- VirusTotal y Jotti son escáneres online multi-motor que ofrecen una segunda opinión al antivirus instalado, pero con alcances y niveles de detalle muy distintos.
- VirusTotal analiza archivos, URLs, dominios e IPs con más de 70 motores y abundante información técnica, mientras que Jotti se centra en archivos con unos 15–20 motores y una interfaz más sencilla.
- La integración de VirusTotal en Google Threat Intelligence ha encarecido el acceso avanzado, impulsando el uso de alternativas como MetaDefender Cloud, MalwareBazar, Hunt.io, CAPE, AbuseIPDB o Intezer Analyze.
- El usuario doméstico suele cubrir sus necesidades con un antivirus más un escáner online básico, mientras que los SOCs y analistas profesionales se benefician de combinar varias fuentes de inteligencia de amenazas.
Si trabajas con Windows o te descargas archivos de Internet con cierta frecuencia, casi es obligatorio tener un antivirus instalado y bien actualizado. Microsoft incluye su propio sistema de seguridad con Windows Defender, pero muchos usuarios siguen sin fiarse del todo de esta solución integrada y prefieren apostar por suites de seguridad de terceros que llevan años afinando sus motores contra el malware.
Aun así, incluso contando con un buen antivirus residente, es muy útil disponer de herramientas online para analizar archivos o URLs puntuales. Aquí es donde entran en juego servicios como VirusTotal y Jotti, dos plataformas muy populares para comprobar si un fichero, dominio o enlace está limpio o viene con “regalo” en forma de código malicioso.
Por qué usar escáneres online junto a tu antivirus
Por muy potente que sea, un antivirus tradicional se basa en un motor de detección concreto y su propia base de firmas. Cuando quieres una segunda opinión, o examinar un archivo sospechoso sin ejecutarlo, resulta tremendamente práctico subirlo a un servicio online que lo analiza con varios motores al mismo tiempo, por ejemplo una segunda opinión con Process Explorer y VirusTotal.
Estos escáneres bajo demanda no sustituyen en ningún caso a la protección en tiempo real de un antivirus de escritorio, pero sí complementan su trabajo. Su función es analizar archivos, URLs, dominios o direcciones IP concretas, dándote un informe rápido que combina la visión de múltiples proveedores de seguridad.
Otra ventaja es que muchos de estos servicios cuentan con una base de datos histórica de muestras de malware y sistemas de reputación. Eso permite no solo saber si un archivo está infectado, sino también ver si se trata de una amenaza conocida, si ha circulado antes por la red o si otros analistas ya han comentado su comportamiento.
Conviene tener claro que este tipo de webs no ofrecen monitorización permanente ni bloqueo en tiempo real. Son herramientas de análisis puntuales, ideales para revisar adjuntos de correo, programas bajados de foros, cracks sospechosos o documentos que te despiertan ciertas dudas.
VirusTotal: el referente de los escáneres multi-motor
VirusTotal se ha convertido con los años en la plataforma más conocida para analizar malware online. A través de cualquier navegador puedes subir archivos o URLs, indicar un dominio o una dirección IP, y el servicio se encarga de pasarlo por decenas de motores antivirus y de reputación.
En su modalidad pública, VirusTotal utiliza más de 70 motores de antivirus y herramientas de seguridad independientes. Cada elemento enviado se somete a todos ellos casi en paralelo, y en cuestión de segundos obtienes un informe con qué motores detectan algo sospechoso y con qué nombre lo identifican.
Además del análisis inmediato, la plataforma mantiene una enorme base de datos de muestras históricas de malware. Puedes consultar análisis antiguos, ver si un hash concreto (por ejemplo, un SHA256) ha sido ya subido con anterioridad y comprobar si la detección ha cambiado con el tiempo según los motores se van actualizando.
Otro punto muy potente es su comunidad de usuarios y analistas de seguridad. En muchos informes encontrarás comentarios públicos donde otros profesionales explican qué hace la muestra, a qué familia pertenece, qué indicadores de compromiso genera o si está relacionado con una campaña activa.
La parte menos amable es que, en la versión gratuita y pública, existe una limitación en el tamaño de los archivos que se pueden analizar, además de ciertas restricciones de uso de la API. También hay usuarios a los que les inquieta compartir ficheros potencialmente sensibles, ya que todo lo subido puede ser accesible para la comunidad y para los fabricantes de antivirus.
Jotti: análisis sencillo y rápido de archivos sospechosos
Jotti’s Malware Scan es otra plataforma online pensada para quienes buscan un escáner gratuito, simple y directo al grano. Su filosofía es parecida a la de VirusTotal en el sentido de que analiza un archivo con varios antivirus a la vez, pero con un enfoque mucho más minimalista y sin tanta información adicional.
A diferencia de VirusTotal, Jotti está centrado exclusivamente en el análisis de archivos individuales. No permite enviar URLs ni dominios, solo ficheros que subes desde tu equipo. Eso sí, acepta varios de una sola vez (hasta cinco en paralelo), y dispone de un límite de tamaño de archivo notablemente alto que puede llegar a 250 MB según la versión descrita por el propio servicio.
La plataforma utiliza en torno a 15-20 motores antivirus distintos, una cifra claramente inferior a VirusTotal pero más que suficiente para que la detección sea razonable en la mayoría de casos de uso doméstico o pequeñas empresas. Su interfaz es extremadamente sencilla: eliges el archivo, lo subes y revisas el resultado, sin florituras.
Conviene tener presente que todo lo que se analiza en Jotti se comparte con las compañías antivirus integradas. Esa colaboración permite mejorar las firmas y ajuste de heurísticas, pero implica que no es buena idea subir documentos muy confidenciales o privados.
El propio servicio advierte que ningún producto, ni siquiera combinando varios motores, puede dar garantías del 100 % frente a todo el malware existente. Su objetivo es proporcionarte una buena segunda opinión, no convertirse en la única barrera de seguridad de tu sistema.
VirusTotal vs Jotti: diferencias clave y para quién es cada uno
Si comparamos de tú a tú ambos servicios, lo primero que salta a la vista es el número de motores antivirus integrados. VirusTotal juega en una liga superior con más de 70 motores, mientras que Jotti se mueve en la franja de 15 a 20. Esto se traduce en más perspectivas de detección en el caso de VirusTotal, aunque también en informes más complejos de interpretar.
Por otro lado, VirusTotal ofrece soporte para múltiples tipos de análisis: archivos, URLs, dominios, direcciones IP y hashes. En cambio, Jotti se limita a ficheros subidos desde el equipo local. Si tu caso de uso incluye revisar enlaces sospechosos, campañas de phishing o reputación de dominios, VirusTotal encaja bastante mejor.
En cuanto a usabilidad, Jotti gana puntos con una interfaz extremadamente limpia y sin distracciones. Para un usuario poco técnico que solo quiere saber “si este archivo lleva virus o no”, el diseño de Jotti resulta más amigable. VirusTotal, por su parte, muestra muchos más datos (detecciones por motor, nombres de firmas, detalles técnicos) que los usuarios avanzados agradecen.
También hay diferencias en el nivel de detalle del informe. VirusTotal ofrece información muy precisa y granular sobre cada muestra, incluyendo detalles de comportamiento, información de red, firmas YARA en algunos casos y datos de metadatos. Jotti opta por algo mucho más básico: qué motores detectan el archivo, con qué nombre y poco más.
Por todo esto, suele recomendarse VirusTotal a usuarios avanzados, investigadores y empresas que requieren informes completos, mientras que Jotti encaja mejor entre quienes valoran la sencillez y solo necesitan una comprobación rápida de unos pocos ficheros sin complicarse demasiado.
Cambio de rumbo de VirusTotal y auge de alternativas
En los últimos años VirusTotal ha vivido un proceso de integración cada vez mayor con la oferta de Google en materia de inteligencia de amenazas. La culminación de este camino ha sido su encaje dentro de la suite Google Threat Intelligence (GTI), un movimiento que ha repercutido en cómo se comercializan sus capacidades más avanzadas.
Con esta integración, muchas funciones que antes estaban accesibles de forma gratuita o con planes intermedios han pasado a formar parte de modelos de precio claramente orientados a empresas. En foros de seguridad algunos usuarios han reportado incrementos de coste de hasta cuatro veces respecto a los niveles anteriores, lo que ha dejado a muchos equipos pequeños en fuera de juego.
Este giro llega en un contexto en el que el volumen de vulnerabilidades y amenazas se dispara. Informes como los de RecordedFuture señalan que el número de vulnerabilidades (CVEs) divulgadas sigue creciendo a doble dígito, con incrementos del 16 % en determinados periodos recientes frente a años anteriores. Más amenazas, pero acceso más restringido a ciertas fuentes de inteligencia: mala combinación.
Para muchos equipos de threat hunting, SOCs y analistas independientes, basar su flujo de trabajo solo en subidas comunitarias y detecciones de antivirus en VirusTotal se ha vuelto menos sostenible, tanto por coste como por limitaciones de acceso. De ahí que se haya disparado el interés por soluciones que cubran ese hueco con otro enfoque.
En este escenario, están ganando protagonismo plataformas que combinan datos abiertos, inteligencia comercial, automatización y análisis proactivo, y que pueden complementar o incluso superar a VirusTotal en áreas concretas como la correlación de infraestructura maliciosa, el análisis profundo de muestras o la gestión de IOCs.
Alternativas a VirusTotal para análisis avanzado y threat hunting
Además de Jotti, existen varias herramientas que se posicionan como alternativas reales a VirusTotal, especialmente interesantes para investigadores, equipos de respuesta a incidentes o empresas que necesitan integrar inteligencia de amenazas en sus procesos.
Una de las conocidas es OPSWAT MetaDefender Cloud, un servicio en la nube que realiza escaneos multi-motor de archivos, URLs, direcciones IP y hashes. Aunque conceptualmente se parece a VirusTotal, va un paso más allá al incorporar funciones como el desarme de contenido (CDR) y la detección de vulnerabilidades en los propios ficheros.
MetaDefender Cloud utiliza más de 20-30 motores de antivirus según la configuración, e incluye características de sanitización de archivos: en lugar de limitarse a marcar un documento como sospechoso, es capaz de generar una versión “limpia”, eliminando macros y contenido potencialmente malicioso para que el archivo pueda usarse con menos riesgo.
Este enfoque de “reconstrucción segura” es especialmente útil en entornos corporativos donde se reciben muchos adjuntos, ya que permite automatizar la desinfección y reducir el riesgo sin depender solo de la detección por firmas. Además, integra feedback de usuarios para mejorar sus algoritmos y ofrece una API con la que se puede automatizar gran parte del flujo de análisis.
Otro nombre importante en este listado es AlienVault (actualmente bajo la marca Level Blue), que no es solo un escáner de malware, sino una solución de seguridad todo en uno con SIEM, detección de intrusiones, inventario de activos y gestión de vulnerabilidades. Dentro de ese ecosistema, integra capacidades de análisis de malware y se apoya en una comunidad muy activa para mantener su inteligencia de amenazas al día.
Plataformas especializadas para investigadores y SOCs
Para quienes realizan tareas de threat hunting de forma continuada, también merece la pena fijarse en servicios como Hunt.io. Esta plataforma está orientada a ofrecer inteligencia profunda de IPs, dominios y hashes, poniendo el foco en la detección y monitorización de infraestructuras de mando y control (C2) de forma proactiva.
Hunt.io realiza escaneos a gran escala de Internet y genera un feed de infraestructura C2 descubierta mediante validación propia, de manera que muchas direcciones maliciosas se identifican antes de que empiecen a ser utilizadas de forma masiva. Esto da a los equipos de seguridad un margen de maniobra valioso para bloquear y anticiparse.
Entre sus herramientas destaca IOC Hunter, que permite extraer IOCs de investigaciones recientes y pivotar entre distintos observables. Por ejemplo, puedes partir de un dominio y descubrir directorios expuestos, cabeceras HTTP, información de certificados, servicios activos y otra infraestructura relacionada.
Este tipo de mapeo resulta esencial cuando quieres reconstruir la huella digital de un actor de amenazas, identificar sus servidores auxiliares, paneles de administración, proxies y otros elementos que pueden pasarse por alto con una simple consulta a un antivirus multi-motor.
En el campo del análisis dinámico también destaca CAPE Sandbox (CAPEv2), un sandbox especializado en diseccionar malware a fondo. Deriva del conocido Cuckoo Sandbox, pero añade capacidades extra para extraer configuraciones, desempaquetar payloads ocultos y detectar trucos de evasión.
MalwareBazar, CAPE, AbuseIPDB y otras fuentes comunitarias
Si tu trabajo implica analizar muestras regularmente, MalwareBazar se ha convertido en uno de los repositorios de referencia. Creado por abuse.ch y Spamhaus, está orientado a la compartición estructurada de muestras de malware para investigación, sin las típicas limitaciones duras de descarga o registros engorrosos de otras plataformas.
Su gran virtud es que se centra en muestras reales, filtrando adware y PUPs benignos, lo que lo convierte en una fuente muy fiable para entrenar herramientas, construir reglas YARA o probar productos de seguridad. Ofrece una API muy potente que facilita automatizar la descarga y el tratamiento de nuevas muestras dentro del flujo de trabajo de investigadores y vendedores de seguridad.
En combinación con un repositorio como MalwareBazar, es habitual utilizar CAPE Sandbox para observar el comportamiento de esas muestras en un entorno controlado. CAPEv2 monitoriza llamadas a la API, captura tráfico de red, registra cambios en el sistema de archivos y puede generar volcados de memoria para analizar payloads inyectados y módulos ocultos.
Su integración con reglas YARA y su enfoque en desenmascarar payloads empaquetados facilita tratar con malware que intenta frustrar el análisis automático escaneando el entorno, detectando máquinas virtuales o cifrando partes críticas de su código.
Otro pilar clave del ecosistema de inteligencia de amenazas es AbuseIPDB, una base de datos comunitaria centrada en la reputación de direcciones IP. Cualquier usuario o sistema puede reportar IPs implicadas en ataques, spam, fuerza bruta, escaneos agresivos y otras actividades maliciosas.
Las contribuciones de la comunidad alimentan una enorme base de datos que se mantiene en constante actualización con reportes frescos. Gracias a su API, es sencillo integrarla en firewalls, sistemas de detección de intrusiones o scripts propios, de modo que puedas bloquear tráfico sospechoso basándote en esa reputación en tiempo casi real.
Este enfoque colaborativo hace que AbuseIPDB sea especialmente útil para identificar rápidamente IPs problemáticas que están siendo activas en la comunidad global, ayudándote a reforzar tus defensas con información que de otro modo tardarías mucho más en recopilar por tu cuenta.
Otras alternativas destacadas: VirSCAN e Intezer Analyze
En el terreno de los escáneres multi-motor más clásicos encontramos también VirSCAN.org, un servicio gratuito que permite subir archivos para ser analizados con múltiples motores antivirus, de forma similar a Jotti o MetaDefender, pero con su propio conjunto de proveedores.
VirSCAN establece un límite de tamaño de archivo más modesto, en torno a los 20 MB, suficiente para muchas muestras pero algo justo para binarios grandes o ciertos documentos pesados. Aun así, sigue siendo una opción interesante para consultas rápidas cuando quieres evitar depender siempre del mismo servicio.
En el lado más avanzado aparece Intezer Analyze, una plataforma que apuesta por un análisis de “código genético” del malware. En lugar de fijarse solo en firmas tradicionales, descompone el binario en fragmentos de código y los compara con una base de datos de piezas conocidas, tanto de malware como de software legítimo.
Este enfoque permite detectar reutilización de código entre distintas familias de malware, identificar qué partes provienen de proyectos legítimos y cuáles pertenecen a kits o frameworks criminales, así como entender la evolución de ciertas campañas a lo largo del tiempo.
Intezer Analyze ofrece APIs que facilitan integrarlo en pipelines automatizados, lo que lo hace muy atractivo para equipos de respuesta a incidentes y laboratorios de malware que quieren ir más allá del simple “detecta o no detecta” y entender de verdad el linaje y las relaciones entre muestras.
Todo este abanico de herramientas demuestra que la inteligencia de amenazas moderna descansa en un ecosistema diverso de fuentes y enfoques, donde cada pieza aporta algo: desde la simpleza de Jotti para el usuario doméstico hasta la profundidad analítica de Intezer o CAPE para los especialistas.
Para el usuario medio que solo necesita confirmar si un archivo concreto es peligroso, combinar un buen antivirus de escritorio con un escáner online como VirusTotal o Jotti suele ser más que suficiente. Para equipos profesionales, añadir a la mezcla soluciones como MetaDefender, MalwareBazar, Hunt.io, AbuseIPDB o Intezer ofrece una capa extra de visibilidad y contexto que marca la diferencia a la hora de detectar, investigar y frenar amenazas cada vez más sofisticadas.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.