Abres tu PC y ves la nota. "Tus archivos han sido cifrados." Las extensiones de tus documentos han cambiado a algo incomprensible — .locked, .crypt, .blackcat, da igual cuál. El antivirus está en silencio o desactivado. Aparece una dirección de Bitcoin en la pantalla.
El instinto es entrar en pánico y buscar cómo pagar. Eso es exactamente lo que los atacantes cuentan.
La verdad: pagar primero casi nunca es la decisión correcta. Hay pasos previos — y algunos pueden recuperar una parte significativa de tus datos de forma gratuita. Esta guía va directamente al punto.
NO PAGUES todavía — por qué y qué hacer primero
Menos del 50% de las víctimas que pagan recuperan todos sus archivos, según datos del FBI y Europol de 2025. Algunas reciben una herramienta de descifrado defectuosa. Otras no reciben nada. Y quienes pagan una vez se convierten en objetivos prioritarios — los grupos criminales comparten estas listas activamente.
Las autoridades — FBI, CISA, Europol, CCN-CERT en España — recomiendan unánimemente no pagar, al menos hasta haber:
- Verificado si existe un descifrador gratuito para tu variante
- Evaluado el estado de tus copias de seguridad
- Intentado recuperar lo que se pueda
No es optimismo. Es método.
Paso 1 — Aislar el equipo (hazlo ahora, antes de seguir leyendo)
Antes de cualquier otra cosa, si aún no lo has hecho:
- Desconecta el cable Ethernet
- Activa el modo avión (o desactiva el Wi-Fi manualmente)
- Retira todos los discos externos, memorias USB y tarjetas SD
- Si estás en una red compartida (NAS, carpetas compartidas de Windows): avisa inmediatamente a los otros usuarios
El ransomware moderno — LockBit, BlackCat/ALPHV, Conti, Akira — cifra en cascada: primero los archivos locales, luego las unidades de red compartidas, luego las copias de seguridad conectadas. Cada segundo que el equipo permanece en red amplía el daño.
No reinicies. No fuerces el apagado. La RAM puede contener la clave de cifrado, explotable por herramientas forenses en casos raros pero reales. Y reiniciar en un sistema todavía activo puede desencadenar un segundo ciclo de cifrado sobre los archivos creados desde la primera pasada.
Paso 2 — Identificar la variante (5 minutos, gratis)
Identificar el ransomware es el paso que casi nadie hace — y el que cambia todo.
En un dispositivo limpio (teléfono, otro PC), ve a id-ransomware.malwarehunterteam.com. Sube:
- El archivo README o HOW_TO_DECRYPT dejado por los atacantes
- Un archivo cifrado cualquiera
La base de datos reconoce más de 1.300 variantes en segundos. Identifica la familia de ransomware y, lo más importante, te dice si existe un descifrador oficial gratuito.
Después, comprueba nomoreransom.org/es — el portal oficial cogestionado por Europol, la Policía Nacional Holandesa, Kaspersky y McAfee. Más de 160 herramientas de descifrado gratuitas cubren unas 200 familias. Variantes importantes como STOP/Djvu (claves offline), GandCrab, Shade, Avaddon, algunas variantes de REvil y claves de Babuk filtradas tras incautaciones de servidores son descifrables de forma gratuita.
Para profundizar en este paso, nuestra guía completa de identificación con ID Ransomware explica cómo interpretar los resultados y qué hacer según la variante identificada.
Paso 3 — Recuperar lo que se pueda
Si no existe descifrador para tu variante, quedan opciones concretas antes de plantearse el pago o aceptar la pérdida.
Versiones anteriores y Shadow Copies de Windows
Windows mantiene instantáneas silenciosas llamadas Volume Shadow Copies (VSS). El ransomware moderno intenta eliminarlas automáticamente con vssadmin delete shadows /all — pero este comando falla parcialmente a veces, especialmente en volúmenes secundarios o discos conectados recientemente.
Para comprobarlo: clic derecho en una carpeta afectada > Propiedades > Versiones anteriores. Si aparecen versiones, son anteriores al cifrado.
Archivos originales no cifrados en el espacio libre
Este es el mecanismo que la mayoría desconoce: un ransomware cifra habitualmente cada archivo creando una copia cifrada y eliminando el original. Pero la eliminación en un disco mecánico o SSD no destruye los datos inmediatamente — simplemente marca el espacio como disponible. Mientras nada haya sido escrito en esa ubicación, los originales son recuperables.
Aquí es exactamente donde un software de recuperación de datos ayuda de forma legítima.
Archivos temporales de aplicaciones
Office (Word, Excel) y Photoshop crean archivos temporales durante la edición (.tmp, .psb, .asd). Los ransomwares los pasan por alto con frecuencia porque sus extensiones no coinciden con los objetivos prioritarios. Un escaneo en profundidad puede encontrarlos.
Cómo usar EaseUS
Conecta el disco infectado solo lectura a un PC limpio (vía USB, sin dejar que Windows lo monte en modo escritura). Abre EaseUS Data Recovery Wizard, selecciona el disco, ejecuta un escaneo profundo. La herramienta busca originales eliminados en el espacio libre, shadow copies parciales y archivos temporales intactos.
Previsualiza los resultados antes de comprar. Si tus archivos críticos aparecen en la lista, la recuperación es viable. Si el disco ha sufrido muchas escrituras desde el ataque (múltiples reinicios, nuevas instalaciones), las probabilidades disminuyen.
Escanear mi disco con EaseUS Data Recovery Wizard
Copias de seguridad en la nube con versiones
Si usabas OneDrive, Google Drive, Backblaze o iDrive en el momento del ataque, revisa el historial de versiones. Estos servicios conservan generalmente entre 30 y 365 días de versiones anteriores según la suscripción. Los archivos cifrados se sincronizaron, pero las versiones anteriores sin cifrar son accesibles desde la interfaz web.
Preguntas frecuentes
¿Debo pagar el rescate?
No, al menos no como primera opción. El FBI, CISA, Europol y el CCN-CERT en España recomiendan unánimemente no pagar. Menos del 50% de las víctimas que pagan recuperan todos sus archivos. Pagar financia futuros ataques y te señala como pagador fiable. Agota primero las vías de recuperación gratuitas descritas arriba.
¿Cómo evito el próximo ransomware?
La protección eficaz se basa en tres pilares. Copias de seguridad regulares desconectadas siguiendo la regla 3-2-1 — un disco externo desenchufado después de cada copia es inmune a cualquier ransomware. Actualizaciones aplicadas rápidamente — la mayoría de los ataques explotan vulnerabilidades conocidas hace más de 90 días. Precaución con el correo electrónico — los adjuntos de Office con macros y los enlaces de seguimiento de paquetes falsos siguen siendo los vectores de entrada dominantes. Nuestra guía de estrategia de backup 3-2-1 muestra cómo implementar esta protección de forma duradera.
Mis copias de seguridad locales también están cifradas. ¿Todo está realmente perdido?
No necesariamente. Comprueba dos cosas: primero, las copias de seguridad en la nube con versiones si tenías una activa (las versiones anteriores al cifrado siguen accesibles desde la interfaz web). Segundo, las Shadow Copies de Windows descritas más arriba. Si ambas vías están cerradas y no existe descifrador, la recuperación parcial por software sigue siendo posible para los originales eliminados antes de escribir las copias cifradas.
¿Debo denunciar el ataque?
Sí, siempre. En España: incibe.es o denuncia en la Comisaría/Guardia Civil. En México: CERT-MX. En Argentina: División de Delitos Informáticos de la PFA. Estas denuncias alimentan investigaciones que han contribuido directamente a incautaciones de servidores que luego desbloquearon claves de descifrado gratuitas — Hive, Ragnar Locker y varias variantes de Conti fueron desmanteladas de esta forma.
Para un análisis completo de los descifradores disponibles y su tasa de éxito por variante, consulta nuestra guía completa para descifrar un ransomware sin pagar.
Recuperar mis archivos con EaseUS
Probar EaseUS Data Recovery Wizard
30 jours satisfait ou remboursé
