Saltar al contenido
Ransomware Response · Respuesta a incidentes de ransomware
Black Basta

Black Basta: cómo recuperar tus archivos y qué hacer

Publicado: 9 de julio de 2026· Última actualización: 9 de julio de 2026· 6 min de lectura

Sin descifrador gratuito conocido

No existe (todavía) una herramienta pública para descifrar esta familia. No pagues el rescate sin antes consultar con especialistas.

Esta guía es orientativa y se actualiza conforme surge nueva información. No garantiza la recuperación de archivos.

Resumen

Black Basta es una familia de ransomware operada como servicio (RaaS) que apareció en abril de 2022 y practica la doble extorsión: cifra archivos y roba datos para presionar el pago. A la fecha de redacción no existe un descifrador gratuito público que recupere los archivos cifrados sin la clave de los atacantes. Esta guía cubre identificación, contención, preservación de evidencia y opciones realistas de recuperación.

TL;DR

  • No hay descifrador gratuito conocido para Black Basta. Desconfía de cualquier herramienta que prometa lo contrario [1], [3].
  • Aísla los equipos afectados de inmediato (desconecta red, no apagues sin asesoría forense).
  • Preserva evidencia: notas de rescate (readme.txt, instructions_read_me.txt), muestras de archivos cifrados y registros.
  • No pagues sin asesoría legal y de respuesta a incidentes; el pago no garantiza recuperación.
  • Restaura desde respaldos fuera de línea verificados y validados como limpios.
  • Reporta el incidente a las autoridades y busca apoyo profesional.

1. Qué es Black Basta

Black Basta es un ransomware de tipo RaaS observado por primera vez en 2022, vinculado en análisis técnicos a operadores con experiencia previa en otras familias (por ejemplo, se han documentado tácticas superpuestas con actores como Conti) [1], [2]. Su modelo combina cifrado de archivos con exfiltración de datos, publicando información robada en un sitio de filtraciones alojado en la red Tor (dominios .onion) para presionar a las víctimas a pagar.

Técnicamente, el cifrador emplea algoritmos híbridos (cifrado simétrico rápido para los datos y cifrado asimétrico para proteger las claves), lo que hace inviable la recuperación por fuerza bruta [2]. Los operadores suelen desactivar defensas, moverse lateralmente y cifrar sistemas críticos, incluyendo entornos Windows y variantes dirigidas a ESXi/Linux [1], [2]. CISA y el FBI publicaron un aviso conjunto (#StopRansomware) documentando sus técnicas [1].

2. Cómo identificar la infección (notas, extensiones, IOCs)

Señales características:

  • Notas de rescate: archivos con nombres como readme.txt e instructions_read_me.txt, que incluyen instrucciones para contactar a los atacantes vía un portal en Tor mediante un identificador único de víctima [1], [3].
  • Extensiones de archivos cifrados: .basta, y en algunas variantes una cadena aleatoria por víctima (.<random>) [3].
  • Cambio de fondo de pantalla en algunos casos y notas depositadas en múltiples carpetas.
  • IOCs generales (indicadores de comportamiento):
    • Uso de herramientas de acceso remoto y post-explotación (por ejemplo, Cobalt Strike, herramientas de administración legítimas abusadas) [1].
    • Eliminación de instantáneas de volumen (Volume Shadow Copies) mediante vssadmin para impedir la recuperación local [1], [2].
    • Deshabilitación de antivirus y servicios de seguridad.
    • Escalamiento de privilegios y movimiento lateral vía RDP/SMB.

Para identificación asistida, servicios como ID Ransomware permiten subir la nota y una muestra cifrada para confirmar la familia [4].

3. Pasos inmediatos (contención, preservación de evidencia)

  1. Aísla, no destruyas. Desconecta los equipos afectados de la red (cable, Wi-Fi, VPN). Evita apagarlos abruptamente si es posible, ya que la memoria RAM puede contener artefactos forenses (claves, procesos). Consulta con un equipo forense antes de apagar [1].
  2. Contén la propagación. Deshabilita cuentas comprometidas, restringe RDP y segmenta la red. Revisa controladores de dominio y cuentas privilegiadas.
  3. Preserva evidencia:
    • Copia las notas de rescate (readme.txt, instructions_read_me.txt).
    • Guarda muestras de archivos cifrados (y, si existen, versiones no cifradas para comparación).
    • Exporta registros de Windows, EDR, firewall, VPN y controladores de dominio.
    • Documenta fecha, hora y alcance.
  4. No modifiques archivos cifrados. Renombrarlos o intentar "reparaciones" caseras puede corromperlos de forma irreversible.
  5. Identifica el vector de entrada (phishing, credenciales, vulnerabilidad expuesta) para cerrarlo antes de restaurar.
  6. Reporta a las autoridades competentes y notifica según tus obligaciones legales de protección de datos.

4. Opciones de recuperación

Aviso claro y prominente: a la fecha de esta guía NO existe un descifrador gratuito público para Black Basta. Ninguna herramienta legítima puede descifrar tus archivos sin la clave privada en poder de los atacantes [1], [3]. Cualquier producto o "servicio" que garantice descifrado gratuito e instantáneo debe tratarse como fraude o malware adicional.

Opciones realistas, en orden de preferencia:

  1. Restauración desde respaldos limpios. Es la vía más confiable. Usa respaldos fuera de línea o inmutables, verifica su integridad y asegúrate de que no contengan la puerta de entrada del atacante antes de reconectar. Reconstruye desde cero los sistemas críticos cuando haya dudas.
  2. Verificación periódica en No More Ransom. Aunque hoy no hay descifrador, conviene revisar el portal No More Ransom de forma recurrente por si en el futuro se libera uno [3].
  3. Recuperación parcial de datos no cifrados. Revisa correos, sistemas no afectados, servicios en la nube con versionado y copias en dispositivos aislados.
  4. Evaluación del pago (último recurso, con asesoría). El pago no garantiza la recuperación ni la no publicación de datos, financia actividad criminal y puede tener implicaciones legales. Debe evaluarse solo con asesoría legal y de respuesta a incidentes [1].

Advertencia sobre herramientas no verificadas: descarga utilidades forenses o descifradores únicamente de fuentes oficiales (fabricantes de antivirus reconocidos, No More Ransom, CISA). Evita foros, torrents o sitios dudosos que suelen distribuir troyanos disfrazados de "descifradores".

5. Prevención y endurecimiento

  • Respaldos 3-2-1 con al menos una copia fuera de línea o inmutable, y pruebas de restauración periódicas [1].
  • MFA en VPN, correo, RDP y accesos administrativos.
  • Parcheo oportuno de sistemas expuestos y aplicaciones críticas.
  • Reducir superficie de RDP: no exponerlo directamente a Internet; usar VPN con MFA y bloqueo por intentos fallidos [1].
  • EDR/antimalware con detección de comportamiento y protección contra manipulación.
  • Segmentación de red y principio de mínimo privilegio; limitar cuentas con derechos de administrador de dominio.
  • Monitoreo de creación de tareas, uso de vssadmin, PsExec y herramientas de administración anómalas [1], [2].
  • Concientización contra phishing y validación de correos con enlaces o adjuntos.
  • Plan de respuesta a incidentes probado, con contactos y roles definidos.

Advertencias honestas (limitaciones)

  • Esta guía refleja el estado del conocimiento público al momento de escribirla; la situación de descifradores puede cambiar.
  • Confirmar la familia exacta es esencial: variantes distintas pueden requerir enfoques diferentes.
  • No podemos garantizar la recuperación de archivos cifrados sin la clave de los atacantes. Los respaldos siguen siendo la única vía confiable.
  • La atribución técnica evoluciona; trata cualquier IOC como referencia, no como verdad absoluta.

Si necesitas apoyo, puedes contactarnos: tel. (800) 649-0625 o [email protected]. Podemos ayudarte con identificación, contención y estrategia de recuperación.

Referencias

[1] Cybersecurity and Infrastructure Security Agency (CISA) y FBI, "#StopRansomware: Black Basta," CISA Cybersecurity Advisory. Disponible en: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a

[2] Trend Micro, "Ransomware Spotlight: Black Basta." Disponible en: https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-black-basta

[3] No More Ransom Project, "Ransomware information and decryption tools." Disponible en: https://www.nomoreransom.org/

[4] ID Ransomware, "Identify the ransomware that encrypted your files." Disponible en: https://id-ransomware.malwarehunterteam.com/

Actualizamos esta guía conforme surge nueva información.

Guías relacionadas