Cómo analizar archivos, enlaces y dominios sospechosos con VirusTotal

Si manejas descargas, adjuntos o enlaces a diario, tarde o temprano te toparás con algo que despierta sospechas; en ese momento, VirusTotal se convierte en tu mejor aliado para tomar una decisión informada y comprobar si un archivo descargado es seguro antes de ejecutar nada. Su propuesta es simple pero potentísima: cruzar un elemento con decenas de motores de seguridad y fuentes de inteligencia para estimar su fiabilidad.

Aun así, conviene tener claras sus reglas del juego: no es un antivirus en tiempo real, no desinfecta y puede arrojar falsos positivos o, al contrario, no detectar malware diseñado para evadir controles. El objetivo de esta guía es que le saques todo el jugo a VirusTotal —archivos, URLs y dominios—, y que sepas leer los resultados para decidir con criterio.

Qué es VirusTotal y qué puedes analizar

VirusTotal nació como un proyecto español y hoy es parte de Google Cloud; su misión es enriquecer investigaciones de seguridad con contexto y reputación de amenazas. Funciona desde el navegador (cualquier sistema operativo) y también cuenta con app en Android, por lo que puedes usarlo sin instalar software adicional en tu ordenador.

Su principal baza es la multiplicidad de motores de análisis. Suele trabajar con más de 70 antivirus y servicios reputacionales, y según el módulo y el momento verás referencias a 90+ motores o incluso más de 100 herramientas incluyendo sandboxes y reglas de detección comunitarias. Ese enfoque “multimotor” sube el listón frente a analizar con un solo producto.

En la práctica puedes enviar tres tipos de artefactos: archivos (File), URLs y recursos de red (dominios/IP). Con cada envío, la plataforma genera un informe donde aparecen proveedores que marcan el elemento como malicioso, metadatos técnicos, relaciones con otros IOCs y comentarios de la comunidad.

Otro rasgo diferencial es la comunidad de analistas y usuarios, que añade comentarios y hallazgos; junto con la telemetría de múltiples fuentes, esto aporta señales contextuales sobre campañas, infraestructura relacionada y posible procedencia de una amenaza.

Ventajas, límites y precauciones

Entre las ventajas destaca el uso de docenas de motores de seguridad concurrentes, algo que reduce el riesgo de pasar por alto familias de malware que un único antivirus no detectaría. Además, las bases de datos se actualizan con mucha frecuencia, así que los resultados suelen estar muy al día.

También es un servicio rápido y gratuito, accesible desde cualquier navegador y plataforma, lo que permite obtener respuestas sin instalar herramientas. A esto se suma la riqueza de sus informes: comportamiento observado, conexiones de red, firmas, metadatos de archivos y puntuación comunitaria.

En el otro lado de la balanza: VirusTotal no protege en tiempo real, no monitoriza el sistema ni bloquea procesos. Es un verificador proactivo y puntual. Puede haber falsos positivos (un motor alerta y el resto no) y también falsos negativos si el malware está diseñado para evadir análisis automáticos.

Además, debes contemplar la exposición de metadatos y conocer el tipo de archivo: por norma, los envíos contribuyen al ecosistema de investigación. En entornos corporativos, la integración de Google Workspace minimiza esto compartiendo únicamente hashes cuando el administrador decide ver un informe, pero es importante entender qué se comparte en cada flujo.

Con estas premisas en mente, la clave está en interpretar el informe con criterio y combinarlo con otras capas de seguridad (antivirus local, EDR, IDS/IPS y políticas de endurecimiento) para tomar decisiones informadas.

Analizar un archivo con la pestaña «File»

Para comenzar, ve a la pestaña File, elige el fichero desde tu equipo y pulsa el botón azul “Confirm upload” para subirlo. Puedes subir binarios, documentos ofimáticos, compresiones, entre otros. El servicio lanzará la muestra a múltiples motores de antivirus y a otras fuentes de reputación.

Una vez termina, se muestra una cabecera con el número de motores que marcan detección. Si algún proveedor lo detecta, verás el detalle en la pestaña “Detection”, donde se listan los nombres de familia o heurísticas reportadas por cada motor.

En “Details” encontrarás metadatos: tipo de archivo, hashes (MD5, SHA-1, SHA-256), tamaño, fechas (compilación, modificación) y otra información capacitada para el triaje. La pestaña “Relations” mapea conexiones con otros artefactos (descargadores, servidores C2, URLs relacionadas, archivos hermanos). Por último, “Community” agrega comentarios de otros usuarios.

Entre los motores más conocidos que pueden intervenir figuran clásicos del sector. A modo de muestra, muchos informes incluyen nombres como Avira, Kaspersky, Microsoft, ESET, Bitdefender y más. Aquí tienes una lista representativa de motores habituales en escaneos de archivos:

• Ad-Aware
• AhnLab-V3
• Avast-Mobile
• Avira
• Bit Defender
• Eset-NOD32
• F-Secure
• Fortinet
• Kaspersky
• Malware bytes
• McAfee
• Microsoft
• Panda
• Sophos AV
• Symantec
• Trust look
• TrendMicro
• GData
• Comodo
• AVG
• Avast

Cuando solo uno o dos motores marcan en rojo y el resto están limpios, puede ser un falso positivo. Si varios motores coinciden y nombran familias concretas, la sospecha gana peso. Como criterio práctico, no ejecutes nada si hay detecciones, aunque sean pocas, y contrasta con tu antivirus local o haz un análisis en sandbox segura.

Analizar URLs antes de entrar

La pestaña URL te permite pegar un enlace y someterlo a más de 70 motores y listas reputacionales. Esto es especialmente útil para proteger compras online, accesos corporativos o campañas con enlaces acortados.

En el informe verás cuántos motores consideran maliciosa la dirección; si solo un par alertan y el resto no, estaríamos ante un posible falso positivo. La pestaña “Detection” resume la distribución de resultados y “Details” aporta metadatos sobre el servidor, tecnología, trackers observados y etiquetas meta.

Si hay comentarios en “Community”, léelos: a veces otros usuarios aportan contexto sobre incidentes recientes o confirman inofensividad. Úsalo como señal adicional, no como único criterio.

Search: dominios, IPs y contexto adicional

El módulo Search permite introducir una URL, dominio o IP para obtener contexto de reputación; tras analizar un dominio, la cabecera puede indicar, por ejemplo, el número de URLs bajo ese dominio visibles en el conjunto de datos de VirusTotal.

Encontrarás señales como el ranking de popularidad en Cisco Umbrella, últimos servidores DNS usados, el último certificado HTTPS (con emisor, huella y validez) y datos de registro del dominio (WHOIS). Incluso verás lo que se indexa en Google sobre ese dominio.

Estos datos son oro para investigar posibles vínculos: pivota desde un hash a su dominio de descarga, mira certificados compartidos o bloquea dominios afines a una campaña que tu equipo detectó en fase temprana.

Cómo interpretar pestañas y resultados de un informe

• “Detection” reúne la visión de motores. No todos puntúan igual: algunos tienden a ser más agresivos con heurística, otros más conservadores. La coherencia entre múltiples proveedores y la aparición de nombres de familia conocidos elevan la confianza.
• “Details” es tu ficha técnica: hashes, tamaño, tipo MIME, fechas, firma digital, permisos (en Android), macros en documentos, etc. Esta vista aporta identificadores para compartir con otros analistas y para buscar correlaciones en SIEM/EDR.
• “Relations” dibuja el grafo: qué URLs alojan el archivo, qué IPs contacta, qué otros archivos descargó o fueron descargados por él. Es el punto de partida para cortar infraestructura relacionada (bloqueos en perímetro, listas de denegación, seguimiento de campañas).
• “Community” agrega votos y comentarios; no sustituye al juicio técnico, pero aporta señales de primera mano de otros equipos que han visto lo mismo en campo.

Informes de VirusTotal integrados en Google Workspace

En organizaciones con Google Workspace, la herramienta de investigación del Centro de Seguridad permite abrir informes de VirusTotal relacionados con Gmail y Chrome para enriquecer investigaciones sin salir del entorno.

Notas importantes de esta integración corporativa que debes tener presentes para operar con garantías: se requiere privilegio “Centro de Seguridad > VirusTotal > Ver informe”; VirusTotal aquí no se usa para “detectar”, sino para añadir contexto y reputación; los datos (hashes) solo se comparten con VirusTotal cuando el administrador hace clic en “Ver informe de VirusTotal”.

• Los datos de VirusTotal forman parte de un ecosistema compartido para la comunidad de seguridad.
• También es posible abrir estos informes desde el Centro de alertas.

Cómo ver informes relacionados con Gmail desde la consola de administración:

1. Inicia sesión en admin.google.com con cuenta de administrador.
2. Selecciona “Mensajes de Gmail” o “Eventos de registro de Gmail” como fuente.
3. Añade la condición “Tiene un archivo adjunto”.
4. Ejecuta la búsqueda y abre un resultado por ID de mensaje o Asunto.
5. En el panel lateral, pestaña “Mensaje” o “Conversación”, pulsa “Ver informe de VirusTotal”.

Para Chrome (eventos de registro):

1. Accede a la consola y elige “Eventos de registro de Chrome”.
2. Añade la condición deseada y ejecuta la búsqueda.
3. En los resultados, abre un enlace de la columna “Hash de contenido”.
4. En el panel lateral, pulsa “Ver informe de VirusTotal”.

El informe integrado incluye reputación multi-proveedor y detalles útiles para triaje, como primeras y últimas fechas de detección de una amenaza y los indicadores observados.

Informes estándar vs versión mejorada (Enterprise)

En Workspace verás dos modalidades de informe: la versión estándar (requiere privilegio de “Ver informe” y edición compatible) y la versión mejorada, que aparece automáticamente a suscriptores de pago de VirusTotal Enterprise con sesión iniciada en virustotal.com.

Funciones clave de la versión estándar:

• Reputación de amenazas basada en más de 70 proveedores.
• Tiempo de propagación: primeras detecciones y actividad temporal.
• Identificación de archivos: hashes, tipo, tamaño, firma, etc.

Qué aporta la versión mejorada:

• Detección multiangular: reglas comunitarias (YARA, Sigma, IDS) y puntuación social.
• Listas de permitidos de referencia para descartar falsos positivos (NIST, Microsoft clean feed, distribuidores de software, etc.).
• IOCs relacionados y su infraestructura (descargadores, C2, vectores de entrega).
• Gráfico interactivo de amenazas para visualizar relaciones entre artefactos.
• Metadatos de seguridad: editor, macros maliciosas, permisos Android, y más.
• Detalles de la campaña: geografía, técnicas de engaño y patrones de propagación.
• Pivoteo por atributos para descubrir amenazas con propiedades comunes.

Beneficios prácticos de la versión mejorada:

• Mejor detección temprana gracias a reglas comunitarias antes de que haya consenso entre antivirus.
• Investigaciones más ágiles combinando avistamientos internos con contexto global.
• Resolución más rápida con grafo de amenazas e IOCs relacionados para medir impacto y bloquear de forma preventiva.
• Estrategia proactiva: pivotar a infraestructura aún no observada y anticiparse a campañas.

Más casos de uso en suscripción Enterprise: enriquecimiento automatizado de alertas, triaje y análisis forense, inteligencia y búsqueda avanzada de amenazas, seguimiento de phishing y marca, apoyo a equipos rojos y bug hunting, y priorización de vulnerabilidades según riesgo y explotación observada.

Privacidad, legal y consideraciones de cuota

VirusTotal es un producto de Alphabet. Al usarlo aceptas sus Términos del Servicio y Política de Privacidad. En entornos Workspace, al abrir un informe desde la herramienta de investigación, se comparte el hash del adjunto/dominio/IP con VirusTotal para recuperar la evaluación; si el administrador no abre el informe, no se comparte nada.

Los datos de VirusTotal se comparten con la comunidad de seguridad para favorecer la colaboración y la respuesta coordinada ante amenazas. En clientes de VirusTotal Enterprise, abrir informes desde la herramienta de investigación de Workspace no consume cuota; abrir páginas en virustotal.com sí cuenta para la cuota habitual.

Buenas prácticas y seguridad adicional

Usa VirusTotal como capa de verificación antes de ejecutar. Si un archivo o URL da indicios de riesgo, no lo abras ni lo visites. Contrasta el veredicto con tu antivirus y, cuando sea posible, consulta cómo detectar y eliminar archivos sospechosos o con una sandbox controlada.

Evita subir muestras sensibles o propietarias si te preocupa la exposición de metadatos. En su lugar, considera subir solo el hash o usar flujos donde el intercambio está acotado (como la integración de Workspace que comparte hashes al consultar el informe).

Endurece el endpoint con varias capas: un antivirus bien configurado como Microsoft Defender, un EDR que aporte detección por comportamiento y un IDS/IPS en red para inspección y bloqueo en tránsito. Ninguna herramienta por sí sola basta; la fuerza está en la combinación.

Si trabajas con documentos ofimáticos, deshabilita macros por defecto y firma digitalmente ejecutables propios. Comprueba firmas y certificados: una firma válida y conocida reduce el riesgo (aunque no lo elimina si la identidad fue comprometida).

VirusTotal es multiplataforma y existen clientes móviles. En Android hay app (por ejemplo, versión 2.5.4 en una revisión de mayo de 2025), útil para validar enlaces y archivos sobre la marcha; recuerda que el principio es el mismo: reputación y contexto, no protección residente.

Artículo relacionado:

Guía completa para analizar archivos sospechosos con VirusTotal y entender los resultados

Isaac

Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.