Virus borraron mis archivos: recuperación y prevención

Tu antivirus dice “limpio” pero faltan archivos

Te dieron un virus, lo limpiaste, y ahora descubres que el virus se llevó por delante archivos personales o de trabajo. ¿Recuperables?

Cómo borran los virus

1. Borrado normal (recuperable)

Algunos virus simplemente borran archivos como tú harías con Shift+Delete. Los datos siguen físicamente en el disco. Recuperable con tools normales.

2. Borrado seguro (no recuperable)

Virus avanzados sobreescriben los archivos antes de borrarlos. En este caso, los datos físicos también se pierden. No recuperable.

3. Cifrado (caso ransomware)

Ya no son “borrados” sino “cifrados”. Ver guía de ransomware.

4. Movidos a carpeta oculta

Algunos virus mueven archivos a %APPDATA%\malware\ o carpetas ocultas. Pueden seguir ahí, solo invisibles.

5. Reasignación de extensión

Cambian la extensión a algo no reconocible. El archivo sigue ahí, solo no abre.

Por qué el laboratorio es la opción segura

Cuando un virus borra archivos, la reacción natural es intentar recuperarlos con software casero o buscar en carpetas ocultas. El problema: no sabes qué hizo el virus exactamente. Puede haber sobreescrito datos, puede haber dejado el sistema infectado, puede haber dañado el filesystem de formas que no son visibles.

Riesgos de intentar por tu cuenta:

• Instalar software de recuperación en el disco afectado sobreescribe exactamente los sectores donde estaban tus datos.
• Navegar carpetas y abrir archivos genera escrituras en el disco (logs, thumbnails, metadata).
• Un virus que sigue activo puede seguir borrando mientras intentas recuperar.
• Ejecutar herramientas sin imagen previa del disco pone en riesgo la única copia de los datos.

En el laboratorio recuperamos los archivos protegiendo siempre el medio original, incluso los que quedaron parcialmente dañados, y te entregamos los datos verificados con recomendaciones post-incidente.

El primer paso siempre es: deja de usar el disco y tráelo al lab.

Antes de recuperar: limpia el virus

No tiene sentido recuperar archivos en un sistema aún infectado. Pasos:

1. Boot desde USB limpio

Crea USB con Windows o Linux Live para arrancar sin tocar el sistema infectado.

2. Antivirus offline

• Microsoft Defender Offline.
• Kaspersky Rescue Disk.
• Bitdefender Rescue CD.

3. Verifica con segunda opinión

Después del primero, escanea con otro antivirus distinto. Algunos virus se ocultan a antivirus específicos.

4. Si el virus persiste

Reinstala el sistema operativo (después de hacer backup de archivos importantes a otro disco).

Prevención (más importante que recuperación)

Backups regulares

• Backup local + cloud + offline (regla 3-2-1).
• Versionado (Time Machine, File History, Backblaze).
• Probado: hacer recuperación de prueba periódicamente.

Antivirus actualizado

• Microsoft Defender es excelente y gratis en Windows.
• Pago: Bitdefender, Kaspersky, ESET.
• Mantén actualizado.

Firewall configurado

• Mínimo el firewall de Windows activo.
• Para empresas: firewall de red propio.

Software actualizado

• Windows Update activado.
• Browsers actualizados.
• Adobe Reader, Java, etc.

Educación de usuarios

• No abrir attachments de emails desconocidos.
• No instalar software pirata.
• No conectar USBs desconocidos.

Casos comunes que recuperamos

• “Adware borró mis fotos” → recuperables 80%.
• “Trojan se llevó documentos de trabajo” → recuperables 60-70%.
• “Hijacker movió archivos a carpeta oculta” → 100% recuperables (estaban ahí).
• “Worm dejó el disco lleno de basura, archivos perdidos” → recuperables ~70%.

Conclusión

Los virus que “borran” archivos casi siempre dejan los datos físicamente en el disco. Recuperables si actúas rápido y limpias el sistema antes. Lab profesional cuando los datos son críticos.

+DR Data Recovery: análisis de casos post-malware con cotización fija antes de empezar.