresas deben gestionar también la contención del compromiso, la notificación legal, la restauración de sistemas y la prevención de futuros ataques.

Fase 1: Contención (primeras horas)

  • Aislar todos los sistemas afectados de la red (no solo el inicial)
  • Identificar el alcance: qué sistemas están cifrados, qué datos han podido ser exfiltrados
  • Preservar logs de firewalls, Active Directory, EDR y sistemas de email para el análisis forense
  • Activar el equipo de respuesta a incidentes interno o externo

Fase 2: Notificación legal (primeras 72 horas)

Si el ataque ha afectado a datos personales de clientes, empleados o terceros, el RGPD obliga a notificar a la AEPD (Agencia Española de Protección de Datos) en el plazo de 72 horas desde que se tiene conocimiento del incidente. La notificación debe incluir: naturaleza de la brecha, categorías y número aproximado de afectados, posibles consecuencias, y medidas adoptadas. El laboratorio puede emitir un informe técnico del incidente que sirva de documentación para este proceso.

Fase 3: Erradicación del vector de entrada

Antes de restaurar los sistemas, es imprescindible identificar y cerrar el vector de entrada que utilizó el atacante. Restaurar sobre un sistema comprometido garantiza una re-infección. Los vectores más habituales que debes verificar:

  • Credenciales de VPN o RDP comprometidas — resetear todas las contraseñas y activar MFA
  • Vulnerabilidades de software sin parchear — actualizar todos los sistemas antes de reconectar
  • Backdoors instaladas durante el período de acceso previo al cifrado — análisis forense completo
  • Cuentas de servicio con privilegios excesivos — auditar permisos en Active Directory

Fase 4: Restauración y vuelta a la operación

Restaura primero los sistemas más críticos para la operación del negocio. Prioriza por impacto en continuidad, no por comodidad técnica. Verifica la integridad de los datos restaurados antes de ponerlos en producción. Documenta todo el proceso para el informe post-incidente.

Para estrategias de prevención detalladas, consulta nuestro artículo Cómo protegerse del ransomware en 2026: guía completa para empresas y particulares.

¿Tu empresa ha sufrido un ataque de ransomware?

Diagnóstico gratuito en 4 horas. Sin recuperación, sin coste. Recogida urgente en toda España.

Solicitar diagnóstico gratuito
O llámanos: 900 899 002

Preguntas frecuentes

La recomendación de todos los organismos de seguridad (Europol, FBI, CCN-CERT, INCIBE) es no pagar. Solo el 56% de quienes pagan reciben todos sus datos, el 44% restante no recupera nada o recibe un descifrador defectuoso. Además, el 38% de quienes pagan sufren un segundo ataque en los doce meses siguientes. Antes de considerar el pago, agota siempre las alternativas: shadow copies de Windows, backup offline, descifradores gratuitos en nomoreransom.org y recuperación profesional en laboratorio.

ID Ransomware (id-ransomware.malwarehunterteam.com) es un servicio gratuito que identifica la familia de ransomware que ha cifrado tus archivos. Subes un archivo cifrado y/o la nota de rescate, y el sistema analiza la estructura y los metadatos para determinar qué variante es. Una vez identificada, puedes saber si existe un descifrador gratuito disponible, qué acciones tomar y con qué información acudir al laboratorio o a las autoridades. Es el primer paso externo después de aislar el equipo.

Las Shadow Volume Copies (VSS) son instantáneas automáticas del sistema de ficheros de Windows creadas por el Servicio de Instantáneas de Volumen. Permiten acceder a versiones anteriores de los archivos sin necesidad de backup externo. Los grupos de ransomware las borran sistemáticamente antes de iniciar el cifrado (usando vssadmin delete shadows /all o wmic shadowcopy delete) porque saben que serían la forma más fácil de recuperarse sin pagar. Sin embargo, si el proceso de borrado no se completa correctamente (por falta de privilegios o interrupción del ataque), pueden sobrevivir y ser la clave para recuperar tus datos.

Depende de la variante y de las condiciones del ataque. Sin backup, las posibilidades reales son: (1) Shadow copies que el ransomware no logró borrar; (2) Descifrador gratuito en No More Ransom si la variante es antigua o tiene vulnerabilidades conocidas; (3) Archivos parcialmente cifrados que el laboratorio puede analizar; (4) Datos en sectores de disco no sobreescritos recuperables por file carving. La probabilidad sin backup oscila entre el 20 y el 40% según la variante y el estado del disco. El diagnóstico gratuito permite evaluar las posibilidades reales antes de comprometerse a nada.

No hay que esperar un tiempo específico, pero sí hay que asegurarse de que el sistema destino está completamente limpio antes de conectar el backup. El tiempo medio entre la intrusión inicial y el cifrado masivo es de 21 días. Esto significa que los backups de los últimos días o semanas pueden contener el ransomware o datos ya exfiltrados. Restaura desde una copia cuya fecha sea anterior a la fecha probable de intrusión (no la más reciente). Antes de conectar el disco de backup, el sistema debe haber sido completamente reinstalado y el vector de entrada cerrado.

Sí, si el cliente de sincronización estaba instalado y activo en el momento del ataque. Los archivos cifrados se sincronizan automáticamente a la nube, sobreescribiendo las versiones buenas. Sin embargo, tanto OneDrive como Google Drive conservan versiones anteriores de los archivos durante 30-180 días (según el plan), por lo que la recuperación desde el historial de versiones es posible si actúas antes de que caduque ese período. La clave es que OneDrive y Google Drive son sincronización, no backup inmutable: un bucket S3 con Object Lock o un servicio de backup con retención inmutable sí resiste al ransomware.

No More Ransom (nomoreransom.org) es una iniciativa conjunta de Europol, la Policía Nacional de Países Bajos y empresas de ciberseguridad como Kaspersky y McAfee, lanzada en 2016. Ofrece descifradores gratuitos para más de 165 familias de ransomware y actualiza su catálogo regularmente. Para saber si tiene herramienta para tu variante, usa primero ID Ransomware para identificar exactamente qué familia te ha afectado y luego busca esa familia en el catálogo de No More Ransom. Si no hay descifrador disponible hoy, puede haberlo en el futuro: las fuerzas policiales incautan infraestructuras de grupos de ransomware con cierta regularidad y publican las claves obtenidas.

El precio varía mucho según el caso: la variante de ransomware, el volumen de datos afectados, el número de sistemas comprometidos, y si hay shadow copies o datos parcialmente accesibles. El diagnóstico es siempre gratuito y sin compromiso. Solo presupuestamos el trabajo tras evaluar las posibilidades reales. Si no recuperamos datos, no cobramos. Para tener una orientación, consulta nuestra página de recuperación de datos por ransomware o solicita presupuesto sin compromiso.

¿Necesitas recuperar datos?

Nuestro equipo técnico puede ayudarte. Diagnóstico gratuito en 4 horas, sin compromiso.

  • Precio: Desde 250€ + IVA — sin recuperación, sin coste
  • Plazo: 4–12 días laborables (urgente: 24–48 h)
  • Teléfono: 900 899 002
  • Certificación: ISO 9001 e ISO 27001 (AENOR)

Escrito por

Ángel López

Técnico de Laboratorio — Móviles y Forense — RecuperaTusDatos

Técnico especializado en recuperación de datos de dispositivos móviles y análisis forense digital. Experto en técnica chip-off, extracción de chips NAND flash y herramientas Cellebrite UFED, MSAB XRY y Oxygen Forensics.

Cellebrite UFED MSAB XRY Chip-Off NAND
Publicado: 24/04/2025 12 min de lectura

Servicio disponible en toda España — Recogida gratuita en 24h

Barcelona
Madrid
Valencia
Sevilla
Bilbao
Zaragoza
Málaga
Alicante
Murcia
Palma
Córdoba
Vigo

Recibe consejos y alertas de recuperación de datos

Guías prácticas, novedades y consejos para proteger tus datos. Sin spam.

Entérate de todo lo nuevo

Técnica Ingeniería y Robótica Aplicada S.L. como responsable del tratamiento tratará tus datos con la finalidad de dar respuesta a tu consulta o petición. Puedes acceder, rectificar y suprimir tus datos, así como ejercer otros derechos consultando la información adicional y detallada sobre protección de datos en nuestra Política de Privacidad.

Prometemos enviarte sólo información interesante.

Diagnóstico gratuito 900 899 002 WhatsApp WhatsApp
Llamar Te llamamos Diagnóstico

¿Necesitas recuperar datos?

Diagnóstico 100% gratuito y sin compromiso.
Si no recuperamos tus datos, no cobramos.

Solicitar diagnóstico gratuito