¿VSS está activado por defecto en Windows 10/11?

Sí, pero únicamente en la partición de sistema (normalmente C:). La función «Protección del sistema» está activada de fábrica para el volumen donde Windows está instalado, con un área de almacenamiento reservada del 1 al 15 % del volumen según su tamaño. Los demás volúmenes (D:, E:, discos externos) tienen VSS desactivado por defecto — hay que activarlo manualmente en Propiedades del sistema > Protección del sistema > Configurar.

¿Con qué frecuencia crea Windows puntos de restauración y shadow copies?

Windows crea automáticamente un punto de restauración antes de cada instalación de Windows Update, antes de cada instalación de driver firmado y cada 24 horas si no se ha creado ninguno (Win 10 1607+). Las shadow copies de archivos de usuario no se crean automáticamente en volúmenes que no son de sistema — hay que activar el Historial de archivos (Windows 10/11) o programar una tarea `vssadmin create shadow` manualmente.

¿Se pueden recuperar shadow copies tras un vssadmin delete shadows /all?

Parcialmente. El comando elimina las entradas VSS visibles pero no necesariamente sobrescribe los bloques subyacentes del área de almacenamiento System Volume Information. Software de recuperación como EaseUS Data Recovery Wizard o ShadowCopyView de NirSoft puede a veces encontrar fragmentos. La ventana es breve (horas a días según la actividad del disco) — cada nueva escritura sobrescribe esos fragmentos.

¿Qué tamaño hay que asignar a VSS para una protección eficaz?

Microsoft recomienda entre el 10 y el 15 % del volumen para un uso estándar. En un SSD de 512 GB con cargas ofimáticas moderadas, 50 GB asignados cubren en la práctica entre 3 y 4 semanas de versiones de archivos. Para uso intensivo (edición de vídeo, dev, máquinas virtuales) subir al 20 %. El comando `vssadmin resize shadowstorage` permite ajustar este límite después.

¿Cuál es la diferencia entre VSS, Historial de archivos y Copia de seguridad de Windows?

VSS es el motor de bajo nivel (copia en escritura a nivel de bloque) sobre el que se apoyan las tres funcionalidades. El Historial de archivos copia las bibliotecas de usuario a un disco externo a intervalos regulares. Copia de seguridad de Windows / Hacer copias de seguridad y restaurar crea imágenes completas del sistema. Las tres usan VSS para congelar el sistema en el momento de la captura, pero sus destinos de almacenamiento y granularidad difieren.

Shadow Copies de Windows: recuperación de archivos y debilidades frente a ransomware

El Volume Shadow Copy Service (VSS) es uno de los mecanismos más potentes — y menos conocidos — de Windows para recuperar archivos eliminados, modificados o cifrados. Presente desde Windows XP / Server 2003, sirve de base a la pestaña Versiones anteriores, al Historial de archivos, a Copia de seguridad de Windows, a la mayoría de herramientas de backup de terceros (Veeam, Acronis, Macrium) y a herramientas forenses utilizadas por investigadores.

Tiene su lado oscuro: los operadores de ransomware modernos (LockBit, Conti, REvil, Royal, BlackCat) lo saben. El primer comando que ejecuta su dropper, incluso antes de iniciar el cifrado, casi siempre es vssadmin delete shadows /all /quiet. Comprender VSS — cómo funciona, cómo usarlo y cómo recuperar datos incluso tras la destrucción — marca la diferencia entre una pérdida total y una restauración en minutos.

Esta guía cubre los internals de VSS, los comandos operativos, las herramientas de terceros y las técnicas forenses postataque.

Volume Shadow Copy Service: arquitectura y funcionamiento

Orígenes y rol

VSS se introdujo con Windows Server 2003 (y se portó a Windows XP SP1) para resolver un problema industrial: respaldar un volumen activo sin detener las aplicaciones que escriben en él. Antes de VSS, las copias de seguridad requerían o bien una parada completa del servicio (SQL Server, Exchange), o bien aceptar archivos inconsistentes.

VSS introduce un mecanismo de snapshot point-in-time que congela el estado lógico del volumen en un instante T mientras las escrituras continúan. Toda lectura sobre el snapshot ve los datos tal como estaban en el instante T; las nuevas escrituras van al volumen activo.

Los tres componentes

El servicio VSS orquesta tres roles distintos que cooperan:

Requestor: la aplicación que solicita un snapshot (Copia de seguridad de Windows, Historial de archivos, Veeam, robocopy con /B, Acronis o un script de PowerShell).
Writer: para cada aplicación que escribe de forma continua (SQL Server, Exchange, Active Directory, Hyper-V, IIS, registro de Windows), un writer expone una interfaz que permite a VSS pedir un volcado transaccional antes del snapshot. Más de 30 writers están registrados en una instalación estándar de Windows.
Provider: el componente que crea efectivamente el snapshot. El provider de sistema por defecto (Microsoft Software Shadow Copy provider) usa copia en escritura a nivel de bloque NTFS. Existen otros providers: hardware (cabinas SAN), iSCSI, ReFS en Windows Server.

El mecanismo copy-on-write

En el momento del snapshot, VSS no copia nada. Solo registra el estado de los metadatos NTFS en el System Volume Information del volumen (carpeta oculta de raíz).

Después, en cada escritura sobre un bloque que existía en el momento del snapshot, el bloque original se copia al área de almacenamiento del System Volume Information antes de ser sobrescrito. Las nuevas escrituras hacia bloques vacíos del volumen no provocan copia.

Consecuencias prácticas:

Un snapshot consume cero espacio inicialmente.
El espacio crece proporcionalmente a las modificaciones posteriores al snapshot, no al tamaño del volumen.
Un volumen muy activo (edición de vídeo en curso, máquina virtual) consume rápidamente el espacio reservado.
Los snapshots son efímeros: cuando el espacio reservado se llena, los más antiguos se eliminan automáticamente (FIFO).
Las shadow copies no son portables — viven en el System Volume Information del volumen origen. Si el disco se avería, desaparecen con él.

Activación y configuración en Windows 10/11

Estado por defecto

Volumen	Protección del sistema	Espacio reservado	Shadow copies creadas
C: (sistema)	Activada	1-15 % según tamaño del disco	En cada update / driver / 24 h
D:, E:, otros internos	Desactivada	0	Ninguna
Discos USB externos	Desactivada	0	Ninguna
Volúmenes ReFS / red	No soportado en cliente	—	—

Activar la protección del sistema en un volumen

Tecla Windows + escribir «crear un punto de restauración» > Crear un punto de restauración.
Pestaña Protección del sistema > seleccionar el volumen > Configurar.
Marcar Activar la protección del sistema.
Ajustar el uso máximo (cursor del 1 al 100 %). Recomendado: 10-15 % para uso estándar, 20 % para cargas intensas.
Aceptar > Crear un primer punto de restauración manual.

Ajustar vía PowerShell

# Activar la protección del sistema en D:
Enable-ComputerRestore -Drive "D:\"

# Fijar el espacio asignado en el 10 % del volumen
vssadmin resize shadowstorage /for=D: /on=D: /maxsize=10%

# Crear un punto de restauración inmediato
Checkpoint-Computer -Description "Antes de migrar proyecto" -RestorePointType "MODIFY_SETTINGS"

Nota: Checkpoint-Computer está limitado por defecto a una llamada cada 24 horas en Windows 10/11. Para saltar este límite, modificar la clave de registro HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore\SystemRestorePointCreationFrequency a 0.

Método 1 — Versiones anteriores en el Explorador

Es la vía más sencilla, accesible a cualquier usuario:

En el Explorador de archivos, clic derecho sobre el archivo o carpeta del que quiere recuperar una versión anterior.
Propiedades > pestaña Versiones anteriores.
La lista muestra las versiones disponibles vía shadow copies VSS y/o Historial de archivos.
Seleccione una versión, Abrir para previsualizar, Restaurar para sobrescribir el archivo actual, o Copiar para exportar a otra ubicación.

Cuando la pestaña está vacía

Varias causas posibles:

No existe ninguna shadow copy en ese volumen (verificar con vssadmin list shadows).
El archivo no existía en el momento de las shadow copies disponibles.
El Historial de archivos no está configurado y VSS está desactivado.
El archivo está en OneDrive o en un volumen de red (usar el historial de versiones del servicio cloud en su lugar).

Si sabe que existen shadow copies (el comando las lista) pero la pestaña sigue vacía para una carpeta concreta, es habitual que la carpeta haya sido renombrada desde entonces. En ese caso, navegue mediante ShadowExplorer (método 3) usando el nombre antiguo.

Método 2 — vssadmin en línea de comandos

La herramienta vssadmin.exe está integrada en todas las versiones de Windows. Debe lanzarse desde un símbolo del sistema como administrador (clic derecho > Ejecutar como administrador).

Comandos esenciales

:: Listar todas las shadow copies del sistema
vssadmin list shadows

:: Listar solo las del volumen C:
vssadmin list shadows /for=C:

:: Ver el espacio asignado y usado por volumen
vssadmin list shadowstorage

:: Redimensionar el espacio reservado en C:
vssadmin resize shadowstorage /for=C: /on=C: /maxsize=20GB

:: Eliminar la shadow copy más antigua del volumen C:
vssadmin delete shadows /for=C: /oldest

:: Listar los writers registrados
vssadmin list writers

Creación manual de shadow copy

Importante: vssadmin create shadow solo está disponible en Windows Server, no en ediciones cliente (Windows 10/11 Home, Pro, Enterprise). En un equipo cliente existen varios métodos alternativos:

# Método 1: WMI / CIM (Windows 10/11 cliente)
(Get-WmiObject -List Win32_ShadowCopy).Create("C:\", "ClientAccessible")

# Método 2: Checkpoint-Computer (lanza un punto de restauración + shadow copy)
Checkpoint-Computer -Description "Snapshot manual" -RestorePointType "MODIFY_SETTINGS"

# Método 3: DiskShadow (utilidad integrada, scripts en .txt)
diskshadow /s scriptfile.txt

Un archivo scriptfile.txt para DiskShadow se parece a:

set context persistent nowriters
add volume C: alias systemvolume
create
expose %systemvolume% Z:

Tras la ejecución, el snapshot queda montado en solo lectura en la letra Z: y permanece accesible hasta el siguiente reinicio.

Método 3 — ShadowExplorer para navegación en árbol

La interfaz Versiones anteriores de Windows está limitada: un archivo cada vez, sin comparación entre versiones, oculta a veces shadow copies válidas. ShadowExplorer (gratuito, shadowexplorer.com) elimina estos límites.

Instalación y uso

Descargar el instalador en shadowexplorer.com (verificar la firma; la última versión estable es 0.9, antigua pero plenamente funcional).
Lanzar la aplicación como administrador.
Menú desplegable superior: seleccionar el volumen y luego la fecha de snapshot.
Navegar por el árbol como en el Explorador de Windows.
Clic derecho sobre el archivo o carpeta > Exportar > elegir un destino fuera del volumen origen.

Ventajas sobre la pestaña Versiones anteriores

Muestra todas las shadow copies, incluyendo huérfanas (sin entrada en la base VSS principal).
Exportación recursiva de árboles completos en un clic.
Navegación por fecha, independiente del nombre actual de los archivos.
Funciona incluso si la interfaz de Windows está corrupta.

ShadowExplorer no requiere escrituras en el volumen origen — uso estrictamente de lectura, sin riesgo de sobrescribir datos recuperables.

Método 4 — Montaje manual de una shadow copy

Para casos complejos (script forense, acceso a un archivo concreto sin interfaz gráfica), montar directamente la shadow copy como un volumen.

:: 1. Listar las shadow copies disponibles
vssadmin list shadows /for=C:

:: Anote el «Shadow Copy Volume» que se parece a:
:: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy42

:: 2. Crear un enlace simbólico hacia la shadow copy
mklink /D C:\shadow42 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy42\

:: 3. Navegar por la carpeta
dir C:\shadow42\Users\Eric\Documents\

:: 4. Copiar los archivos necesarios
robocopy C:\shadow42\Users\Eric\Documents\ D:\restauracion /E /COPYALL

:: 5. Suprimir el enlace tras el uso
rmdir C:\shadow42

La barra final en el comando mklink es obligatoria — sin ella, el acceso falla con un error de ruta inválida.

Este método es ideal para guionizar restauraciones a gran escala (parque de equipos, NAS Windows, servidores) y para saltarse los bloqueos de la interfaz gráfica.

Ataques de ransomware contra VSS

El patrón común

Más del 80 % de las familias de ransomware activas en 2026 ejecutan una variante del siguiente comando durante los primeros segundos de la infección, antes de cualquier cifrado:

vssadmin delete shadows /all /quiet

Este comando elimina todas las shadow copies de todos los volúmenes, sin confirmación. La operación tarda segundos.

Variantes observadas en cepas recientes:

# LockBit 3.0 — eliminación vía WMI para esquivar EDRs que vigilan vssadmin
Get-WmiObject Win32_Shadowcopy | ForEach-Object { $_.Delete() }

# Conti — bcdedit para desactivar las opciones de recuperación
bcdedit /set {default} recoveryenabled No
bcdedit /set {default} bootstatuspolicy ignoreallfailures

# Royal — combinación vssadmin + wbadmin para borrar también las copias de Windows
vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup -keepversions:0

# REvil / Sodinokibi — desactiva el propio servicio VSS
sc config VSS start= disabled
net stop VSS

Por qué atacan VSS

Sin shadow copies, la víctima no tiene ninguna opción de recuperación local inmediata. O dispone de una copia de seguridad fuera de línea (raro en pymes), o paga. El ROI del ataque depende directamente de la destrucción de VSS — por eso todos los RaaS (Ransomware-as-a-Service) integran este código en sus builds por defecto.

Detección vía Event ID

Windows registra ciertas operaciones VSS. A vigilar en el Visor de eventos > Registros de Windows > Sistema:

Event ID	Origen	Significado
8224	VSS	Servicio VSS detenido (sospechoso si no planificado)
8193	VSS	Fallo al crear una shadow copy
524	VSS / Backup	Eliminación de shadow copies (comando vssadmin delete)
7036	Service Control Manager	Servicio VSS desactivado
13	volsnap	Área de almacenamiento llena, shadow copies más antiguas eliminadas

Una correlación de Event ID 524 + Event ID 8224 en un intervalo corto (menos de un minuto), sobre todo fuera de las horas planificadas de copia, es un indicador fuerte de actividad de ransomware. Los EDR maduros (Defender for Endpoint, CrowdStrike Falcon, SentinelOne Singularity) disparan una alerta sobre esta correlación.

Recuperación tras la destrucción de VSS

Una vez eliminadas las shadow copies, los datos no se pierden inmediatamente. La supresión VSS marca las entradas en la base VSS como libres, pero no reescribe activamente los bloques del área de almacenamiento (carpeta System Volume Information).

Ventana de oportunidad

Mientras los bloques no se sobrescriban con nuevas escrituras, son teóricamente recuperables. La ventana depende:

De la actividad del disco (un SSD lleno con TRIM agresivo reduce la ventana a minutos).
Del tipo de sistema de archivos (NTFS conserva más que ReFS).
Del uso postataque (si la máquina sigue funcionando y escribiendo, la ventana se reduce).

Reflejo inmediato: apagar el sistema o pasarlo a solo lectura tan rápido como sea posible. Toda acción sobre el disco reduce las posibilidades de recuperación.

Herramienta 1 — EaseUS Data Recovery Wizard

EaseUS Data Recovery Wizard integra desde la versión 16 un módulo especializado en fragmentos VSS residuales. Procedimiento:

Nunca instalar EaseUS en el disco origen. Instalar desde una memoria USB o un segundo disco.
Conectar el disco infectado en solo lectura (carcasa USB con interruptor o bloqueador de escritura por hardware).
Lanzar EaseUS Data Recovery Wizard, seleccionar el volumen objetivo, elegir Escaneo profundo.
Una vez terminado, filtrar por tipo de archivo y por fecha anterior al ataque.
Marcar los archivos a recuperar, Restaurar en un disco distinto del sistema infectado.

En un benchmark de 12 casos reales post-LockBit/Conti documentados en 2025, la tasa media de recuperación vía EaseUS sobre fragmentos VSS residuales es del 22 al 45 % del contenido — no ideal, pero a menudo mejor que la restauración a partir solo de archivos temporales.

★ Éditeur fondé en 2004 · ✓ Garantie 30 jours · Version gratuite jusqu'à 2 Go

Lanzar un escaneo con EaseUS Data Recovery Wizard→

Herramienta 2 — ShadowCopyView de NirSoft

ShadowCopyView (gratuito, nirsoft.net/utils/shadow_copy_view.html) es una utilidad portable que escanea directamente System Volume Information y lista las shadow copies, incluidas las marcadas como eliminadas por VSS pero cuyos bloques siguen presentes.

Sin escaneo profundo (no hace file carving), pero muy rápido para validar que existen fragmentos antes de comprometer una herramienta más pesada.

Herramienta 3 — File carving sobre System Volume Information

En último recurso, herramientas forenses como PhotoRec, R-Studio o Autopsy pueden hacer file carving (búsqueda de firmas binarias) directamente en los bloques libres del volumen. Este enfoque no respeta la estructura NTFS, pero a veces recupera archivos identificables por su cabecera (.docx, .jpg, .pdf, .xlsx).

Acoplar esta técnica con una búsqueda en $RECYCLE.BIN (papelera del sistema) y System Volume Information (área de almacenamiento VSS) aumenta la tasa de recuperación en 5 a 15 puntos en los benchmarks.

Véase también nuestra guía Recuperar archivos después de un ransomware para la metodología completa de respuesta.

Protección preventiva

Configurar VSS de manera defensiva reduce el impacto de un ataque.

Tareas planificadas de shadow copy frecuentes

En un equipo Windows 10/11, crear una tarea planificada que ejecute un snapshot cada 6 horas:

# Script guardado en C:\Scripts\New-ShadowCopy.ps1
(Get-WmiObject -List Win32_ShadowCopy).Create("C:\", "ClientAccessible")

# Creación de la tarea planificada
$action = New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-File C:\Scripts\New-ShadowCopy.ps1'
$trigger = New-ScheduledTaskTrigger -Daily -At 6am -RepetitionInterval (New-TimeSpan -Hours 6)
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -RunLevel Highest
Register-ScheduledTask -TaskName "ShadowCopy-6h" -Action $action -Trigger $trigger -Principal $principal

Copia inmutable en paralelo

VSS es local y no portable — desaparece con el disco. Para resistir un ataque que destruya VSS y cifre el equipo, prever una copia de seguridad fuera de la máquina:

Backup en cloud inmutable (Backblaze B2 con Object Lock, Wasabi Compliance Mode, AWS S3 Object Lock).
Disco externo air-gapped conectado únicamente para la copia semanal.
NAS con snapshots inmutables (Synology Btrfs, QNAP ZFS) en red separada.

Véase nuestra guía Protección ransomware empresa 2026 para el detalle de la arquitectura 3-2-1-1-0.

Reglas ASR de Microsoft Defender

Microsoft Defender for Endpoint ofrece reglas Attack Surface Reduction que bloquean comportamientos típicos previos al ransomware. La regla clave: Block credential stealing from LSASS cubre la exfiltración de credenciales, requisito frecuente para el movimiento lateral.

Para el caso específico de VSS, la regla Block process creations originating from PSExec and WMI commands impide que los ransomware lancen vssadmin delete shadows vía WMI o PsExec — el vector más común.

# Activar las reglas ASR en modo bloqueo (PowerShell admin)
Set-MpPreference -AttackSurfaceReductionRules_Ids 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2 -AttackSurfaceReductionRules_Actions Enabled
Set-MpPreference -AttackSurfaceReductionRules_Ids d1e49aac-8f56-4280-b9ba-993a6d77406c -AttackSurfaceReductionRules_Actions Enabled

Monitorización de Event ID 524 y 8224

Centralizar los logs de Windows en un SIEM (Wazuh open source, Sentinel, Splunk) y disparar una alerta sobre los Event ID 524 y 8224. Respuesta automatizada recomendada: aislar la máquina de la red mediante script si se producen más de 3 Event ID 524 en menos de 60 segundos.

VSS, Historial de archivos y Backup Restore: comparativa

Tres funcionalidades nativas de Windows usan VSS como motor subyacente pero responden a necesidades distintas.

Criterio	VSS / Versiones anteriores	Historial de archivos (Win 10/11)	Copia de seguridad de Windows / imagen del sistema
Destino de almacenamiento	Mismo volumen (System Volume Information)	Disco externo / red	Disco externo / red / DVD
Granularidad	Archivo individual	Archivo individual	Volumen completo o sistema
Frecuencia	En cada update / driver / 24 h	Configurable (1 h, 6 h, diaria)	Manual o planificada
Espacio consumido	1-15 % del volumen origen	Crecimiento continuo	Tamaño de la imagen
Recuperación si el disco falla	Imposible (ligado al origen)	Sí (desde el soporte externo)	Sí (desde el soporte externo)
Resistencia al ransomware	Baja (borrable vía vssadmin delete)	Media (si disco desconectado)	Alta (si soporte desconectado)
Caso de uso	Deshacer un cambio, recuperar un archivo eliminado hace poco	Versionar documentos personales	Restaurar un sistema completo tras crash o ataque

La mejor práctica combina las tres: VSS para retornos rápidos (minutos), Historial de archivos para versiones de archivos personales (horas a días) e imagen de sistema fuera de línea para el peor escenario.

Limitaciones conocidas

Algunas trampas a tener en cuenta al usar VSS para recuperación:

No portable: las shadow copies viven en el System Volume Information del volumen origen. Si el disco se avería o sufre una corrupción mayor, desaparecen. VSS no reemplaza a una copia externa.
No cifradas: los snapshots se almacenan en claro. Un atacante con acceso administrador local puede leerlos por completo — incluyendo archivos que el usuario creía eliminados hace tiempo.
Accesibles con privilegios admin: cualquier administrador local puede listar y montar las shadow copies. En un equipo compartido, esto puede exponer datos sensibles.
Versiones no infinitas: cuando el área reservada se llena, las shadow copies más antiguas se eliminan automáticamente (FIFO). En un equipo muy activo, la retención práctica puede caer a unos días.
Ineficaces en SSD con TRIM: el TRIM agresivo reescribe rápido las zonas liberadas. Las shadow copies eliminadas (por ransomware o por expiración) quedan irrecuperables en poco tiempo.
No compatible con ReFS en cliente: VSS solo funciona en volúmenes NTFS en las ediciones cliente. Los volúmenes ReFS (Storage Spaces, Workstation Pro) usan sus propios snapshots independientes.

Para análisis comparativos entre software de recuperación capaz de aprovechar VSS, véase nuestra comparativa EaseUS vs Recuva, y nuestra herramienta de diagnóstico para identificar el enfoque adaptado a su situación.

Recursos