Acabas de descargar un adjunto, o un amigo te envió algo por chat, y tu cursor está sobre el archivo. Antes de hacer doble clic, conviene hacer una pausa. Abrir un solo archivo es una de las formas más comunes de que el malware llegue a un ordenador, porque el archivo suele parecer inofensivo: una factura, una foto, un currículum, un aviso de envío. La buena noticia es que no necesitas ser analista de seguridad para detectar las señales de alarma. Unas pocas comprobaciones prácticas, la mayoría de segundos, te dirán si un archivo merece tu confianza o tu sospecha. Esta guía te muestra exactamente qué mirar y cómo un analizador que funciona en el navegador puede encargarse de las partes tediosas por ti.
Empieza por preguntar de dónde viene el archivo
El contexto es tu primera y más barata defensa. Pregúntate si esperabas este archivo. Una factura de una empresa a la que nunca compraste, un documento de un colega que nunca envía documentos, o una "actualización de entrega" de un paquete que no pediste son todas razones para ir más despacio. Los atacantes se apoyan en la urgencia y la familiaridad, así que un mensaje que te presiona para abrir algo ahora mismo merece más análisis, no menos.
Incluso un archivo de alguien en quien confías puede ser peligroso si su cuenta fue comprometida, así que el origen es una señal, no una garantía. Trata la procedencia como una entrada más entre varias. Las comprobaciones técnicas de abajo importan precisamente porque un nombre de remitente amistoso es fácil de falsificar y fácil de secuestrar.
La extensión del archivo es tu primera pista
La extensión es la parte del nombre después del último punto, y le dice a tu sistema operativo qué hacer cuando abres el archivo. Algunas extensiones solo muestran contenido, como .jpg, .png o un .txt simple. Otras le indican al sistema que ejecute instrucciones, y esas son las que convierten un clic descuidado en una infección. En Windows, extensiones como .exe, .bat, .cmd, .scr, .pif, .vbs, .js, .ps1 y .msi pueden ejecutar código directamente. Un archivo que termina en una de ellas no es automáticamente malicioso, pero puede actuar sobre tu máquina, así que merece precaución real.
El problema es que muchos sistemas ocultan las extensiones conocidas por defecto, así que un archivo mostrado como informe podría ser en realidad informe.exe. Activar la opción de mostrar siempre las extensiones de archivo es uno de los cambios protectores más simples que puedes hacer. Cuando puedes ver el final real, puedes juzgarlo.
El truco de la doble extensión
Uno de los disfraces más viejos y efectivos es la doble extensión. Un archivo llamado factura.pdf.exe se lee como un PDF a primera vista, sobre todo cuando la parte final se sale de la vista o la extensión verdadera está oculta. Tu ojo se detiene en .pdf y asume un documento, mientras que el sistema operativo lee la última extensión, .exe, y se prepara para ejecutar un programa.
Nuestro Analizador de Seguridad de Archivos busca específicamente este patrón. Marca un archivo cuando tiene más de un punto y termina en una extensión ejecutable peligrosa como .exe, .bat, .cmd, .scr, .pif, .js, .vbs, .ps1 o .msi. Si alguna vez ves un nombre que combina una parte con aspecto de documento y un final ejecutable, trátalo como hostil hasta que se demuestre lo contrario. Los remitentes legítimos casi nunca envían archivos así.
Cuando la extensión no coincide con el archivo real
Una extensión no es más que texto en el nombre del archivo, y cualquiera puede renombrar un archivo. La pregunta más fiable es: ¿de qué está hecho realmente este archivo? Cada formato común empieza con una firma corta y reconocible en sus primeros bytes, a veces llamada magic bytes. Un PDF real empieza con los caracteres que deletrean PDF, una imagen PNG empieza con un marcador PNG fijo, un archivo ZIP empieza con las letras PK, y un programa de Windows empieza con los bytes MZ. Estos marcadores no mienten como puede hacerlo una extensión renombrada.
El analizador lee esos bytes iniciales para identificar el tipo verdadero del archivo y luego lo compara con la extensión del nombre. Reconoce formatos comunes como PDF, ZIP, JPEG, PNG, GIF, WebP, archivos RAR y GZIP, documentos de Office antiguos, ejecutables de Windows y binarios ELF de Linux. Se centra en estos tipos habituales y no en todos los formatos posibles, y solo lee una firma corta, así que un tipo que parece coincidir con la extensión es tranquilizador y no un certificado de seguridad. Lee una discrepancia como una señal para mirar más de cerca y no como un veredicto final. Aun así, cuando el nombre dice .jpg pero los bytes describen un ejecutable de Windows, esa es una alerta a gritos que conviene atender. Una imagen que finge ser un programa es exactamente el tipo de truco para el que existe esta comprobación.
Documentos que pueden ejecutar código: las macros
Los documentos de Office parecen seguros porque abrimos docenas cada semana, pero un archivo de Word o Excel puede llevar pequeños programas llamados macros. Las macros se diseñaron para automatizar hojas de cálculo e informes, pero los atacantes las abusan para descargar y ejecutar malware en cuanto habilitas el contenido. Las macros viven en los formatos con macros habilitadas, que terminan en .docm, .xlsm o .pptm (los formatos normales .docx y .xlsx no pueden guardarlas), así que un .docm inesperado merece una mirada atenta.
Los archivos de Office modernos son en realidad archivos ZIP con las partes del documento empaquetadas dentro. El analizador examina esa estructura en busca de la firma de un proyecto de macros incrustado. Cuando la encuentra, te avisa de que el documento contiene macros. Eso no prueba que el archivo sea malicioso, pero sí significa que el documento puede ejecutar código, así que solo deberías habilitarlo si confías plenamente en el origen y esperabas un documento interactivo. Si un aviso te urge a "habilitar edición" o "habilitar contenido" para ver la información real, esa presión es en sí misma una señal de alarma.
PDF que llevan más que texto
La mayoría asume que un PDF es una página estática, pero el formato puede incrustar scripts y acciones que se disparan automáticamente al abrir el documento. El analizador revisa un PDF en busca de los marcadores de JavaScript incrustado y de acciones automáticas, incluidos comportamientos de lanzamiento y de ejecución al abrir, que un documento normal no tiene razón para contener.
Un PDF que solo muestra una factura o un informe no debería necesitar ejecutar scripts ni lanzar nada. Cuando esos elementos están presentes, no significa automáticamente que el archivo sea malicioso, ya que algunos formularios legítimos usan scripting, pero es motivo para tener cuidado, para mantener tu lector de PDF totalmente actualizado y para evitar abrir el archivo si no puedes responder por su procedencia.
Los ejecutables e instaladores merecen precaución extra
Cuando los bytes subyacentes revelan un ejecutable de Windows o un binario ELF de Linux, el archivo es un programa, así de simple. Los programas pueden hacer cualquier cosa que tu cuenta pueda hacer, por lo que el analizador trata un ejecutable detectado como el hallazgo más serio que puede reportar. Los paquetes instaladores merecen la misma precaución de tu parte, porque por diseño se ejecutan con intención elevada, pero ten en cuenta que algunos formatos de instalador no siempre se identifican como ejecutables mediante la firma, así que nunca te apoyes solo en una puntuación baja para un archivo que vas a instalar.
A veces sí quieres ejecutar un programa: descargaste deliberadamente una aplicación o una herramienta. En ese caso, consíguelo directamente del sitio oficial del proveedor y no de un mirror cualquiera o un enlace en un correo, y confirma al editor antes de ejecutarlo. Si no tenías intención de instalar nada y un archivo resulta ser un ejecutable, esa distancia entre lo que esperabas y la realidad es tu respuesta. No lo abras.
Verifica con un hash y una segunda opinión
Cada archivo tiene una huella prácticamente única que puedes calcular a partir de su contenido, llamada hash. Que dos archivos distintos compartan una es tan astronómicamente improbable que se considera imposible en la práctica. El analizador calcula el hash SHA-256 de tu archivo para que puedas hacer dos cosas útiles. Primero, si un editor publica un checksum oficial para una descarga, puedes comparar los dos valores para confirmar que el archivo llegó intacto y sin alterar. Segundo, la herramienta construye un enlace que te permite buscar ese hash en un servicio de reputación para ver si otros ya marcaron el mismo archivo como malicioso.
Este paso respeta tu privacidad por diseño. Cuando usas la búsqueda de reputación, solo viaja el hash, nunca el archivo en sí, así que obtienes una segunda opinión sin subir tu documento a ningún lado. Si quieres entender mejor cómo funcionan los distintos tipos de huellas y por qué no pueden revertirse, nuestra guía complementaria sobre funciones hash profundiza en el tema. Si una búsqueda de hash sale limpia es tranquilizador pero no es prueba de seguridad, ya que las amenazas totalmente nuevas aún no tienen historial, así que sigue sopesándolo frente a las demás señales.
Tu lista de verificación antes de hacer clic
Junta las piezas y tendrás una rutina rápida. ¿Esperabas el archivo? ¿Puedes ver su extensión verdadera, y es un tipo de documento en lugar de uno ejecutable? ¿El nombre esconde una segunda extensión peligrosa? ¿El tipo real del archivo coincide con lo que afirma el nombre? En los documentos, ¿lleva macros o scripts que no tiene razón para incluir? ¿Y una búsqueda de hash saca a la luz algo ya conocido como malo? Si la mayoría de las respuestas tranquilizan, probablemente estás bien. Si varias levantan una bandera, no lo abras, y bórralo si no lo habías solicitado.
Juzgar archivos es una pieza de un hábito más amplio de protegerte en línea. Para el panorama completo, incluido cómo blindar tus cuentas, tus datos y tu navegación diaria, lee nuestra Guía de Privacidad en Línea 2026. Los hábitos seguros, una dosis sana de escepticismo y una comprobación técnica rápida detienen juntos la gran mayoría de los ataques basados en archivos antes de que empiecen.
Prueba nuestro Analizador de Seguridad de Archivos gratuito
En lugar de hacer estas comprobaciones a mano, deja que la herramienta las haga por ti. Nuestro Analizador de Seguridad de Archivos gratuito inspecciona el tipo real de un archivo a partir de sus bytes, detecta discrepancias de extensión y dobles extensiones ocultas, marca macros en documentos de Office modernos y scripts en PDF, reconoce ejecutables y te da una puntuación de riesgo clara sobre 100. Todo se ejecuta localmente en tu navegador, así que tus archivos nunca salen de tu dispositivo. Arrastra un archivo y lee los hallazgos antes de hacer doble clic. Solo recuerda que es una heurística de primera pasada, no un veredicto: un resultado limpio o desconocido no es prueba de seguridad, así que cuando el origen no sea de confianza, combínalo con un antivirus completo y los hábitos de arriba.