Un ransomware acaba de cifrar tus archivos y la nota exige un pago en bitcoin. Antes de cualquier decisión, debes saber que pagar no es la única opción ni la más fiable. Para aproximadamente una familia de ransomware de cada tres, existe un descifrador gratuito oficial — publicado por las autoridades, los editores de antivirus o investigadores independientes. Esta guía detalla el procedimiento completo para identificar tu cepa, comprobar si existe una clave disponible e intentar la recuperación sin pagar un céntimo.
El contenido se apoya en los recursos públicos de Europol, del proyecto No More Ransom, de MalwareHunterTeam, de los informes trimestrales de Coveware y Chainalysis, de las recomendaciones de CISA / FBI / INCIBE / ANSSI y del catálogo de descifradores Emsisoft, que constituyen la columna vertebral de la respuesta frente a los ransomware en 2026.
Cómo funciona el cifrado de un ransomware moderno
Comprender la criptografía utilizada permite medir por qué algunos ransomware son descifrables y otros no.
Cifrado híbrido AES + RSA
Los ransomware actuales (LockBit, BlackCat, Akira, Royal, Play) utilizan un esquema híbrido:
- Se genera de forma aleatoria una clave simétrica AES-256 (a veces ChaCha20 o Salsa20) para cada archivo o por lotes de archivos.
- Esta clave AES cifra el contenido real de los archivos — operación rápida, varios gigabytes por minuto.
- La propia clave AES se cifra con una clave pública RSA-2048 (o ECC, curvas elípticas Curve25519) integrada en el malware.
- La clave privada RSA correspondiente permanece en el servidor del atacante: sin ella, es imposible recuperar las claves AES y por tanto descifrar matemáticamente.
Este diseño hace que el descifrado por fuerza bruta sea inviable en 2026: romper RSA-2048 exige recursos fuera del alcance de los grandes proveedores cloud públicos. Un ataque cuántico de tipo Shor exigiría un ordenador cuántico tolerante a fallos de unos 20 millones de qubits físicos, fuera de alcance antes de 2035 como mínimo.
Por qué algunas cepas sí son descifrables
Los descifradores gratuitos no se basan en la fuerza bruta sino en errores de implementación, fugas de claves o incautaciones de servidores:
- Implementación criptográfica defectuosa: generador pseudoaleatorio predecible (caso STOP/Djvu offline ID, donde se reutiliza la misma clave cuando la infección se produce sin contacto con el C2), reutilización de nonce, modo de cifrado vulnerable.
- Fuga de la clave maestra: publicación de código fuente, infiltración policial, deserción de un afiliado. Caso Babuk (junio de 2021), Conti (marzo de 2022), LockBit (Operation Cronos 2024).
- Incautación de servidor C2: operaciones de Europol/FBI que recuperan la base de claves privadas. Caso GandCrab (2019), REvil parcial (2021), Hive (enero de 2023), LockBit (febrero de 2024).
- Error de diseño: la clave se almacena localmente en un archivo de log, en el registro, o se transmite en claro. Varias familias de bajo presupuesto cometieron estos errores.
Para las cepas de alta gama correctamente implementadas (LockBit 3.0/Black, BlackCat/ALPHV, Akira posterior a 2024), no se ha encontrado públicamente ninguno de estos fallos. Permanecen indescifrables sin la clave privada de los operadores.
El proyecto No More Ransom: pivote ineludible
Lanzado en julio de 2016 por Europol EC3 (European Cybercrime Centre), la Policía Nacional Holandesa, Kaspersky y McAfee, el portal nomoreransom.org se ha convertido en diez años en la referencia mundial del descifrado gratuito.
Cifras clave en 2026
- Más de 160 herramientas oficiales de descifrado descargables.
- Cobertura de aproximadamente 200 familias y subfamilias de ransomware.
- Más de 1,8 millones de víctimas ayudadas desde 2016 (informe anual Europol 2025).
- 188 socios en el mundo: fuerzas del orden, CERTs, editores de antivirus, universidades.
- Disponible en 37 idiomas, entre ellos español, francés, alemán, japonés.
El servicio Crypto Sheriff
Núcleo del portal, Crypto Sheriff identifica automáticamente la cepa a partir de dos archivos cifrados (menos de 1 MB cada uno) y de la nota de rescate o una URL contenida en ella. La herramienta compara extensiones, estructuras de archivos, patrones de cabecera y direcciones de pago contra una base interna. Cuando encuentra una correspondencia, redirige hacia el descifrador correspondiente y sus instrucciones.
Si no existe ninguna herramienta para la cepa, el servicio lo indica claramente y aconseja volver más tarde — la base se actualiza cada semana.
Límites a conocer
El portal no descifra en línea. Proporciona herramientas para descargar y ejecutar localmente. Ningún archivo sensible se sube a sus servidores más allá de la identificación. Los descifradores están firmados por los editores socios: Avast, Bitdefender, Emsisoft, Kaspersky, Trend Micro, Tesorion, AVG.
ID Ransomware: el otro pilar de la identificación
El servicio id-ransomware.malwarehunterteam.com, mantenido desde 2016 por Michael Gillespie (acompañado por MalwareHunterTeam), cubre una base más amplia: más de 1 300 familias y variantes en 2026, es decir más que No More Ransom (centrado en descifradores disponibles).
Cómo utilizarlo
En la página de inicio:
- Sube un archivo cifrado (tamaño máximo 100 MB, pero 1-10 MB es suficiente).
- Y/o sube la nota de rescate (TXT, HTML, HTA).
- Y/o pega una dirección de correo o URL Tor mencionada en la nota.
El servicio compara la cabecera del archivo, la extensión, el contenido de la nota y los indicadores de red contra la base. Devuelve:
- El nombre canónico de la familia (por ejemplo Phobos, STOP/Djvu, MedusaLocker).
- La variante precisa si es identificable.
- Un enlace directo a los recursos de recuperación existentes.
- Una indicación "DECRYPTABLE" o "NO DECRYPTOR AVAILABLE".
Para profundizar en la identificación exacta de variantes, consulta nuestra guía identificar un ransomware con ID Ransomware, que detalla las trampas de los falsos positivos y los marcadores distintivos entre Phobos, Dharma y Crysis.
Familias descifrables gratuitamente en 2026
La tabla siguiente sintetiza las principales cepas para las que existe una herramienta oficial, con su editor y su tasa de éxito observada.
| Familia | Extensión típica | Descifrador | Editor | Tasa de éxito |
|---|---|---|---|---|
| STOP/Djvu (offline ID) | .djvu, .stop, .promorad | STOPDecrypter | Emsisoft | 70-90 % (solo offline ID) |
| Crysis / Dharma | .crysis, .dharma, .wallet | Crysis Decryptor | Avast / Kaspersky | 95 % |
| GandCrab v1-v5.2 | .gdcb, .crab, .krab | GandCrab Decryptor | Bitdefender | 99 % |
| Shade / Troldesh | .crypted, .breaking_bad | Shade Decryptor | Kaspersky | 95 % |
| Avaddon | .avdn | Avaddon Decryptor | Bitdefender | 99 % |
| REvil anterior a julio 2021 | .revil, .sodinokibi | REvil Universal Decryptor | Bitdefender | 90 % (clave con caducidad) |
| Babuk (claves filtradas) | .babuk, .babyk | Babuk Decryptor | Avast | 99 % |
| LockBit (incautación Cronos) | .lockbit | LockBit Decryptor | NCA / FBI / Europol | Parcial según variantes |
| Conti (fuga de código) | .conti | Conti Decryptor (limitado) | Varios investigadores | Caso por caso |
| Hive | .hive | Hive Decryptor | FBI / Europol | Parcial (incautación 2023) |
| AES_NI, Jaff, Crysis | varios | Herramientas dedicadas | Kaspersky | 90 %+ |
| TeslaCrypt | .vvv, .ecc, .ezz, .exx | TeslaDecoder | BloodDolly | 100 % (clave maestra publicada) |
| WannaCry | .wncry, .wcry | wanakiwi / wannakey | Adrien Guinet / Benjamin Delpy | Depende de la RAM preservada |
Foco STOP/Djvu: la cepa del gran público
STOP/Djvu sigue siendo en 2025-2026 la familia más activa contra el público general (informes Emsisoft y MalwareHunterTeam). Se propaga mediante cracks de software, keygens e instaladores troyanizados descargados de sitios warez.
Dos modos de cifrado:
- Offline ID: sin conexión al servidor C2 en el momento de la infección. La misma clave se reutiliza para todas las víctimas del mismo build. Emsisoft tiene la base y puede descifrar entre el 70 % y el 90 % de los casos offline.
- Online ID: conexión C2 exitosa, clave única por víctima. Indescifrable sin la clave privada de los atacantes.
El descifrador STOPDecrypter de Emsisoft indica automáticamente el tipo de ID tras subir el archivo de referencia personal.txt generado por el malware.
Familias indescifrables en 2026
A la inversa, varias cepas activas no tienen ningún descifrador público. No pierdas tiempo buscando: conserva los archivos cifrados y pivota hacia la recuperación por copia de seguridad o por shadow copies.
- LockBit 3.0 / Black (posterior a 2022, fuera de las claves obtenidas de Cronos) — criptografía correcta, RaaS dominante.
- BlackCat / ALPHV — escrito en Rust, multi-OS, operativo hasta mediados de 2024 y luego disperso. Sin incautación pública explotable.
- Akira — activo desde 2023, ataca pymes y hospitales, sin fallo público.
- Royal / BlackSuit — sucesor de Conti, criptografía híbrida sólida.
- Play (PlayCrypt) — activo desde 2022.
- Medusa, MedusaLocker — activos, distintos entre sí.
- 8Base — activo desde 2022.
- Cactus, Rhysida — recientes, indescifrables públicamente.
Para estas familias, la única recuperación posible pasa por copias de seguridad limpias, shadow copies no destruidas o restauración de archivos residuales no cifrados. Consulta nuestra guía pilar de recuperación tras ransomware para la metodología completa.
Procedimiento paso a paso: probar un descifrador oficial
Aquí va el flujo recomendado una vez identificada la cepa y encontrado un descifrador.
1. Preparar un entorno de prueba
- Trabaja sobre una copia de un archivo cifrado, nunca sobre el original. Un error del descifrador puede sobrescribir irreversiblemente el archivo.
- Crea una carpeta aislada en un disco externo limpio, copia 5 a 10 archivos cifrados de formatos distintos (DOCX, JPG, PDF, MP4, ZIP).
- Desactiva temporalmente la sincronización cloud para evitar propagar archivos descifrados parcialmente corruptos.
2. Verificar la autenticidad del descifrador
Descarga únicamente desde páginas oficiales:
- Emsisoft: decrypter.emsisoft.com
- Avast: avast.com/ransomware-decryption-tools
- Bitdefender: bitdefender.com/blog/labs/
- Kaspersky: noransom.kaspersky.com
- No More Ransom: nomoreransom.org/es/decryption-tools.html
Verifica la firma digital del ejecutable (clic derecho → Propiedades → Firmas digitales) y el hash SHA-256 si está publicado. Varios descifradores falsos de Bitdefender y Avast circulan por foros underground con una carga útil secundaria.
3. Confirmar la cepa con un análisis antivirus
Antes de ejecutar el descifrador, analiza la máquina con un AV actualizado (ESET, Malwarebytes, Bitdefender free) en modo offline mediante una llave de arranque. Confirma la familia detectada. Si el análisis revela una cepa distinta de la identificada por ID Ransomware, no ejecutes el descifrador — podría dañar los archivos.
4. Ejecutar sobre la copia
Lanza la herramienta, apúntala a la carpeta de prueba, proporciona los pares de archivos exigidos (uno cifrado + uno original sin cifrar del mismo archivo, para las herramientas que lo piden — típicamente Avast).
Activa sistemáticamente:
- La opción conservar los archivos cifrados (por si el descifrado los corrompiera).
- El modo de prueba o dry run si está disponible.
5. Verificar la integridad de los archivos descifrados
Abre cada archivo en su aplicación nativa:
- DOCX / XLSX: Word/Excel debe abrirlo sin mensaje de reparación.
- JPG / PNG: visor de fotos, comprobar el aspecto visual completo.
- PDF: Acrobat o navegador, paginación intacta.
- ZIP / 7z: integridad comprobada mediante la función nativa del archivador.
Compara el tamaño de los archivos descifrados con el esperado (los originales antes del cifrado, si tienes duplicados en cloud). Una diferencia de unos pocos bytes es normal (el cifrado quita/añade padding y una cabecera de marcador), pero una diferencia importante indica un problema.
6. Lanzar el descifrado completo
Una vez validado el procedimiento sobre los 5-10 archivos de prueba, designa los volúmenes completos y arranca. Cuenta con varias horas para unos pocos centenares de gigabytes. Vigila los logs: algunos archivos pueden quedar marcados como parcialmente corruptos (a menudo porque el ransomware fue interrumpido durante el cifrado y dejó archivos a medio procesar).
Alternativas cuando no existe descifrador
Si la cepa está en la lista de indescifrables, no pierdas tiempo. Las vías de recuperación restantes:
Restauración desde copia de seguridad
Es la vía más fiable, siempre que se disponga de una copia anterior al ataque, desconectada en el momento del cifrado. Los ransomware modernos atacan activamente los discos de backup conectados y las carpetas compartidas en red. Consulta las buenas prácticas 3-2-1-1-0 en nuestra guía de recuperación.
Shadow copies de Windows
Windows crea copias instantáneas de volumen (VSS) en segundo plano. Los ransomware intentan eliminarlas con vssadmin delete shadows /all, pero muchos se saltan ciertos volúmenes o fallan por falta de privilegios. Nuestra guía shadow copies de Windows y recuperación detalla las herramientas ShadowExplorer, vssadmin y la pestaña Versiones anteriores para recuperar incluso cuando VSS parece vacío.
File carving
Las herramientas de recuperación como PhotoRec (gratuita), R-Studio o EaseUS Data Recovery Wizard escanean el espacio libre del disco buscando firmas de archivos. Cuando el ransomware cifra un archivo, escribe el archivo cifrado y luego borra el original — el original suele ser recuperable mientras los bloques no hayan sido reescritos.
Lanza el análisis inmediatamente tras aislar el equipo para maximizar las posibilidades. Cuanto más tiempo gire el disco después del ataque, más se sobrescriben los bloques libres.
Archivos residuales no cifrados
Varias categorías de archivos suelen escapar al cifrado y contienen datos aprovechables:
- Archivos .tmp de Office en
%APPDATA%\Microsoft\Word\y equivalentes para Excel/PowerPoint — versiones autoguardadas. - Miniaturas de Windows en
thumbcache_*.db— visualizables con ThumbCache Viewer para recuperar previsualizaciones de fotos. - Historial del navegador: cachés de Chrome/Firefox/Edge para imágenes vistas recientemente.
- Archivos OneDrive no sincronizados que permanecen en caché local sin cifrar según el momento del ataque.
Para evaluar rápidamente tus posibilidades de recuperación según tu caso (cepa, copias de seguridad disponibles, tipo de soporte), usa nuestro diagnóstico gratuito.
Por qué NO pagar el rescate
Más allá del argumento ético, varias razones técnicas y jurídicas respaldan la posición oficial de INCIBE / CISA / FBI / ANSSI / Europol.
El pago no garantiza la recuperación
Informe Coveware Q4 2025:
- 8 % de las víctimas que pagan no reciben ninguna clave tras el pago.
- 29 % reciben un descifrador defectuoso o incompleto (clave inválida para algunos archivos, herramienta que se cuelga, rendimiento inaceptable).
- 63 % recuperan sus archivos pero con pérdidas parciales (típicamente entre el 4 % y el 15 % de archivos no descifrables).
- Solo alrededor del 30 % de las víctimas que pagan recuperan la totalidad de sus datos.
Comparado con el 90 %+ de recuperación cuando existe un descifrador oficial, la relación riesgo/beneficio del pago es desfavorable.
El pago financia y alimenta el ecosistema
El Chainalysis Crypto Crime Report 2025 estima los ingresos mundiales del ransomware en unos 1 100 millones USD en 2024, en caída del 35 % respecto al pico de 2023 — precisamente porque cada vez más víctimas se niegan a pagar. Cada pago refuerza el modelo de negocio e incita a la reinfección: Coveware mide una tasa de reataque del 78 % en los 18 meses siguientes a un pago exitoso.
Riesgo legal — sanciones OFAC
En Estados Unidos, la OFAC (Office of Foreign Assets Control) prohíbe cualquier transacción con entidades sancionadas. Varios grupos de ransomware están listados: Evil Corp (sanciones 2019), operadores Conti / Trickbot (2023), operadores individuales de LockBit (2024). Pagar un ransomware vinculado a estos grupos constituye una violación susceptible de acciones civiles y penales contra la entidad que paga o que facilita el pago (incluidos los despachos de negociación).
La UE y el Reino Unido convergen hacia normas similares. En España, el Código Penal artículo 575 sobre financiación del terrorismo puede aplicarse si el grupo está vinculado a un Estado hostil (caso de varios grupos norcoreanos y rusos).
Posición oficial de INCIBE y otros
El INCIBE (Instituto Nacional de Ciberseguridad) en España, junto con la Oficina de Seguridad del Internauta (OSI), recomienda explícitamente desde 2020: no pagar el rescate, denunciar a las Fuerzas y Cuerpos de Seguridad y solicitar ayuda gratuita a través de la línea 017. La ANSSI francesa, el FBI estadounidense y la NCSC británica publican mensajes equivalentes. La CISA coordina la iniciativa StopRansomware.gov que centraliza alertas y descifradores.
Estadísticas 2025-2026 a recordar
| Métrica | Valor 2025 | Fuente |
|---|---|---|
| Víctimas mundiales (organizaciones identificadas) | ~5 400 ataques publicados | Ransomwatch / Ecrime |
| Ingresos ransomware totales 2024 | ~1 100 millones USD | Chainalysis 2025 |
| Rescate medio exigido 2025 | ~340 000 USD | Coveware Q4 2025 |
| Rescate medio pagado 2025 | ~117 000 USD | Coveware Q4 2025 |
| Porcentaje de víctimas que pagan | ~29 % | Coveware (caída desde el 76 % en 2019) |
| Tasa de recuperación completa tras el pago | ~30 % | Coveware Q4 2025 |
| Familias cubiertas por No More Ransom | ~200 | Europol 2025 |
| Víctimas ayudadas por No More Ransom | 1,8 millones+ | Europol 2025 |
| Familias indexadas por ID Ransomware | 1 300+ | MalwareHunterTeam |
Para anticipar en lugar de sufrir, un antivirus moderno con módulo anti-ransomware (rollback automático, detección por comportamiento) reduce drásticamente el riesgo. Nuestro comparativo de los mejores antivirus antiransomware 2026 detalla las soluciones Bitdefender, Norton, Kaspersky, Malwarebytes y Acronis con sus puntuaciones de bloqueo en pruebas independientes AV-Test y AV-Comparatives.
Recapitulación: tu camino de decisión
- Aísla el equipo, fotografía la nota de rescate, anota la extensión.
- Identifica la cepa con ID Ransomware (id-ransomware.malwarehunterteam.com).
- Verifica la disponibilidad de un descifrador en No More Ransom (nomoreransom.org).
- Si hay descifrador disponible: descarga desde la fuente oficial, prueba sobre una copia y luego ejecuta.
- Si no hay descifrador: restaura desde copia de seguridad limpia, o intenta shadow copies y file carving sobre los archivos residuales.
- Conserva los archivos cifrados en un disco externo: puede aparecer un descifrador meses o años más tarde.
- No pagues: 70 % de probabilidad de recuperación incompleta, financiación criminal, riesgo OFAC, tasa de reataque del 78 %.
- Denuncia ante las autoridades (línea 017 de INCIBE en España, IC3 en EE. UU., cybermalveillance.gouv.fr en Francia) y notifica a la autoridad de protección de datos si hay datos personales de terceros implicados.
El descifrado gratuito funciona realmente para cientos de miles de víctimas cada año. El reflejo debe ser siempre: identificación, No More Ransom, prueba sobre copia, y solo entonces decisión sobre las alternativas.
★ Éditeur fondé en 2004 · ✓ Garantie 30 jours · Version gratuite jusqu'à 2 Go
Probar EaseUS Data Recovery Wizard30 jours satisfait ou remboursé→
