Teléfono de RecuperaTusDatos900 899 002
Correo electrónico de RecuperaTusDatos info@recuperatusdatos.es
📞 Te llamamos
recuperación de datos
ES

Recuperar datos NAS QNAP: RAID, firmware y ransomware [2026]

Resumen del artículo

Un NAS QNAP puede perder datos por fallo de RAID, ransomware QLocker o DeadBolt, corrupción de QTS o fallo físico de disco. Te explicamos el proceso de recuperación profesional y los precios en España.

Recuperación 06/04/2025 12 min lectura Ángel López
Compartir:

Un NAS QNAP puede perder datos por fallo de RAID (disco averiado en array RAID 5/6), corrupción del volumen, ransomware específico como QLocker o DeadBolt —endémicos en QNAP—, error en la actualización de QTS o QuTS hero, o fallo de la controladora interna. La recuperación profesional tiene éxito en el 75–85% de los casos. Actuar rápido y NO reinicializar el array marca la diferencia entre recuperar todo o no recuperar nada.

Respuesta rápida: causas y solución

Un NAS QNAP puede perder datos por: fallo simultáneo de 2+ discos en RAID 5/6, ransomware QLocker o DeadBolt (muy específicos de QNAP), corrupción del volumen EXT4/Btrfs tras corte de corriente, actualización de QTS/QuTS hero que corrompe metadatos, o fallo del controlador SATA/SAS de la unidad. La recuperación profesional reconstruye virtualmente el array trabajando sobre imágenes forenses de los discos, sin tocar los originales.

Datos clave — NAS QNAP

Modelos más afectados:
TS-series, QTS kernel, QuTS hero
Ransomware específico QNAP:
QLocker (.7z), DeadBolt (.deadbolt), eCh0raix
Coste recuperación:
500–2.000€ según tipo de fallo
Tasa de éxito:
75–85% (diagnóstico previo gratuito)

Causas de pérdida de datos en NAS QNAP

Los NAS QNAP son ampliamente utilizados tanto en entornos domésticos como en pequeñas y medianas empresas. Son equipos robustos, pero están expuestos a un catálogo de fallos que en nuestro laboratorio de Barcelona atendemos con frecuencia creciente. Estas son las causas más habituales:

2 o más discos del RAID fallidos simultáneamente

RAID 5 tolera el fallo de un único disco. Cuando cae un segundo disco —ya sea durante la reconstrucción o de forma independiente—, el array entra en estado crítico y los datos quedan completamente inaccesibles. Este escenario se da con especial frecuencia cuando todos los discos del QNAP son del mismo modelo y lote, ya que el desgaste acumulado hace que fallen en cadena.

Atención: QTS puede iniciar automáticamente una reconstrucción cuando detecta un disco "recuperado". Si ese disco tiene daño físico, la reconstrucción puede causar daños irreversibles. Desactiva las reconstrucciones automáticas en entornos críticos y consulta siempre con un técnico antes de actuar.

Volumen corrompido por corte de luz durante escritura

Un corte de corriente mientras el NAS está escribiendo datos puede corromper los metadatos del sistema de archivos (EXT4 o Btrfs). En QNAP, el sistema de almacenamiento basado en Linux Software RAID (mdadm) guarda un superbloque con los parámetros del array en cada disco. Si ese superbloque se corrompe parcialmente, el NAS puede no reconocer el array en el siguiente arranque y mostrar el volumen como "no disponible".

Ransomware QLocker / DeadBolt (muy específico de QNAP)

QNAP ha sido objetivo prioritario de varios grupos de ransomware a lo largo de los últimos años. A diferencia de otros fabricantes de NAS, QNAP ha sufrido campañas masivas dirigidas específicamente a sus dispositivos, aprovechando vulnerabilidades en el sistema operativo QTS. Ver la sección siguiente para un análisis detallado.

Error en actualización QTS / QuTS hero que corrompe metadatos

Las actualizaciones del sistema operativo QTS o de su variante QuTS hero (basada en ZFS) son generalmente seguras, pero pueden provocar pérdida de acceso al volumen en escenarios concretos: corte de corriente durante la actualización, incompatibilidad con el hardware del NAS (especialmente en modelos más antiguos fuera de soporte oficial) o conflicto con paquetes instalados de terceros. El síntoma habitual es que el NAS arranca pero el gestor de almacenamiento muestra el volumen como "dañado" o directamente no lo detecta.

Fallo del controlador SATA/SAS en la unidad NAS

El hardware interno del NAS (placa base, controlador de almacenamiento, memoria RAM soldada) puede fallar de forma independiente a los discos. En estos casos los discos están físicamente intactos y todos los datos están presentes en ellos, pero el QNAP no puede leerlos porque el controlador que gestiona el RAID no funciona. La solución es extraer los discos, identificar los parámetros del array mdadm almacenados en los superbloques de cada disco y reconstruirlo en un entorno forense.

Eliminación accidental de carpetas compartidas

Uno de los casos más frecuentes y delicados. El usuario elimina una carpeta compartida desde la interfaz QTS (o un usuario con permisos lo hace remotamente), o reinicializa el NAS para "empezar de cero" sin haber hecho backup previo. La recuperación es posible si no se han escrito datos nuevos encima del espacio liberado, ya que los datos en los sectores físicos permanecen intactos hasta que el sistema operativo los sobrescriba con nueva información.

Ransomware en QNAP: QLocker, DeadBolt y eCh0raix

Los NAS QNAP son el objetivo de ransomware más frecuente entre los dispositivos NAS. No es casualidad: la combinación de una gran base instalada, dispositivos expuestos directamente a internet y vulnerabilidades explotadas antes de que los usuarios actualicen el firmware ha convertido a QNAP en una plataforma especialmente atractiva para los atacantes. Estas son las tres variantes que atendemos con mayor frecuencia:

QLocker (2021): archivos comprimidos con contraseña en 7z

QLocker fue la campaña de ransomware más masiva dirigida específicamente a dispositivos QNAP. En abril-mayo de 2021 afectó a miles de dispositivos en todo el mundo, incluyendo numerosos clientes en España. El mecanismo era peculiar: en lugar de cifrar los archivos directamente, el malware los comprimía con contraseña en archivos .7z usando el propio motor 7-Zip instalado en el QNAP, y después eliminaba los originales. El resultado: todas las carpetas del NAS aparecen llenas de archivos .7z con contraseña, y los originales han desaparecido.

Buenas noticias para víctimas de QLocker: Si el QNAP no fue apagado durante el ataque, es posible que los archivos originales eliminados por el malware aún sean recuperables mediante análisis forense del espacio no asignado en el volumen EXT4. La recuperación no está garantizada, pero la tasa de éxito en estos casos es notable.

DeadBolt (2022): cifrado directo con extensión .deadbolt

DeadBolt apareció en enero de 2022 y se extendió a lo largo de ese año en múltiples oleadas, cada una aprovechando una vulnerabilidad distinta del firmware QNAP. A diferencia de QLocker, DeadBolt cifra los archivos directamente añadiendo la extensión .deadbolt y exige el pago de 0,03 Bitcoin a cambio de la clave de descifrado. Adicionalmente, modifica la página de inicio de sesión de QTS para mostrar la nota de rescate, haciendo que el NAS muestre la demanda incluso antes de iniciar sesión.

La recuperación de datos en sistemas afectados por DeadBolt sin pagar el rescate es técnicamente posible en ciertos escenarios: si el NAS tenía snapshots activos anteriores al ataque, o si la variante de DeadBolt que afectó el dispositivo ya cuenta con una clave de descifrado pública (varias versiones han sido neutralizadas).

eCh0raix: afecta tanto a QNAP como a Synology

eCh0raix (también conocido como QNAPCrypt) es un ransomware más antiguo, activo desde 2019, que ataca tanto NAS QNAP como Synology. Cifra los archivos y añade una extensión aleatoria o .encrypt. Es menos agresivo que DeadBolt en cuanto a velocidad de propagación, pero igualmente devastador si no se tienen snapshots.

NO pagues el rescate sin consultar primero

Pagar el rescate no garantiza en absoluto la recuperación de los datos. En muchos casos los atacantes no proporcionan la clave prometida, o la clave funciona solo parcialmente. Además, el pago financia futuras campañas contra otros usuarios.

Antes de tomar cualquier decisión, consulta el proyecto No More Ransom — una iniciativa de Europol, la Polícia Nacional y empresas de ciberseguridad que ofrece descifradores gratuitos para decenas de variantes de ransomware. También contacta con nuestro laboratorio para evaluar opciones de recuperación forense antes de pagar.

Proceso de recuperación post-ransomware en laboratorio

Cuando un QNAP afectado por ransomware llega a nuestro laboratorio, el proceso es el siguiente:

  1. Imagen forense completa de todos los discos del array antes de cualquier intervención
  2. Identificación de la variante de ransomware y verificación en bases de datos de descifradores conocidos
  3. Análisis de snapshots: comprobamos si el NAS tenía snapshots activos en QTS/QuTS hero previos al ataque
  4. Recuperación de espacio no asignado: si el ransomware borró los originales antes de cifrar (como en QLocker), analizamos el espacio libre del volumen
  5. Descifrado si existe clave disponible; si no, extracción del máximo contenido accesible no cifrado
  6. Entrega y recomendación de medidas preventivas

Lo que NO debes hacer si tu QNAP NAS falla

Cada acción incorrecta tras un fallo puede reducir drásticamente las probabilidades de recuperación. Las advertencias siguientes están basadas en casos reales atendidos en nuestro laboratorio:

NO reinicialices el RAID desde la interfaz QTS

Reinicializar el pool de almacenamiento o crear un nuevo volumen borra los superbloques mdadm y los metadatos del sistema de archivos. Aunque los datos físicos en los sectores permanezcan intactos durante un tiempo, la pérdida de los metadatos del sistema de archivos multiplica enormemente la dificultad de recuperación y reduce la tasa de éxito de forma dramática.

NO hagas "rebuild" del array si hay más de 1 disco fallido

El proceso de reconstrucción escribe intensivamente en todos los discos del array. Si alguno de los discos supervivientes tiene sectores defectuosos —incluso sin fallo declarado—, la sobrecarga de la reconstrucción puede provocar un segundo fallo durante la operación, destruyendo la paridad y haciendo irrecuperable el array.

NO apagues y enciendas repetidamente

Si los discos presentan fallo físico (cabezales dañados, motor bloqueado, platos rayados), cada ciclo de arranque empeora el daño. Si escuchas chasquidos, clics o ruidos repetitivos al encender el NAS, apaga de inmediato y no vuelvas a encenderlo. Llama a un laboratorio antes de intentar cualquier otra acción.

NO actualices QTS en un NAS con RAID degradado

Una actualización del sistema operativo QTS o QuTS hero mientras el array está en estado degradado es una combinación extremadamente peligrosa. La actualización puede fallar a mitad del proceso, dejando el firmware en un estado inconsistente y el array inaccesible. Si el NAS está en estado degradado, no actualices el firmware hasta que el array esté completamente sano.

NO instales apps de recuperación en el propio NAS

Instalar y ejecutar herramientas de recuperación de datos directamente sobre el NAS con los datos comprometidos provoca escrituras en los mismos discos que se intenta recuperar. Esto puede sobrescribir archivos borrados que todavía eran recuperables. La recuperación debe realizarse siempre sobre imágenes forenses en un entorno externo al propio NAS.

Lo que SÍ debes hacer: acción correcta inmediata
  • Apagar el NAS de forma limpia (si sigue respondiendo) o desconectar la corriente
  • Anotar el modelo exacto del QNAP, el modelo y la posición (bahía) de cada disco
  • Fotografiar el estado de los LEDs antes de apagar
  • No intercambiar discos de bahía: el orden de los discos en el array es crítico
  • Contactar con un laboratorio especializado antes de cualquier otra acción

Recuperación según tipo de fallo

El enfoque de recuperación varía significativamente según cuál sea la causa del fallo. A continuación describimos el proceso específico para cada escenario:

Fallo lógico Corrupción de metadatos sin daño físico

Los discos están físicamente sanos pero el sistema de archivos (EXT4 o Btrfs) presenta corrupción en metadatos, journal o árbol de inodos. El QTS no puede montar el volumen.

Proceso: Imagen de cada disco → Reconstrucción virtual del array mdadm → Montaje del sistema de archivos sobre la imagen → Extracción de archivos. Tasa de éxito: 85–95%.

RAID 5 — 1 disco fallido Array degradado, dentro de la tolerancia

RAID 5 está degradado por el fallo de un disco. Técnicamente el array podría reconstruirse, pero si el disco fallido tiene daño físico la reconstrucción estándar es arriesgada.

Proceso: Imagen de todos los discos (incluido el fallido) → Reparación del disco dañado en sala limpia si es necesario → Reconstrucción virtual del RAID sobre imágenes → Extracción de datos. Tasa de éxito: 80–90%.

RAID 5 — 2 discos fallidos Array caído, sin posibilidad de reconstrucción estándar

Se ha superado la tolerancia del RAID 5. La reconstrucción estándar es imposible porque falta más información de paridad de la disponible.

Proceso: Imagen de todos los discos → Reparación de discos con daño físico → Reconstrucción parcial aplicando técnicas de interpolación sobre las zonas de error → Extracción del máximo contenido posible. Tasa de éxito: 60–75% dependiendo de la distribución de sectores defectuosos.

Firmware / QTS Actualización fallida o corrupción del sistema operativo

El firmware QTS o QuTS hero quedó en estado inconsistente tras una actualización fallida. El NAS puede no arrancar o arrancar pero no detectar el array de almacenamiento.

Proceso: Los datos residen en los discos, no en el firmware. Extraemos los discos, los conectamos a nuestro entorno forense, identificamos los parámetros del array mdadm en los superbloques y reconstruimos el volumen sin necesidad del hardware QNAP original. Tasa de éxito: 85–95%.

Ransomware QLocker, DeadBolt, eCh0raix

Los archivos han sido cifrados o comprimidos con contraseña. El array RAID en sí puede estar operativo; el problema es el cifrado de los datos.

Proceso: Imagen forense completa → Identificación de la variante → Búsqueda de descifrador disponible (No More Ransom, CISA, bases de datos propias) → Análisis de snapshots QTS/QuTS hero → Recuperación forense de espacio no asignado para versiones anteriores de archivos → Extracción del contenido accesible. Tasa de éxito variable según variante y configuración del NAS.

Compatibilidad — modelos QNAP que hemos recuperado

Trabajamos con toda la gama QNAP, desde los modelos de 2 bahías para hogar hasta los arrays de rack para entornos empresariales. A continuación algunos de los modelos que atendemos con mayor frecuencia:

Modelo Bahías Sistema Perfil de uso habitual
TS-230 2 QTS Backup doméstico y autónomos
TS-251D 2 QTS SOHO, RAID 1, muy extendido
TS-431 4 QTS PYME, RAID 5 de 4 discos
TS-453D 4 QTS PYME con 2.5GbE, muy atacado por ransomware
TS-653B 6 QTS Multimedia y virtualización SMB
TVS-672N 6 QTS Entornos corporativos con PCIe NVMe
TVS-1282T3 12+2 QTS Thunderbolt 3, producción audiovisual
TS-873U 8 QTS Rack 1U, centros de datos PYME
TS-h886 8 QuTS hero (ZFS) Entornos críticos, ZFS con deduplicación

La recuperación funciona independientemente del modelo de QNAP porque trabajamos directamente sobre imágenes de los discos en un entorno forense externo. No necesitamos el hardware QNAP original para reconstruir el array — los parámetros mdadm (o los metadatos ZFS en QuTS hero) están almacenados en los propios discos.

¿Tienes un QNAP con QuTS hero? Los modelos QuTS hero utilizan ZFS en lugar de EXT4/mdadm. ZFS tiene características propias (RAIDZ1/RAIDZ2, copias de seguridad de metadatos, checksums nativos) que cambian el proceso de recuperación. Nuestro laboratorio trabaja también con ZFS — consulta para un diagnóstico adaptado a tu caso.

Precio recuperación datos NAS QNAP [2026]

El precio de recuperación de un NAS QNAP depende del tipo de fallo, el número de discos del array y si hay daño físico en los discos. Los rangos orientativos siguientes se establecen siempre tras diagnóstico gratuito previo:

Tipo de fallo Discos Plazo Precio orientativo
Fallo lógico — corrupción EXT4/Btrfs
Discos sanos, volumen no accesible 		cualquiera 3–7 días desde 890€
RAID 5 lógico — 1 disco fallido
Array degradado, sin daño físico severo 		3–4 4–12 días desde 890€
RAID 5 con 2 discos fallidos
Array caído, reconstrucción parcial necesaria 		3–4 10–15 días 1.000–1.800€
Ransomware (QLocker, DeadBolt, eCh0raix)
Archivos cifrados o comprimidos con contraseña 		cualquiera 7–14 días desde 900€
Corrupción de firmware / QTS fallido
NAS no arranca, actualización interrumpida 		cualquiera 4–12 días desde 890€
Daño físico en uno o más discos
Cabezales dañados, motor bloqueado, sala limpia 		cualquiera 15–25 días presupuesto individual

Los precios incluyen: diagnóstico, reconstrucción del array, extracción de datos y entrega en disco externo de hasta 4TB. IVA no incluido. Recogida gratuita en toda España. Sin recuperación, sin coste.

Urgencias empresariales: Ofrecemos servicio express con diagnóstico en 2 horas y plazo reducido a la mitad. Imprescindible para empresas que no pueden permitirse detener su operativa. Consulta disponibilidad al solicitar el diagnóstico.

¿Tu NAS QNAP no arranca o ha sufrido un ransomware?

Diagnóstico gratuito en 4 horas. Sin recuperación, sin coste. Recogida gratuita en toda España. ISO 27001.

900 899 002

Laboratorio en Barcelona · Atención telefónica L–V 9:00–18:30

Preguntas frecuentes sobre recuperación de NAS QNAP

¿Pueden recuperar datos de un QNAP con DeadBolt ransomware? +

Sí, en muchos casos es posible recuperar datos de un QNAP afectado por DeadBolt, especialmente si el dispositivo tenía snapshots activos en QTS antes del ataque. Los snapshots de QNAP, gestionados desde el gestor de almacenamiento QTS, pueden haber sobrevivido al cifrado si el ransomware no contaba con permisos suficientes para eliminarlos.

Adicionalmente, varias versiones de DeadBolt han sido analizadas por investigadores de seguridad y las claves de descifrado para algunas de ellas están disponibles de forma pública o a través de proyectos como No More Ransom. Antes de tomar ninguna decisión —incluyendo pagar el rescate—, contáctanos para evaluar qué opciones existen en tu caso concreto.

Si no hay snapshots ni descifrador disponible, analizamos el comportamiento del ransomware: si cifró los archivos in-place la recuperación del contenido cifrado requiere la clave; pero si los eliminó y creó archivos cifrados nuevos, es posible recuperar versiones anteriores mediante análisis forense del espacio no asignado en el volumen EXT4.

¿El QNAP usa EXT4 o Btrfs? ¿Afecta a la recuperación? +

Los QNAP con QTS estándar utilizan EXT4 como sistema de archivos sobre Linux Software RAID (mdadm). Los modelos más modernos con QuTS hero (como el TS-h886 o el TS-h1290FX) utilizan ZFS, que ofrece características avanzadas como checksums nativos, deduplicación y snapshots integrados.

Ambos sistemas son perfectamente recuperables en nuestro laboratorio. EXT4 sobre mdadm es un proceso bien conocido con alta tasa de éxito. ZFS es más complejo por su estructura interna (especialmente en casos de corrupción del pool ZFS o RAIDZ2 degradado), pero contamos con herramientas y experiencia específica para su recuperación.

La diferencia práctica más importante: los modelos con QuTS hero y ZFS tienen mayor protección de datos por diseño (los checksums de ZFS detectan corrupción silenciosa que EXT4 pasaría por alto), pero cuando el pool ZFS falla el proceso de recuperación requiere analizar la estructura de metadatos ZFS, que es más compleja que la de EXT4.

¿Qué pasa si reinicialicé el array por error? +

Una reinicialización del array borra los superbloques mdadm y los metadatos del sistema de archivos. Esta es una de las situaciones más comprometidas, pero no necesariamente un caso perdido: los datos en los sectores físicos de los discos no se borran de forma inmediata en una reinicialización —solo se sobrescriben a medida que se escriben datos nuevos encima.

Las claves críticas para la recuperación en este escenario son: cuántos datos nuevos se han escrito encima (cero es ideal; cuanto menos, mejor) y la capacidad total de los discos (en discos grandes hay más probabilidad de que los datos antiguos permanezcan en sectores no reutilizados aún).

Si reinicializaste el array, apaga el NAS inmediatamente, no escribas ningún dato nuevo y contacta con nuestro laboratorio. Cuanto antes actuemos, mayores son las probabilidades de recuperación. No instales nada en el QNAP, no crees nuevas carpetas compartidas y no copies archivos al NAS hasta que un técnico evalúe el caso.

¿Pueden recuperar datos si solo tenía RAID 0 (sin redundancia)? +

Sí, la recuperación de RAID 0 en QNAP es posible aunque más compleja. RAID 0 distribuye los datos entre todos los discos sin ninguna redundancia: el fallo de un único disco implica que el array deja de ser directamente accesible. Sin embargo, los datos del disco fallido (y de los discos sanos) siguen estando físicamente presentes.

El proceso consiste en determinar los parámetros del striping (tamaño de stripe —habitualmente 64KB en QNAP— y el orden de los discos en el array) y reconstruir virtualmente el RAID 0 sobre las imágenes forenses. Si el disco fallido tiene daño físico, se trata en sala limpia antes de crear la imagen.

La tasa de éxito en RAID 0 con un disco fallido oscila entre el 65–80% dependiendo del estado físico del disco averiado. Es uno de los casos donde la rapidez de actuación es más crítica: cada ciclo de arranque del NAS aumenta el riesgo de empeorar el daño físico.

¿Cuánto tarda el diagnóstico? +

El diagnóstico inicial es gratuito y sin compromiso. Tras recibir los discos en nuestro laboratorio de Barcelona (o el NAS completo si lo prefieres), emitimos una primera valoración telefónica en 4 horas para casos habituales. El diagnóstico completo con presupuesto detallado se entrega en 24–48 horas.

Si necesitas una respuesta urgente (empresa con pérdida de datos crítica en producción), ofrecemos diagnóstico express en 2 horas con prioridad máxima en el laboratorio. Consulta disponibilidad al contactarnos.

Una vez aceptado el presupuesto, el plazo de recuperación varía según el caso: fallos lógicos puros pueden resolverse en 3–7 días; casos con daño físico en uno o más discos pueden requerir 15–25 días dependiendo de la disponibilidad de piezas de repuesto para el modelo de disco afectado.

¿Necesitas recuperar datos?

Nuestro equipo técnico puede ayudarte. Diagnóstico gratuito en 4 horas, sin compromiso.

  • Precio: Desde 250€ + IVA — sin recuperación, sin coste
  • Plazo: 4–12 días laborables (urgente: 24–48 h)
  • Teléfono: 900 899 002
  • Certificación: ISO 9001 e ISO 27001 (AENOR)

Escrito por

Ángel López

Técnico de Laboratorio — Móviles y Forense — RecuperaTusDatos

Técnico especializado en recuperación de datos de dispositivos móviles y análisis forense digital. Experto en técnica chip-off, extracción de chips NAND flash y herramientas Cellebrite UFED, MSAB XRY y Oxygen Forensics.

Cellebrite UFED MSAB XRY Chip-Off NAND
Publicado: 06/04/2025 12 min de lectura

Servicio disponible en toda España — Recogida gratuita en 24h

Barcelona
Madrid
Valencia
Sevilla
Bilbao
Zaragoza
Málaga
Alicante
Murcia
Palma
Córdoba
Vigo

Recibe consejos y alertas de recuperación de datos

Guías prácticas, novedades y consejos para proteger tus datos. Sin spam.

Entérate de todo lo nuevo

Técnica Ingeniería y Robótica Aplicada S.L. como responsable del tratamiento tratará tus datos con la finalidad de dar respuesta a tu consulta o petición. Puedes acceder, rectificar y suprimir tus datos, así como ejercer otros derechos consultando la información adicional y detallada sobre protección de datos en nuestra Política de Privacidad.

Prometemos enviarte sólo información interesante.

Diagnóstico gratuito 900 899 002 WhatsApp WhatsApp
Llamar Te llamamos Diagnóstico

¿Necesitas recuperar datos?

Diagnóstico 100% gratuito y sin compromiso.
Si no recuperamos tus datos, no cobramos.

Solicitar diagnóstico gratuito