Save My Disk
seguridad-ransomwareINFO

Ransomware en NAS Synology y QNAP: recuperación y prevención 2026

Ataques DeadBolt en QNAP, eCh0raix en Synology, Qlocker: recuperación desde snapshots de Hyper Backup, configuración inmutable, desconexión, restauración y endurecimiento.

Por Eric Gerard · Éditeur · Save My Disk14 min de lecturaFoto vía Unsplash

Los NAS Synology y QNAP domésticos y de pyme figuran desde 2019 entre los objetivos más rentables para los grupos de ransomware. Formato compacto, gran capacidad de almacenamiento, configuraciones a menudo por defecto y, sobre todo, expuestos directamente a Internet mediante UPnP o redirección de puertos para necesidades de acceso remoto en casa o en la oficina. El resultado está documentado: las campañas DeadBolt, eCh0raix y Qlocker han infectado más de 30 000 dispositivos según los recuentos de Censys y Shadowserver, con una aceleración marcada entre 2022 y 2026.

Esta guía explica cómo funcionan estos ataques, cómo reaccionar en los minutos siguientes a una infección, cómo restaurar desde los snapshots integrados (BTRFS de Synology, ZFS de QNAP) y cómo endurecer un NAS para que deje de ser un objetivo fácil.

Por qué los NAS domésticos son objetivo masivo

Tres factores convergen desde 2019:

  1. Exposición directa a Internet. El uso típico de un NAS familiar o de pyme consiste en activar el acceso remoto para consultar fotos o documentos desde fuera. El UPnP automático de los routers abre los puertos 5000/5001 (DSM Synology) u 8080/8443 (QTS QNAP) sin intervención manual. Los actores ransomware escanean continuamente estos puertos: un barrido completo de IPv4 lleva menos de 30 minutos con un clúster Masscan.
  2. Vulnerabilidades aplicativas recurrentes. Photo Station, Hybrid Backup Sync, Container Station, Surveillance Station y los paquetes de terceros introducen regularmente CVE críticas. Muchos usuarios retrasan las actualizaciones automáticas por miedo a romper una configuración que funciona.
  3. Configuraciones por defecto débiles. Cuenta admin activa, contraseña simple, 2FA desactivada, SSH abierto, sin auto-bloqueo de IP: sigue siendo la norma en la mayoría de NAS domésticos instalados antes de 2023.

El resultado es un coto de caza industrializable. Los grupos DeadBolt y eCh0raix operan en modo automático: escaneo, exploit, cifrado, demanda de rescate, sin intervención humana entre el escaneo y el cifrado.

DeadBolt: la campaña QNAP más violenta

DeadBolt apareció en enero de 2022. Su particularidad: el grupo secuestra directamente la pantalla de conexión QTS del NAS para mostrar la nota de rescate. El usuario ya no puede acceder a su propio NAS, la interfaz que ve es la de los atacantes.

Vector de infección: explotación de la CVE-2022-27593 (vulnerabilidad de archivo externo referenciado en Photo Station que permite ejecución remota de código). Una variante también utilizó un fallo en QNAP QTS mismo.

Mecanismo: cifrado AES-256 de los archivos de usuario, extensión .deadbolt, eliminación selectiva de los snapshots accesibles por la interfaz. El binario no toca el firmware QTS.

Demanda: 0,03 BTC por NAS (alrededor de 1 200 € en 2022, hasta 2 800 € en el pico Bitcoin de 2024). Procedimiento de escrow inusual: el pago se efectúa directamente a una dirección Bitcoin mostrada en la interfaz QTS secuestrada, y la clave de descifrado se transmite mediante una transacción Bitcoin que contiene un OP_RETURN.

Impacto documentado: más de 12 000 NAS QNAP infectados según Censys en el pico enero-marzo de 2022, unos 4 900 adicionales en la oleada de septiembre de 2022, oleadas residuales 2023-2024. La policía neerlandesa intervino en octubre de 2022 e incautó 155 claves DeadBolt simulando pagos y anulando las transacciones Bitcoin antes de la confirmación por parte del atacante, lo que reveló una debilidad procedimental del grupo.

QNAP publicó una actualización QTS de seguridad forzada en febrero de 2022 sobre los dispositivos registrados. Todos los NAS sin acceso a Internet o no registrados permanecieron vulnerables.

eCh0raix / QNAPCrypt: la cepa duradera en Synology y QNAP

eCh0raix (también llamado QNAPCrypt) apareció en 2019 y sigue activo en 2026. A diferencia de DeadBolt, eCh0raix ataca tanto NAS Synology como QNAP y emplea varios vectores en paralelo.

Vectores:

  • Fuerza bruta SSH sobre cuentas admin con contraseñas débiles.
  • Fuerza bruta de la interfaz web (DSM, QTS) con diccionario.
  • Explotación de CVE aplicativas (HBS3 en QNAP, Photo Station, versiones antiguas de DSM).
  • Phishing dirigido a administradores con malware que deja una clave SSH.

Mecanismo: cifrado AES vía la biblioteca crypto/Go, extensión .encrypt añadida a los archivos, archivo README_FOR_DECRYPT.txt o README_HOW_TO_DECRYPT.txt depositado en cada carpeta afectada. Los archivos de menos de unos pocos KB y los archivos del sistema no se cifran.

Demanda: variable según la cepa, entre 0,024 BTC y 0,06 BTC. Los pagos transitan por una infraestructura Tor.

Particularidad técnica: durante mucho tiempo el grupo usó una misma clave maestra para varias víctimas, lo que permitió a Emsisoft publicar un descifrador gratuito en 2019 para las primeras variantes. Las versiones a partir de mediados de 2020 usan claves únicas generadas dinámicamente: ya no existe ningún descifrador gratuito para las cepas modernas.

Qlocker: el ataque relámpago de abril de 2021

Qlocker llegó en abril de 2021 y dio que hablar por su simplicidad brutal. El ransomware no tenía mecanismo de cifrado propio: simplemente usaba 7-Zip (binario 7z instalado por defecto en QNAP) para archivar los ficheros del usuario en .7z protegidos por contraseña.

Vector: explotación de la CVE-2021-28799 en Hybrid Backup Sync (HBS3), que permite un acceso administrador no autenticado.

Mecanismo: un script ejecutaba 7z a -p<password> -mx1 archive.7z files/ para cada carpeta de usuario, eliminaba los originales y depositaba !!!READ_ME.txt. Muy rápido (compresión nivel 1), muy eficaz, completamente reversible si se recupera la contraseña.

Demanda: 0,01 BTC por NAS (~500 € en abril de 2021). La rapidez de ejecución y la modestia del rescate llevaron a muchas víctimas a pagar — según Emsisoft, cientos de pagos documentados en menos de una semana.

Fallo del grupo: varios investigadores encontraron una fuga en el servidor de pago Tor que permitía recuperar la contraseña sin pagar, analizando las cabeceras HTTP. El grupo cerró su sitio una semana después del inicio de la campaña.

Variantes Cl0p Synology y campañas 2023-2025

Entre 2023 y 2025 varias campañas se centraron específicamente en los Synology DSM expuestos:

  • Cl0p Synology (variante Linux del ransomware Cl0p): ataque a NAS DSM con servicios SMB expuestos en el Q4 2023.
  • Cheers / Cheerscrypt: adaptaciones Linux/QNAP de cepas inicialmente dirigidas a VMware ESXi.
  • Repeticiones de eCh0raix: campañas periódicas en 2024-2025 que explotan la CVE-2023-39296 en DSM 7.2.

El denominador común: todas explotan, o bien una CVE aplicativa sin parchear, o bien una cuenta admin débilmente protegida. Ninguna campaña ha explotado un zero-day en el kernel DSM o QTS mismo: las defensas casi siempre se ganan a nivel de configuración y de paquetes expuestos.

CVE clave a conocer

Las CVE siguientes han sido activamente explotadas en las campañas ransomware NAS recientes:

  • CVE-2024-32962: QNAP QTS y QuTS hero, escalada de privilegios por un fallo en el módulo de gestión de recursos compartidos. Parcheada en mayo de 2024.
  • CVE-2023-39296: Synology DSM 7.2, bypass de autenticación por un fallo en el componente Web Station. Parcheada en septiembre de 2023.
  • CVE-2022-27593: QNAP Photo Station, ejecución remota de código vía archivo externo referenciado (RCE no autenticada). Vector principal de la primera oleada DeadBolt.
  • CVE-2021-28799: QNAP Hybrid Backup Sync (HBS3), autenticación rota que permite acceso admin sin credenciales. Vector principal de Qlocker.

Si administras un NAS que no ha recibido los parches asociados, considera el dispositivo como comprometido o pre-comprometido.

Comparativa de las tres familias principales

FamiliaVector de infecciónMecanismoDemandaEstado descifrador 2026
DeadBoltCVE-2022-27593 Photo Station QNAP, CVE QTSCifrado AES-256, extensión .deadbolt, UI QTS secuestrada0,03 BTCParcial: 155 claves incautadas por la policía neerlandesa difundidas por No More Ransom
eCh0raix / QNAPCryptFuerza bruta SSH, CVE HBS3, exploits DSMCifrado AES vía crypto/Go, extensión .encrypt, nota README_FOR_DECRYPT.txt0,024 a 0,06 BTCDescifrador Emsisoft solo para cepas 2019-mediados 2020
QlockerCVE-2021-28799 HBS3 QNAPArchivado 7-Zip con contraseña, extensión .7z0,01 BTCSin descifrador oficial, recuperación posible vía contraseñas filtradas del servidor Tor

Procedimiento de urgencia: los primeros 30 minutos

Paso 1 — Cortar Internet sin tocar el NAS

Accede a tu router de Internet. Desactiva:

  • Todas las redirecciones de puertos hacia la IP local del NAS.
  • El UPnP automático.
  • Las reglas de exposición DMZ si las hubiera.

El cifrado activo se detiene porque la mayoría de cepas modernas se comunican con un servidor C2 para recuperar o almacenar las claves. No cortes la alimentación física del NAS: la RAM puede contener todavía claves de cifrado en claro, recuperables por un analista forense con una imagen de memoria.

Paso 2 — Acceso SSH local para diagnóstico

Desde un PC de la LAN (nunca desde Internet), abre un terminal:

# Conexión al NAS por la red local
ssh admin@192.168.1.100

# Listar volúmenes para localizar la extensión del ransomware
ls -la /volume1/
ls -la /share/

# Contar cuántos archivos están cifrados (ajustar extensión)
find /volume1 -name "*.deadbolt" | wc -l
find /volume1 -name "*.encrypt" | wc -l
find /volume1 -name "*.7z" -newer /etc/hostname | wc -l

# Leer la nota de rescate
find /volume1 -name "README_FOR_DECRYPT*" -exec cat {} \;
find /volume1 -name "!!!READ_ME*" -exec cat {} \;

# Listar procesos sospechosos aún activos
ps -ef | grep -iE "encrypt|7z|deadbolt"

# Comprobar snapshots existentes (QNAP QuTS hero)
zfs list -t snapshot

# Comprobar snapshots Synology (BTRFS)
sudo btrfs subvolume list /volume1

El objetivo no es reparar, sino documentar: identificar la extensión, la familia, el patrón de cifrado y el alcance (cuántos archivos, cuántos recursos compartidos afectados).

Paso 3 — Identificación precisa vía ID Ransomware

Descarga un archivo cifrado (de tamaño pequeño) y la nota de rescate en un PC sano. Sube ambos a ID Ransomware: la herramienta de MalwareHunterTeam cubre todas las cepas NAS conocidas. Nuestra guía ID Ransomware detalla el procedimiento.

La identificación precisa permite saber si existe un descifrador gratuito (caso DeadBolt con las 155 claves incautadas, caso eCh0raix cepas antiguas).

Paso 4 — Verificar el estado de los snapshots

En Synology DSM:

  1. DSM → Snapshot Replication → pestaña Snapshots.
  2. Lista los snapshots existentes por recurso compartido.
  3. Identifica el último snapshot fechado antes de la aparición de los archivos cifrados.

En QNAP QTS / QuTS hero:

  1. QTS → Storage & SnapshotsSnapshot Manager.
  2. Lista los snapshots por volumen.
  3. En QuTS hero (ZFS), los snapshots resisten generalmente a un atacante que no tiene el rol dedicado.

Si existen snapshots sanos, la vía de recuperación está trazada. Si no, ver la sección DFIR más abajo.

Restauración desde snapshots

Snapshot Replication Synology (BTRFS)

Los snapshots Synology se apoyan en el copy-on-write BTRFS y están desactivados por defecto en los volúmenes EXT4. Comprueba primero el formato del volumen:

  • DSM → Storage Manager → pestaña Volume → formato mostrado.
  • Si es EXT4: los snapshots no están disponibles. Ver la sección Hyper Backup.
  • Si es BTRFS: snapshots activables y probablemente ya presentes si sigues las recomendaciones de Synology.

Procedimiento de restauración:

  1. DSM → Snapshot Replication → pestaña Recovery.
  2. Selecciona el recurso compartido afectado.
  3. Selecciona el snapshot fechado antes del ataque.
  4. Elige Restore → confirma.

La restauración se efectúa a nivel de recurso compartido. Se crea un punto de retorno antes de la restauración, por lo que la operación no es destructiva.

Para hacer los snapshots resistentes a un atacante con acceso a DSM:

  • Activa el modo inmutable / solo lectura en los snapshots (DSM 7.2+).
  • Configura una retención larga (mínimo 30 días) con planificación automática.
  • Limita la lista de cuentas admin autorizadas a manipular los snapshots.

Snapshots QNAP (ZFS en QuTS hero, EXT4 en QTS)

En QuTS hero, el sistema de archivos ZFS aporta snapshots robustos por construcción:

  1. QTS → Storage & SnapshotsSnapshot Manager.
  2. Selecciona el volumen.
  3. Lista de snapshots → clic derecho sobre el snapshot pre-ataque → Revert.

En QTS clásico con EXT4, los snapshots los gestiona un módulo dedicado y son menos robustos que los snapshots ZFS. El procedimiento de restauración es similar pero el aislamiento frente a un atacante admin es más débil.

Configura Block-Based Snapshot con retención mínima de 30 días y activa la copia de los snapshots hacia un segundo NAS o un cloud inmutable mediante HBS3.

Hyper Backup Synology y HBS3 QNAP: la capa sobre los snapshots

Los snapshots son locales. Para una defensa en profundidad, añade una copia versionada fuera del sitio:

Hyper Backup Synology:

  • Copia hacia Synology C2, Backblaze B2, Wasabi, Amazon S3, OneDrive, Google Drive.
  • Cifrado del lado cliente AES-256.
  • Versionado configurable (hasta 256 versiones).
  • Modo inmutable disponible en C2 y B2 mediante Object Lock: el atacante que controla DSM no puede borrar las versiones bloqueadas.

HBS3 QNAP (Hybrid Backup Sync):

  • Mismas destinaciones.
  • Atención: es el paquete que contiene las CVE Qlocker (CVE-2021-28799). Manténgalo estrictamente actualizado.
  • Configuración inmutable soportada en destinos compatibles con S3.

Para una pyme, la combinación snapshot local + Hyper Backup o HBS3 hacia cloud inmutable + una copia en frío en disco externo rotatorio constituye una estrategia 3-2-1 robusta.

★ Éditeur fondé en 2004 · ✓ Garantie 30 jours · Version gratuite jusqu'à 2 Go

Estrategia 3-2-1 con EaseUS Todo Backup

Qué hacer sin snapshot ni backup

El caso más difícil: NAS en EXT4 sin snapshots y sin Hyper Backup. Quedan dos vías.

Recuperación forense sobre imagen de disco

Desmonta los discos del NAS, conéctalos a un PC Linux o Windows:

  • DiskInternals Linux Reader (Windows) lee los volúmenes EXT4 y BTRFS Synology en solo lectura.
  • R-Studio NAS reconoce las configuraciones Synology Hybrid RAID (SHR) y los volúmenes QNAP.
  • EaseUS Data Recovery monta las imágenes y escanea por firma: puede recuperar fragmentos no cifrados de los archivos (los ransomware suelen escribir el archivo cifrado en un nuevo inodo y marcar el anterior como libre — el contenido antiguo permanece legible hasta que se sobrescriba).

El método completo está detallado en nuestra guía de recuperación tras ransomware.

Descifradores gratuitos

Si la cepa es DeadBolt, prueba primero las 155 claves incautadas por la policía neerlandesa y redistribuidas vía No More Ransom. Para eCh0raix cepa 2019-mediados 2020, la herramienta Emsisoft es gratuita. Para las cepas modernas, no existe descifrador público a día de hoy.

Endurecimiento post-incidente

Una vez restaurado el NAS, nunca lo vuelvas a poner en Internet con la misma configuración. Lista de endurecimiento mínima:

  1. Desactivar UPnP en el router de Internet y en el NAS.
  2. Ninguna redirección de puertos directa hacia el NAS. Si es necesario acceso remoto: VPN (WireGuard, OpenVPN o servidor VPN integrado DSM / QVPN QNAP).
  3. Proxy inverso con lista blanca de IPs si la exposición es estrictamente necesaria para un servicio de negocio.
  4. 2FA obligatoria en todas las cuentas admin (TOTP como mínimo, idealmente claves FIDO2 soportadas por DSM 7.2+ y QuTS hero).
  5. Desactivar la cuenta admin por defecto, crear una cuenta admin personal con nombre distinto.
  6. Auto-bloqueo de IP tras 3 intentos fallidos en la interfaz web y en SSH.
  7. SSH desactivado por defecto, o autorización solo por clave (sin contraseña).
  8. DSM / QTS en auto-update activado, paquetes expuestos (Photo Station, HBS3, Container Station) mantenidos estrictamente al día.
  9. Snapshots inmutables con retención mínima de 30 días.
  10. Backup externo 3-2-1: 3 copias de los datos, en 2 soportes distintos, de las cuales 1 fuera del sitio e inmutable. Para un NAS familiar: snapshot local + Hyper Backup C2 o Backblaze B2 + disco externo rotatorio.

El detalle que salva: dejar de exponer el NAS

La enseñanza repetida de cada campaña ransomware NAS desde 2019 es la misma: los NAS que no estaban expuestos directamente a Internet no fueron atacados. Ningún caso documentado de infección eCh0raix, DeadBolt o Qlocker sobre un NAS solo accesible vía VPN.

Si administras un NAS familiar o de empresa y el acceso remoto es una necesidad real, invierte 30 minutos en configurar una VPN: WireGuard es trivial, funciona en smartphone y aporta una protección radical. El compromiso ergonómico (lanzar una app VPN antes de acceder a los archivos) es despreciable frente al escenario de un cifrado completo del NAS familiar con 8 TB de fotos.

Para ir más allá sobre la estrategia de defensa anti-ransomware en entorno profesional, consulta nuestra guía protección ransomware empresa 2026 y la comparativa mejor antivirus antiransomware 2026. Si sospechas un compromiso activo pero dudas sobre cómo proceder, lanza primero nuestra herramienta de diagnóstico para encuadrar las siguientes operaciones.

Recursos oficiales

★ Éditeur fondé en 2004 · ✓ Garantie 30 jours · Version gratuite jusqu'à 2 Go

Probar EaseUS Data Recovery Wizard30 jours satisfait ou remboursé
Artículos relacionados

Para profundizar