¿Hay que pagar el rescate?

No, no como primer movimiento. Las autoridades españolas (INCIBE, Policía Nacional), francesas (ANSSI), estadounidenses (FBI, CISA) y europeas (Europol) recomiendan no pagar. El pago no garantiza la recuperación, financia el cibercrimen y marca a la víctima como rentable para futuros ataques. Varias cepas tienen descifradores gratuitos en No More Ransom.

¿De cuánto tiempo dispongo para reaccionar?

Cuanto antes cortes la propagación, mejor. Muchos ransomware cifran en cascada — primero los archivos locales, después los recursos de red, luego las copias conectadas. Desconecta la red y los discos externos en los minutos siguientes al descubrimiento.

Mis copias locales también están cifradas, ¿qué hago?

Es el escenario más frecuente — los ransomware modernos atacan activamente los discos de backup conectados. Comprueba si tenías una copia en la nube con versionado (OneDrive, Backblaze, IDrive): las versiones previas al cifrado son recuperables. Si no, busca shadow copies de Windows aún no destruidas.

¿Cómo identifico la cepa del ransomware?

Anota la extensión añadida a los archivos cifrados (por ejemplo .locked, .crypt, .lockbit) y el contenido del README dejado por los atacantes. Sube un archivo cifrado + el README a ID Ransomware (id-ransomware.malwarehunterteam.com) — la base reconoce la mayoría de cepas en segundos.

¿Un software de recuperación puede descifrar mis archivos?

No, ningún software de recuperación descifra. Lo que EaseUS Data Recovery sí puede: encontrar copias sin cifrar todavía presentes en el espacio libre del disco, en las shadow copies, o en archivos temporales (Office .tmp, Photoshop .psb).

Sí, siempre. En España: denuncia ante la Policía Nacional o Guardia Civil, también vía INCIBE. En Francia: cybermalveillance.gouv.fr. En EE. UU.: IC3.gov. En la UE: Europol vía el portal nacional. Alimenta las investigaciones, puede activar ayuda y lo exige la mayoría de seguros cibernéticos.

Recuperar archivos tras un ransomware: metodología 2026

Un mensaje a pantalla completa reclama un rescate en bitcoin, tus documentos llevan una extensión extraña (.locked, .lockbit, .crypt), tu antivirus se apagó o fue desactivado. Estás ante un ransomware. Las horas siguientes deciden lo que podrás recuperar.

Esta guía reúne la metodología de respuesta aplicada por los CSIRT y los aseguradores cibernéticos en 2026, adaptada al caso particular (un puesto, no un SI corporativo).

Fase 1 — Aislar al instante (primeros 5 minutos)

No intentes comprender de entrada. El ransomware probablemente sigue cifrando.

Desconecta el cable Ethernet y desactiva el Wi-Fi (modo avión).
Retira todos los discos externos y USB. Los ransomware modernos (Conti, LockBit, BlackCat) atacan activamente los medios conectados.
Si estás en una red compartida (NAS, recurso compartido Windows), avisa a los demás usuarios y desconéctalos también. El ransomware puede propagarse por SMB.
No apagues el PC bruscamente. La memoria a veces contiene la clave de cifrado, explotable por algunas herramientas forenses.

En este punto, el cifrado activo se detiene (el ransomware necesita red o disco para continuar). Respira.

Fase 2 — Documentar para la denuncia y los descifradores

Con otro dispositivo (móvil, segundo PC), constituye un expediente de pruebas:

Foto de la pantalla del rescate.
Captura del nombre del README dejado por los atacantes (a menudo README.txt, HOW_TO_DECRYPT.html, etc.) y su contenido íntegro.
Anota la extensión añadida a los archivos cifrados (.locked, .lockbit3, .crypt, etc.).
Hora aproximada del descubrimiento.
Lista de programas que estaban abiertos justo antes.
Origen probable (adjunto de correo, enlace sospechoso, actualización de software pirata).

Estos elementos sirven a la denuncia (obligatoria para activar el seguro cibernético) y a la identificación de la cepa.

Fase 3 — Identificar la cepa

En el otro dispositivo, ve a id-ransomware.malwarehunterteam.com (proyecto mantenido por Michael Gillespie desde 2016). Sube un archivo cifrado + el README. La herramienta reconoce la mayoría de cepas en segundos.

Una vez identificada, comprueba si existe un descifrador gratuito en No More Ransom — iniciativa conjunta de Europol, la Policía Nacional neerlandesa y varios fabricantes de antivirus. La base cubre más de 200 cepas en 2026, incluidas algunas familias extendidas (Phobos, STOP/Djvu — parcialmente, Avaddon, REvil).

Si existe un descifrador: sigue sus instrucciones al pie de la letra, prueba primero en un archivo copiado aparte (nunca en el original).

Fase 4 — Restaurar desde una copia limpia

La vía de recuperación más fiable, si tenías una copia.

Caso 1 — Copia en la nube con versionado

OneDrive, Google Drive, Dropbox, Backblaze, IDrive y servicios equivalentes conservan versiones anteriores de los archivos. En concreto:

OneDrive: web → archivo → menú de tres puntos → Historial de versiones. Permite restaurar la versión previa al cifrado.
Google Drive: web → archivo → clic derecho → Administrar versiones.
Backblaze Computer Backup: interfaz web → botón Restore → elegir fecha previa al ataque.
iCloud: limitado, no almacena todas las versiones; revisa el sitio de iCloud Drive.

Restaura archivo a archivo o en bloque vía las APIs de los servicios. No reconectes el equipo infectado a tu cuenta en la nube hasta que esté limpio.

Caso 2 — Copia local (disco externo / NAS)

Si habías desconectado el disco entre copias, probablemente esté limpio. Para comprobar:

En otro PC limpio, conecta el disco en solo lectura (lector USB con interruptor de protección si es posible).
Abre archivos recientes — si se abren con normalidad, la copia está intacta.
Procede a una reinstalación limpia del sistema en el PC infectado.
Restaura desde la copia una vez reconstruido el SO.

Si el disco externo estaba conectado durante el ataque, considéralo potencialmente cifrado. Escanea su contenido — los archivos recientes llevarán probablemente la misma extensión.

Fase 5 — Recuperar shadow copies y archivos residuales

Sin copia y sin descifrador, quedan dos pistas:

Shadow copies de Windows

Windows crea a veces shadow copies (instantáneas del volumen) que el ransomware intenta borrar con vssadmin delete shadows /all. Pero muchos fallan en algunas particiones o son interrumpidos.

Para comprobar:

Abre el Símbolo del sistema como administrador → vssadmin list shadows. Si lista copias, hay esperanza.
Usa ShadowExplorer (gratis, código abierto) o EaseUS Data Recovery Wizard para recorrer las shadow copies y restaurar los archivos previos a la infección.

Recuperación de archivos temporales y firmas binarias

EaseUS Data Recovery Wizard también puede escanear los sectores libres del disco buscando fragmentos sin cifrar: archivos .tmp de Office, autoguardados de Adobe, scratch de Photoshop (.psb), miniaturas EXIF de fotos.

Procedimiento:

Instala EaseUS Data Recovery Wizard en una memoria USB u otro PC (no en el sistema infectado).
Conecta el disco infectado en solo lectura al PC limpio (o arranca desde un live USB de recuperación).
Ejecuta un escaneo profundo.
Filtra por tipo de archivo (.docx, .jpg, .xlsx) y por fecha previa a la infección.
Restaura a un disco limpio.

En las seis últimas pruebas documentadas vía la comunidad de soporte, este método recuperó del 15 al 40 % del contenido — no ideal, pero a menudo mejor que cero.

★ Éditeur fondé en 2004 · ✓ Garantie 30 jours · Version gratuite jusqu'à 2 Go

Lanzar un escaneo EaseUS Data Recovery Wizard→

Fase 6 — Denuncia, notificación y refuerzo

Denunciar

España: denuncia ante la Policía Nacional o Guardia Civil; INCIBE asiste a particulares y empresas en incibe.es.
Francia: comisaría o en línea en cybermalveillance.gouv.fr.
Estados Unidos: denuncia IC3 (ic3.gov).
UE: Europol vía el portal nacional.

Notificación RGPD

Si tratas datos personales de terceros (clientes, empleados, contactos), una notificación RGPD en 72 horas es obligatoria en caso de filtración probable. En España, ante la AEPD.

Reconstrucción y refuerzo

Tras el incidente, nunca reconectes un sistema infectado sin reinstalación limpia. Y antes de volver al servicio:

Parches del SO al día, EDR al día.
Copias 3-2-1 aplicadas estrictamente, incluida una copia externa inmutable.
Autenticación multifactor en todas partes (correo, nube, acceso remoto).
Macros de Office desactivadas por defecto.
Filtrado de extensiones de riesgo (.exe, .scr, .js, .vbs, .iso, .img) en la pasarela de correo.

Consulta nuestra guía Backup automático Windows / Mac 2026 para implantar una estrategia de copias resistente a ransomware.

No ceder al pago: por qué

Las autoridades (INCIBE, ANSSI, FBI, CISA, Europol) recomiendan unánimemente no pagar. Razones:

Sin garantía de recuperación: 1 víctima de cada 4 no recibe una clave funcional tras pagar (Sophos State of Ransomware 2024).
Financiación del cibercrimen: tu pago financia la próxima campaña.
Marcado como objetivo rentable: los actores comparten listas de pagadores. Reinfecciones frecuentes en 18 meses.
Sanciones: pagar a ciertos grupos (en listas OFAC, UE, ONU) puede constituir un delito.

Reflejo correcto: restaurar desde copia o descifrador, reforzar y sacar lecciones.

Recursos