Saltar al contenido
Ransomware Response · Respuesta a incidentes de ransomware

¿Cómo identificar qué ransomware te infectó?

Publicado: 13 de julio de 2026· Última actualización: 13 de julio de 2026· 5 min de lectura

Sin descifrador gratuito conocido

No existe (todavía) una herramienta pública para descifrar esta familia. No pagues el rescate sin antes consultar con especialistas.

Resumen

La identificación correcta de la familia de ransomware es el primer paso crítico en cualquier respuesta a incidentes. Determina si existe un descifrador gratuito, orienta la contención y ayuda a estimar el alcance del ataque. Esta guía describe tres vectores primarios de identificación: la nota de rescate, la extensión de los archivos cifrados y los marcadores de bytes (file markers o footers) presentes en los archivos afectados. Se explican técnicas prácticas de análisis, errores comunes y una advertencia honesta: identificar la familia no garantiza que exista una solución de descifrado gratuita.

TL;DR

  • La nota de rescate y la extensión son pistas rápidas, pero fáciles de suplantar o reutilizar entre familias distintas.
  • Los marcadores de bytes (patrones al inicio o final del archivo cifrado) suelen ser el indicador más confiable.
  • Nunca pagues antes de intentar identificar; muchas familias tienen descifradores gratuitos [1].
  • Usa nuestra herramienta gratuita Identificador para automatizar este proceso con nota, extensión y muestra de archivo.

1. Por qué importa la identificación precisa

Familias distintas usan esquemas criptográficos diferentes. Algunas contienen fallas que permitieron a investigadores publicar descifradores gratuitos; otras usan cifrado sólido sin recuperación posible sin la clave del atacante [1], [2]. Identificar mal la familia puede llevar a aplicar un descifrador incorrecto que dañe irreversiblemente los datos. Por eso conviene combinar los tres vectores antes de concluir.

2. Análisis de la nota de rescate

La nota de rescate (ransom note) es el archivo de texto o HTML que deja el atacante con instrucciones de pago.

2.1 Elementos a examinar

  • Nombre del archivo: patrones como README.txt, HOW_TO_DECRYPT.txt, #Recover-Files.txt o nombres con el ID de víctima suelen repetirse por familia.
  • Formato de contacto: correos, direcciones de sitios .onion (accesibles solo vía la red Tor) o portales de negociación. La estructura del ID de víctima suele ser característica.
  • Redacción y branding: muchas familias incluyen un nombre o logotipo. Cuidado: los operadores a veces cambian branding o hacen "rebranding" para evadir seguimiento.

2.2 Precauciones

Las notas se copian y modifican entre grupos. Un texto casi idéntico puede pertenecer a variantes distintas. Nunca visites enlaces .onion ni contactes al atacante durante el triaje inicial: puedes alertar al operador o exponer información.

3. Análisis de la extensión de archivos

La extensión añadida a los archivos cifrados (por ejemplo documento.docx.locked o .abcd) es una pista visible.

3.1 Tipos de extensión

  • Extensiones fijas: cadena constante para toda la campaña (ej. .crypt).
  • Extensiones dinámicas: incluyen el ID de víctima o una cadena aleatoria por infección, lo que dificulta el mapeo directo.
  • Sin cambio de extensión: algunas familias no renombran; ocultan el cifrado en el contenido.

3.2 Limitaciones

Muchas extensiones son reutilizadas por familias sin relación, y algunas familias rotan extensiones entre versiones. La extensión, por sí sola, casi nunca basta para una identificación definitiva [3].

4. Marcadores de bytes (el indicador más confiable)

Muchas familias insertan una firma binaria en los archivos cifrados. Analizarla requiere un editor hexadecimal (hex editor) como HxD, xxd o un visor equivalente.

4.1 Dónde buscar

  • Cabecera (header): primeros bytes del archivo. Algunas familias escriben una firma mágica reconocible.
  • Pie (footer): los últimos bytes suelen contener metadatos del cifrado (clave cifrada, IV, ID de campaña). Muchas familias colocan aquí una firma constante.
  • Bloques de estructura: offsets fijos con longitudes conocidas (por ejemplo, un bloque de 256 bytes con la clave RSA envuelta).

4.2 Método práctico

  1. Toma una copia (nunca trabajes sobre el original).
  2. Ábrela en un editor hexadecimal.
  3. Compara los primeros y últimos 32 a 512 bytes contra un archivo del mismo tipo no cifrado, si tienes uno.
  4. Anota cadenas ASCII visibles al final del archivo: suelen ser firmas o identificadores.
  5. Repite con varios archivos de distinto tamaño para distinguir el patrón constante (firma) del contenido variable (datos cifrados).

4.3 Por qué es más fiable

Notas y extensiones son "cosméticas" y fáciles de imitar. La firma de bytes refleja la implementación real del malware, más difícil de falsificar sin cambiar el código [2], [3].

5. Flujo de identificación recomendado

  1. Aísla el equipo de la red (contención).
  2. Preserva evidencia: copia la nota, ejemplos de archivos cifrados y, si es posible, el binario.
  3. Recolecta los tres vectores: nombre y contenido de la nota, extensión, muestra hexadecimal.
  4. Cruza los indicadores. Si los tres coinciden con una familia, la confianza es alta.
  5. Consulta si existe descifrador gratuito en fuentes confiables como No More Ransom [1].

Automatiza los pasos 3 y 4 con nuestra herramienta gratuita: sube la nota de rescate y una muestra del archivo cifrado en el Identificador y obtén una hipótesis de familia en segundos, sin costo.

6. Advertencias honestas

  • Identificar la familia NO garantiza descifrado gratuito. Muchas familias modernas usan criptografía correctamente implementada; sin la clave del atacante, la recuperación no es posible. En esos casos, la restauración depende de tus respaldos [1], [2].
  • Desconfía de "descifradores universales" de pago. No existen. Suelen ser fraudes.
  • No pagues sin evaluar. Pagar no garantiza recuperar datos, financia el delito y puede tener implicaciones legales según tu jurisdicción.
  • No ejecutes descifradores sobre originales. Siempre trabaja con copias.
  • El rebranding es real. Grupos cierran y reaparecen con otro nombre reutilizando código; una firma de bytes conocida puede corresponder a un nombre nuevo.
  • Ante duda, consulta a un profesional de respuesta a incidentes antes de manipular datos críticos.

Referencias

[1] No More Ransom Project, "About the Project / Decryption Tools." [En línea]. Disponible: https://www.nomoreransom.org/

[2] Cybersecurity and Infrastructure Security Agency (CISA), "Stop Ransomware: Guide and Resources." [En línea]. Disponible: https://www.cisa.gov/stopransomware

[3] Emsisoft, "Ransomware identification and free decryption tools." [En línea]. Disponible: https://www.emsisoft.com/en/ransomware-decryption/

Actualizamos esta guía conforme surge nueva información.

Guías relacionadas