Cuando un analista de seguridad recibe un archivo sospechoso, una URL extraña en un correo o el hash (huella criptográfica del archivo) de un binario desconocido, una de las primeras paradas suele ser la misma: VirusTotal. La plataforma, propiedad de Google desde 2012, se convirtió en una referencia gratuita para verificar archivos contra decenas de motores antivirus al mismo tiempo, consultar reputación de dominios e IPs, y acceder a inteligencia compartida por la comunidad de seguridad a nivel mundial.
Pero VirusTotal no es solo un escáner de archivos. Detrás de la interfaz simple hay una base de datos masiva de muestras de malware, comportamiento dinámico de archivos en sandbox (entornos aislados de ejecución), relaciones entre indicadores y herramientas profesionales para equipos SOC, incident responders y analistas de threat intel (inteligencia de amenazas).
En esta guía vas a encontrar qué es, cómo se usa paso a paso, cómo interpretar sus resultados, cuándo conviene usarlo y cuándo no, y cómo encaja dentro de una estrategia de seguridad operativa más amplia.
- 01 ¿Qué es VirusTotal y cómo funciona?
- 02 ¿Cómo usar VirusTotal paso a paso?
- 03 ¿Cómo interpretar los resultados de VirusTotal?
- 04 ¿Es VirusTotal confiable y seguro de usar?
- 05 Análisis de aplicaciones Android (APK) con VirusTotal
- 06 VirusTotal API e Intelligence: capacidades para equipos de seguridad
- 07 VirusTotal vs alternativas: ANY.RUN, Hybrid Analysis, Joe Sandbox, MetaDefender
- 08 VirusTotal en una estrategia SOC: integración con Wazuh y monitoreo continuo
- 09 Preguntas Frecuentes sobre VirusTotal
¿Qué es VirusTotal y cómo funciona?
VirusTotal es un servicio en línea gratuito que permite analizar archivos, URLs, dominios, direcciones IP y hashes contra más de 70 motores antivirus y servicios de reputación de manera simultánea. En lugar de instalar varios antivirus en una sola máquina (algo técnicamente desaconsejable), VirusTotal envía la muestra a cada motor en su infraestructura y consolida los veredictos en una sola vista, lo que permite tener una segunda opinión inmediata sobre cualquier indicador sospechoso.
El servicio fue creado en 2004 por la empresa española Hispasec Sistemas y adquirido por Google en 2012. Desde 2018 forma parte de Chronicle, la división de ciberseguridad de Google Cloud, y sigue siendo gratuito para uso individual mientras que las capacidades avanzadas se ofrecen bajo VirusTotal Enterprise (antes conocido como VirusTotal Intelligence).
Qué tipos de elementos puedes analizar
La plataforma acepta varios tipos de entrada y cada uno desencadena un análisis distinto. Puedes subir un archivo de hasta 650 MB para análisis estático y dinámico, pegar una URL para revisar reputación y comportamiento del sitio, ingresar un dominio o una IP para ver historial y conexiones, o pegar directamente un hash MD5, SHA-1 o SHA-256 para consultar si alguna muestra con esa huella ya fue analizada antes. Esta última opción es particularmente útil cuando no puedes (o no debes) subir el archivo original pero necesitas saber si la comunidad ya lo identificó como malicioso.
Cómo trabaja por dentro
Cuando subes un archivo, VirusTotal lo distribuye en paralelo a cada motor antivirus integrado, registra el veredicto de cada uno y además ejecuta análisis estáticos (estructura del binario, strings, hashes, metadatos) y dinámicos en sandbox para observar el comportamiento real del archivo: qué procesos crea, qué claves de registro modifica, qué conexiones de red intenta.
Toda esa información queda registrada y disponible para consultas posteriores, lo que convierte a VirusTotal en un repositorio histórico de amenazas más que en un simple escáner puntual.
¿Cómo usar VirusTotal paso a paso?
La interfaz pública en virustotal.com tiene tres pestañas principales en la pantalla de inicio: File, URL y Search. Cada una corresponde a un tipo de análisis distinto y vale la pena conocerlas porque resuelven situaciones diferentes en el día a día de un analista o un usuario técnico.
Analizar un archivo
Para analizar un archivo, ve a la pestaña File en la página de inicio, haz clic en "Choose file" y selecciona el archivo desde tu equipo. Sube el archivo (el límite gratuito es 650 MB, pero los binarios grandes tardan más en pasar por la sandbox), espera a que terminen los motores antivirus y revisa los resultados.
Es importante recordar que todo lo que subes a VirusTotal se vuelve público para suscriptores de pago y la comunidad de investigación, así que nunca subas archivos con información confidencial corporativa, contratos, documentos internos o datos personales sin antes anonimizarlos.
Si solo quieres consultar si un archivo ya fue analizado por otros sin subirlo, calcula su hash localmente (con PowerShell, certutil -hashfile archivo.exe SHA256 en Windows, o sha256sum en Linux/macOS) y pégalo en la pestaña Search. Si la muestra ya existe en la base de datos, verás el reporte completo sin haber expuesto el binario.
Analizar una URL o dominio
La pestaña URL acepta enlaces completos y ejecuta dos tipos de revisión: contraste contra listas de bloqueo de dominios maliciosos mantenidas por servicios como Google Safe Browsing, Sophos, Forcepoint o Phishtank, y un análisis del contenido del propio sitio (HTML, scripts, redirecciones, certificado SSL). Es útil antes de hacer clic en un enlace que llegó por correo o por mensaje, o cuando un usuario reporta un sitio sospechoso y necesitas un veredicto rápido para escalar o descartar el caso.
Para análisis de dominio o IP (sin la ruta completa de la URL), usa la pestaña Search y pega el dominio o la dirección IP directamente. VirusTotal mostrará el historial de detecciones, los certificados asociados, los subdominios conocidos y los archivos que se han visto comunicándose con esa infraestructura, lo que ayuda mucho a investigar campañas de phishing o servidores de comando y control.
Buscar por hash o IP
La pestaña Search es la más usada por analistas SOC porque permite consultar cualquier indicador (hash, URL, dominio, IP) sin necesidad de subir nada. Si un IOC (Indicator of Compromise, indicador de compromiso) aparece en una alerta de tu SIEM (gestor de eventos e información de seguridad) o en un reporte de threat intel, lo pegas y obtienes contexto inmediato sobre la familia de malware asociada, las primeras y últimas detecciones, y la trayectoria del indicador en el tiempo.
¿Cómo interpretar los resultados de VirusTotal?
Una vez termina el análisis, la pantalla de resultados se organiza en pestañas que conviene revisar en orden, porque cada una aporta una capa distinta de evidencia. Quedarse solo con el veredicto numérico inicial es uno de los errores más comunes y la razón por la que mucha gente saca conclusiones equivocadas, así que vale la pena entender qué muestra cada sección.
Detection: el detection ratio
Lo primero que ves es algo como 3/72, 45/72 o 0/72. Esa cifra significa que de 72 motores antivirus consultados, 3 (o 45, o ninguno) marcaron el archivo como malicioso. Sería tentador asumir que un 0/72 es seguro y un 45/72 es maligno, pero la realidad tiene matices: un archivo legítimo recién compilado puede dar 0/72 porque ningún motor lo conoce todavía, mientras que un instalador legítimo poco común puede dar 3/72 por falsos positivos heurísticos que confunden empaquetadores comerciales con técnicas de evasión.
La regla práctica que usan los analistas: si más de 5 a 10 motores reconocidos (Kaspersky, Microsoft, ESET, BitDefender, Sophos, Symantec) coinciden en una familia de malware específica, la detección es muy probablemente real. Si solo 2 o 3 motores menores marcan con etiquetas genéricas tipo "Heur.Generic" o "ML.Suspicious", hay que profundizar antes de decidir.
Details, Behavior, Relations y Community
La pestaña Details muestra metadatos del archivo: hashes, tamaño, tipo, firmas digitales si las tiene, fecha de compilación. La pestaña Behavior revela qué hace el archivo cuando se ejecuta en la sandbox: procesos hijos, archivos creados, claves de registro modificadas, llamadas de red, comandos shell ejecutados.
Aquí es donde realmente se distingue malware sofisticado de software legítimo, porque un archivo que escribe en directorios del sistema, deshabilita Windows Defender y abre conexiones a IPs en países sin presencia comercial es muy diferente a un instalador normal.
Relations conecta el archivo con otros indicadores: archivos similares, URLs que descargan esta muestra, IPs con las que se comunica. Community muestra comentarios, votos y reglas YARA (reglas para identificación de malware) que otros analistas escribieron contra esta muestra, lo que aporta contexto humano que ningún motor automatizado puede dar.
¿Es VirusTotal confiable y seguro de usar?
VirusTotal es confiable en el sentido de que pertenece a Google, ha operado de forma continua desde 2004 y es usado a diario por equipos de seguridad de empresas Fortune 500, agencias gubernamentales y firmas de investigación de amenazas en todo el mundo. Sus resultados son veraces, sus motores antivirus son los mismos que usan los productos comerciales, y la información que entrega es genuina.
Dicho eso, hay tres advertencias importantes que vale la pena dejar claras antes de incorporarlo a un flujo de trabajo profesional. La primera, ya mencionada, es que todo archivo que subes a la versión gratuita se vuelve accesible para clientes de VirusTotal Enterprise y la comunidad de investigación.
Esto significa que subir un documento interno con cláusulas comerciales, un instalador propietario de la empresa o un correo con información de clientes equivale a publicarlo en una base de datos compartida con terceros, lo que puede violar políticas internas de manejo de información y regulaciones como la LFPDPPP en México o el GDPR en Europa.
La segunda es que VirusTotal no es un antivirus en tiempo real ni un reemplazo de protección endpoint. Es una herramienta de consulta puntual, no de protección continua. No corre en tu computadora, no escanea en tiempo real, no bloquea ejecuciones, no aísla amenazas.
Para protección continua necesitas una solución EDR (detección y respuesta en endpoints) o un antivirus moderno integrado a tu SIEM.
La tercera advertencia tiene que ver con los falsos positivos y falsos negativos. Un archivo nuevo, incluso si es malicioso, puede aparecer como limpio durante horas o días hasta que los motores actualicen sus firmas.
Y viceversa, un instalador legítimo poco firmado puede generar detecciones espurias. Por eso el resultado de VirusTotal debe tomarse como una evidencia más, no como un veredicto absoluto, y siempre en conjunto con otros indicadores (origen del archivo, firma digital, comportamiento observado, contexto del incidente).
Análisis de aplicaciones Android (APK) con VirusTotal
Uno de los casos de uso más populares de VirusTotal entre usuarios finales (y administradores de flotas móviles) es la verificación de archivos APK antes de instalarlos. Los APK son los paquetes de instalación de Android, equivalentes a los .exe o .msi en Windows, y permiten instalar aplicaciones por fuera de Google Play.
Esa flexibilidad es útil para apps regionales, versiones específicas o aplicaciones que la tienda oficial no incluye, pero también es una de las vías más comunes de distribución de malware en Android, dado que los APK descargados desde sitios no verificados pueden contener spyware, troyanos bancarios o adware agresivo.
Para revisar un APK con VirusTotal, descarga el archivo desde el sitio donde lo obtuviste, súbelo a través de la pestaña File en virustotal.com y espera el reporte. Los motores antivirus móviles especializados (como los de Kaspersky Mobile, Sophos, ESET Mobile Security o Avast Mobile) emitirán veredictos específicos para Android, y la pestaña Behavior mostrará permisos solicitados, llamadas a APIs sensibles y comportamientos típicos de spyware como acceso a SMS, contactos o ubicación sin justificación funcional.
Si el reporte muestra detecciones consistentes en motores móviles confiables o comportamientos claros de exfiltración de datos, no instales el APK. Si está limpio pero el origen del archivo es dudoso, sigue siendo recomendable preferir la versión oficial en Google Play, ya que el control de versiones, las actualizaciones automáticas y los certificados del desarrollador son garantías adicionales que un APK suelto no ofrece.
Para profundizar en estos vectores, te recomendamos la guía sobre riesgos de malware en aplicaciones móviles y la nota sobre troyanos de acceso remoto, dos de los tipos de amenazas más frecuentes en este ecosistema.
VirusTotal API e Intelligence: Capacidades para equipos de seguridad
Más allá de la interfaz web pública, VirusTotal expone una API (interfaz de programación de aplicaciones) que permite a los equipos de seguridad integrar las consultas dentro de sus herramientas internas: SIEM, SOAR, scripts de triaje, ticketing, EDR. Esto convierte el servicio en un componente automático dentro del flujo de respuesta a incidentes, no una pestaña más que abrir manualmente.
API pública
La API pública es gratuita y permite hasta 4 solicitudes por minuto y 500 por día. Cubre lo básico: consultar hashes, URLs, dominios e IPs, descargar reportes en formato JSON, enviar archivos para análisis. Es suficiente para tareas eventuales, prototipos, integraciones ligeras o monitoreo de bajo volumen, pero se queda corta cuando un SOC necesita consultar miles de IOCs diarios o automatizar enriquecimiento de alertas.
VirusTotal Enterprise (Intelligence)
VirusTotal Enterprise es el tier de pago, antes conocido como VirusTotal Intelligence. Quita los límites de la API, agrega búsquedas retrospectivas en toda la base de datos histórica (no solo consulta puntual, sino "qué archivos similares aparecieron en los últimos 30 días con esta característica"), permite cargar reglas YARA personalizadas para que VirusTotal te notifique cuando aparezca una muestra que coincide con ellas (esto es lo que se llama Retro Hunt y Live Hunt), y agrega herramientas de gráfico de relaciones (VT Graph) para mapear campañas y actores. Es la diferencia entre usar VirusTotal como buscador y usarlo como plataforma de threat intel.
Para equipos SOC de empresas medianas y grandes, la integración suele hacerse a través del SIEM o del SOAR, con consultas automatizadas que enriquecen cada alerta con el contexto de VirusTotal antes de que llegue al analista, lo que reduce dramáticamente el tiempo de triaje.
VirusTotal vs alternativas: ANY.RUN, Hybrid Analysis, Joe Sandbox, MetaDefender
VirusTotal es la opción más conocida, pero no es la única, y dependiendo del tipo de análisis hay alternativas que aportan capacidades complementarias o incluso superiores en aspectos específicos. La siguiente tabla resume las principales plataformas de análisis de malware disponibles para equipos de seguridad.
| Plataforma | Fortaleza principal | Tier gratuito | Mejor caso de uso |
|---|---|---|---|
| VirusTotal | Cobertura masiva multi-motor antivirus (70+) y base de datos histórica | Sí, con límites | Triaje rápido, consulta de IOCs, threat intel general |
| ANY.RUN | Sandbox interactiva en vivo (puedes interactuar con el malware en tiempo real) | Sí (con visibilidad pública) | Análisis dinámico interactivo, malware con anti-sandbox |
| Hybrid Analysis | Reporte de comportamiento muy detallado (powered by Falcon Sandbox de CrowdStrike) | Sí | Análisis estático y dinámico profundo |
| Joe Sandbox | Sandbox de grado forense con soporte para Windows, macOS, Linux, Android, iOS | Versión Cloud Basic limitada | Análisis multi-plataforma, casos forenses, malware avanzado |
| MetaDefender Cloud | Múltiples motores antivirus + sanitización de archivos (CDR) | Sí, con límites | Inspección de archivos en perímetro, reconstrucción segura |
En la práctica, un SOC no usa una sola plataforma sino una combinación: VirusTotal para consulta rápida y verificación cruzada de IOCs, ANY.RUN o Joe Sandbox para detonaciones controladas cuando se sospecha de malware evasivo, y Hybrid Analysis para reportes de comportamiento profundos. La elección depende del tipo de amenaza, del presupuesto y de la sensibilidad del material analizado.
VirusTotal en una estrategia SOC: Integración con Wazuh y monitoreo continuo
Para una empresa que opera con un SOC interno o tercerizado, VirusTotal raramente se usa como herramienta manual. Lo habitual es integrarlo dentro de la plataforma de monitoreo para que cada archivo nuevo detectado en endpoints, cada hash registrado en logs de proxy y cada IOC reportado en alertas se enriquezca automáticamente con el contexto de VirusTotal sin que un analista tenga que abrir el navegador.
Una de las integraciones más extendidas en SOCs basados en open source es con Wazuh, la plataforma de monitoreo y detección que combina HIDS, gestión de logs y SIEM. La integración nativa de Wazuh con VirusTotal permite que cuando el sistema FIM (File Integrity Monitoring) detecta un archivo nuevo o modificado en un endpoint monitoreado, su hash se envíe automáticamente a la API de VirusTotal, y si el resultado supera un umbral de detecciones definido, Wazuh genera una alerta de alta prioridad para el analista de turno.
Si te interesa profundizar en cómo configurar este flujo, puedes revisar la guía sobre análisis de malware con Wazuh y el procedimiento detallado para integrar VirusTotal con Wazuh, que cubre las llamadas API, los thresholds recomendados y el manejo de los límites del tier gratuito.
Más allá de Wazuh, VirusTotal se integra con la mayoría de SIEMs comerciales (Splunk, IBM QRadar, Microsoft Sentinel) y con plataformas SOAR como Cortex XSOAR o Tines, donde cada paso del playbook de respuesta a incidentes puede consultar VirusTotal automáticamente y tomar decisiones según el resultado.
¿Cuándo conviene un SOC gestionado en lugar de armarlo internamente?
Construir y mantener un SOC propio implica licencias de SIEM, infraestructura de logs, motores de correlación, integraciones con feeds de threat intel como VirusTotal Enterprise, y sobre todo el costo más caro de todos: analistas de seguridad disponibles 24/7.
Para muchas empresas medianas, esa ecuación no cierra, y lo que tiene más sentido es contratar un SOC como servicio que ya tenga construida esa capa, con analistas certificados monitoreando en turnos, integraciones con VirusTotal y plataformas equivalentes incluidas, y respuesta a incidentes activa.
En TecnetOne operamos TecnetSOC, un SOC gestionado para empresas que integra monitoreo continuo, detección con herramientas como Wazuh, enriquecimiento automático con feeds de threat intel y respuesta activa a incidentes. Si quieres evaluar cómo encaja en tu organización, agenda una conversación con nuestro equipo y revisamos juntos tu superficie de exposición actual.
Preguntas frecuentes sobre VirusTotal
¿Qué es VirusTotal y para qué sirve?
VirusTotal es un servicio en línea gratuito propiedad de Google que permite analizar archivos, URLs, dominios, direcciones IP y hashes contra más de 70 motores antivirus y servicios de reputación de manera simultánea. Es usado por analistas de seguridad para obtener una segunda opinión rápida sobre indicadores sospechosos, consultar inteligencia compartida por la comunidad y enriquecer alertas de SIEM o EDR con contexto de amenazas.
¿VirusTotal es gratis?
Sí, la versión pública de VirusTotal es completamente gratuita y permite subir archivos, analizar URLs, consultar hashes y revisar resultados sin costo. La API pública también es gratuita con límites de 4 solicitudes por minuto y 500 por día. Para uso empresarial sin límites, búsquedas retrospectivas, reglas YARA personalizadas y herramientas avanzadas existe VirusTotal Enterprise, que es de pago.
¿Es seguro subir archivos a VirusTotal?
Subir archivos a la versión gratuita de VirusTotal es técnicamente seguro, pero todo lo que subes se vuelve accesible para clientes de VirusTotal Enterprise y la comunidad de investigación de seguridad. Por eso no debes subir documentos internos, contratos, instaladores propietarios ni archivos con datos personales, ya que equivale a publicarlos en una base de datos compartida. Para archivos sensibles, calcula el hash localmente y consúltalo en la pestaña Search sin subir el archivo original.
¿Qué significa un detection ratio como 3/72 en VirusTotal?
Significa que de 72 motores antivirus consultados, 3 marcaron el archivo como malicioso. No es un veredicto absoluto: un archivo legítimo recién compilado puede dar 0/72 porque ningún motor lo conoce todavía, y un instalador legítimo puede dar 3/72 por falsos positivos heurísticos. La regla práctica es desconfiar cuando más de 5 a 10 motores reconocidos (Kaspersky, Microsoft, ESET, BitDefender, Sophos, Symantec) coinciden en una familia de malware específica.
¿Cuál es el límite de uso de la API gratuita de VirusTotal?
La API pública gratuita de VirusTotal permite hasta 4 solicitudes por minuto y 500 solicitudes por día. Cubre operaciones básicas como consultar hashes, URLs, dominios e IPs, descargar reportes en formato JSON y enviar archivos para análisis. Para volúmenes mayores, integraciones SOC con miles de consultas diarias o automatización de enriquecimiento de alertas, se requiere VirusTotal Enterprise.
¿Cuál es la mejor alternativa a VirusTotal?
Depende del tipo de análisis. Para sandbox interactiva en vivo, ANY.RUN es la mejor opción. Para reportes de comportamiento muy detallados, Hybrid Analysis (con Falcon Sandbox de CrowdStrike) destaca. Para casos forenses multi-plataforma (Windows, macOS, Linux, Android, iOS), Joe Sandbox es el estándar. Para inspección de archivos en perímetro con sanitización CDR, MetaDefender Cloud. Los SOC maduros suelen combinar VirusTotal con una o varias de estas plataformas según el caso.