VirusTotal es el servicio gratuito que te permite analizar archivos y escanear URLs sospechosas con más de 70 motores antivirus a la vez, sin instalar nada. Si te ha llegado un adjunto raro o un enlace acortado que huele a chamusquina, lo subes, esperas unos segundos y obtienes un veredicto. Hacer un buen análisis de malware online ya no requiere ser perito forense: requiere saber leer lo que VirusTotal te enseña. Y ahí está el truco, porque buscar virus online es fácil, pero interpretar el resultado sin asustarse por un falso positivo ya es otra cosa. En los próximos minutos verás cómo usarlo bien, qué significan los números y cuándo conviene desconfiar incluso de un "0 detecciones".
Qué es VirusTotal y por qué lo usa medio mundo
VirusTotal nació en 2004 en Málaga, de la mano de la empresa Hispasec Sistemas. En 2012 lo compró Google, y desde 2018 forma parte de Chronicle, la división de ciberseguridad de Alphabet. Vamos, que no es un invento de garaje: lo usan equipos SOC, investigadores y la propia Interpol.
La idea es simple. Subes un archivo o pegas una URL, y la plataforma lo pasa por decenas de motores antivirus comerciales (Kaspersky, ESET, Bitdefender, Microsoft Defender y muchos más) además de herramientas de análisis de comportamiento. El resultado es un panel con cuántos motores lo marcan como malicioso.
Para analizar archivos de forma puntual es gratis y no necesitas cuenta. Si quieres funciones avanzadas (búsquedas masivas, API con más cuota, descarga de muestras), ahí ya entra VirusTotal Enterprise, que es de pago. Para el 99% de los mortales, la versión web gratuita sobra.
Cómo analizar un archivo paso a paso
El proceso es más corto que la cola del paro un viernes. Entras en virustotal.com, eliges la pestaña File y sigues estos pasos:
- Sube el archivo (límite de 650 MB por subida en la web). Arrastra y suelta, o pulsa "Choose file".
- Espera el análisis. Si el archivo ya lo subió alguien antes, te muestra el resultado al instante. Si es nuevo, lo procesa en segundos.
- Lee el ratio de detección. Verás algo tipo "3 / 72". Significa que 3 motores de 72 lo consideran malicioso.
- Mira las pestañas. Detection te da el veredicto de cada antivirus, Details los hashes y metadatos, Behavior qué hace el archivo al ejecutarse en un entorno aislado (sandbox), y Community los comentarios de otros usuarios.
Un detalle importante de privacidad: todo lo que subes se comparte con la comunidad de seguridad y partners de VirusTotal. No subas nunca documentos con datos personales, contratos, nóminas o tu declaración de la renta. Si tienes dudas sobre un PDF interno de tu empresa, mejor no lo cuelgues. Para eso existen entornos privados de pago.
Un truco para los paranoicos sanos: en lugar de subir el archivo entero, puedes buscar solo su hash (SHA-256). Calculas el hash en tu equipo y lo pegas en la barra de búsqueda. Si VirusTotal lo conoce, te da el veredicto sin que el fichero salga de tu ordenador. Privacidad ganada.
Cómo escanear una URL sospechosa
Para escanear una URL, ve a la pestaña URL, pega el enlace y dale a buscar. VirusTotal consulta listas de reputación (Google Safe Browsing, Phishtank, etc.) y motores de análisis web. Es la herramienta perfecta para esos enlaces acortados de bit.ly que te llegan por SMS diciendo que "tu paquete está retenido".
Esto encaja de lleno con las técnicas que explicamos en nuestro artículo sobre pharming vs phishing: antes de hacer clic en cualquier enlace de un correo, pásalo por VirusTotal. Tarda lo mismo que dudar, y te ahorra el disgusto.
Eso sí, ojo con dos cosas. Primero, VirusTotal sigue la URL en el momento del análisis, y muchas webs de phishing cambian de comportamiento según quién las visite (cloaking). Una URL puede dar "limpia" hoy y servir virus online mañana. Segundo, los dominios recién creados a veces no están todavía en ninguna lista negra. Un "0 detecciones" en un dominio de hace tres horas no es una bendición papal.
Cómo interpretar los resultados sin volverte loco
Aquí es donde la gente se equivoca. Un par de detecciones sobre setenta motores no siempre significa infección. Puede ser un falso positivo, sobre todo en programas pequeños, instaladores poco firmados o herramientas de hacking legítimas. Y al revés: un "0/72" tampoco es garantía absoluta, porque el malware de día cero (un 0-day) todavía no lo detecta nadie.
| Resultado | Qué significa | Qué hacer |
|---|---|---|
| 0 detecciones | Limpio o demasiado nuevo | Confiar con cabeza, mirar pestaña Behavior |
| 1-3 detecciones | Posible falso positivo | Revisar qué motores y qué nombre de amenaza dan |
| 4-10 detecciones | Sospechoso serio | No ejecutar, investigar el origen |
| +10 detecciones | Malicioso casi seguro | Borrar y no mirar atrás |
Mira siempre qué motores lo marcan. Si los grandes (Kaspersky, ESET, Microsoft, Bitdefender) coinciden, hazles caso. Si solo lo marcan dos motores de nombre exótico con la etiqueta genérica "Heuristic" o "Generic.Trojan", el escepticismo está justificado. Y la pestaña Behavior es oro: te dice si el archivo intenta conectarse a servidores raros, modificar el registro o cifrar ficheros (señal clásica de ransomware, como los grupos de ransomware activos en 2026).
VirusTotal funciona de maravilla contra amenazas conocidas. Pero el malware con inteligencia artificial y el polimórfico mutan en cada infección, así que no lo trates como un oráculo infalible. Es una segunda opinión potentísima, no un sustituto de tener cabeza y un antivirus actualizado en tu equipo.
Alternativas y herramientas complementarias
VirusTotal no juega solo. Para un análisis completo conviene conocer a sus compañeros de equipo:
- Hybrid Analysis y Joe Sandbox: análisis de comportamiento en entornos aislados más detallado.
- urlscan.io: especializado en diseccionar páginas web y mostrar capturas, recursos cargados y conexiones.
- Have I Been Pwned: aunque no analiza archivos, te dice si tu email apareció en alguna filtración de datos. Complemento ideal a la higiene digital.
- ANY.RUN: sandbox interactivo donde ves el malware ejecutarse en tiempo real.
Combinar VirusTotal con urlscan.io para enlaces y con Hybrid Analysis para ejecutables te da una cobertura difícil de superar siendo gratis. Si gestionas la seguridad de un negocio y quieres integrar estos análisis en tu propia web o panel interno, en Piqture trabajamos la inteligencia artificial para empresas y la automatización de este tipo de flujos. Y si lo tuyo es montar utilidades caseras, en herramientas hay recursos prácticos que no están mal.
Preguntas frecuentes
¿VirusTotal es gratis de verdad?
Sí, la versión web para analizar archivos y URLs de forma puntual es gratuita y no requiere cuenta. Las funciones avanzadas (API con alta cuota, búsquedas masivas, entornos privados) pertenecen a VirusTotal Enterprise, que es de pago.
¿Es seguro subir mis archivos a VirusTotal?
Técnicamente sí, pero todo lo que subes se comparte con la comunidad de seguridad y los partners de la plataforma. Nunca subas documentos con datos personales o confidenciales. Si solo quieres comprobar un archivo conocido, busca su hash SHA-256 en lugar de subirlo.
¿Un "0 detecciones" significa que el archivo es 100% seguro?
No. Puede tratarse de malware de día cero que todavía ningún motor reconoce, o de un archivo demasiado nuevo. Revisa la pestaña Behavior para ver qué hace realmente antes de fiarte del todo.
¿Por qué VirusTotal marca como virus un programa que yo sé que es legítimo?
Son los llamados falsos positivos. Pasa con software poco firmado, herramientas de administración de redes o cracks. Comprueba qué motores lo marcan: si son dos antivirus menores con etiqueta genérica, suele ser falsa alarma.
¿Puedo usar VirusTotal desde el móvil?
Sí. La web funciona en navegador móvil y existe una app oficial. Es útil para escanear enlaces sospechosos que te llegan por SMS o WhatsApp antes de pulsarlos, una amenaza creciente tanto en iOS como en Android.
El siguiente paso
Abre virustotal.com ahora mismo, copia el último enlace sospechoso que te haya llegado por email o SMS y pégalo en la pestaña URL. En diez segundos sabrás si era una trampa. Hazlo un hábito: dudar cuesta lo mismo que un clic, y a veces ese clic es la diferencia entre un martes normal y una semana reinstalando el sistema.
