Recibes un correo con un archivo adjunto llamado factura.pdf. Parece inofensivo, así que haces doble clic y un instante después tus archivos empiezan a cifrarse. El problema nunca fue la factura, sino el tipo de archivo escondido detrás de un nombre familiar. No todos los archivos son igual de peligrosos. Algunos son solo datos que un programa lee, mientras que otros son instrucciones que tu computadora ejecutará en cuanto los abras. Saber cuál es cuál, y cómo los atacantes difuminan la línea entre ambos, es una de las habilidades de seguridad más prácticas que puedes desarrollar. Esta guía recorre los tipos de archivo que suelen contener malware, los trucos para disfrazarlos y cómo revisar cualquier archivo antes de decidir confiar en él.
Qué hace peligroso a un tipo de archivo
Una extensión de archivo es solo una etiqueta al final del nombre, como .pdf o .exe. Tu sistema operativo usa esa etiqueta para decidir qué programa debe abrir el archivo. El peligro no es la etiqueta en sí, sino lo que el sistema hace con ella. Los archivos de datos, como imágenes, texto plano u hojas de cálculo, se entregan a un programa que lee su contenido. Los archivos ejecutables y de contenido activo son distintos: al abrirlos, el sistema operativo ejecuta el código que contienen con tus propios privilegios de usuario. Esa única distinción, si un archivo se lee o se ejecuta, es lo que separa un documento inofensivo de una posible infección.
Los atacantes explotan dos hechos. Primero, la mayoría de las personas juzga un archivo por su icono y por la parte visible de su nombre, no por lo que realmente es. Segundo, la verdadera naturaleza de un archivo vive en sus bytes, no en su extensión. Puedes renombrar un programa para que termine en .jpg y seguirá siendo un programa. El resto de esta guía sigue las categorías con más riesgo, aproximadamente en el orden en el que es probable que te las encuentres.
Ejecutables: código que corre en cuanto lo abres
Los ejecutables son la amenaza más directa porque son, por definición, programas. En Windows los sospechosos habituales son .exe, .com, .scr, .dll, .sys y formatos de instalador como .msi. En Linux son binarios ELF, a menudo sin extensión o con una genérica como .bin. Un ejemplo especialmente astuto es el protector de pantalla .scr: no es más que un ejecutable de Windows normal con otra extensión, por lo que los adjuntos de protector de pantalla han sido un favorito del malware durante años.
La parte tranquilizadora es que los ejecutables son fáciles de identificar por su contenido, sin importar cómo se llame el archivo. Los programas de Windows comienzan con los dos bytes MZ (una cabecera Portable Executable) y los binarios de Linux comienzan con la firma ELF. Nuestro Analizador de Seguridad de Archivos lee los primeros bytes de un archivo, sus llamados magic bytes, y marca los ejecutables PE de Windows y ELF de Linux incluso cuando alguien renombró el archivo para que parezca una foto o un documento. Si un archivo que dice ser una imagen resulta empezar con una cabecera de ejecutable, esa incongruencia es una señal de alarma clara.
Archivos de script: texto plano que se comporta como programa
Los scripts difuminan la línea entre datos y código. Los archivos que terminan en .bat, .cmd, .ps1 (PowerShell), .vbs (VBScript), .js (Windows Script Host), .wsf y .hta son texto legible, pero cuando haces doble clic el sistema operativo se los entrega a un intérprete que ejecuta sus comandos. Un script corto puede descargar en silencio una segunda carga, desactivar defensas o copiar tus datos, todo sin necesidad de un binario evidente.
JavaScript merece una nota especial porque confunde a la gente. En un navegador web, JavaScript corre dentro de un entorno aislado estricto y no puede tocar tus archivos. Un archivo .js guardado en el disco y abierto con doble clic en Windows es algo completamente distinto: se ejecuta a través de Windows Script Host con todos tus privilegios. El mismo código, un riesgo radicalmente diferente. Por eso las extensiones de script deben estar en tu lista de vigilancia, y por eso nuestro analizador las trata como de alto riesgo cuando aparecen como la parte final de un nombre disfrazado, el truco que veremos enseguida.
Documentos de Office y la trampa de las macros
Los archivos de Word, Excel y PowerPoint pueden contener macros, que son pequeños programas escritos en VBA (Visual Basic para Aplicaciones) incrustados dentro del documento. Las macros existen para automatizar tareas legítimas, pero también son un método clásico de distribución de malware. El patrón de ataque es conocido: llega un documento, se abre con una vista previa borrosa y muestra una banda amarilla que te pide Habilitar contenido o Habilitar edición. Haces clic y la macro se ejecuta.
Los formatos con macros habilitadas como .docm, .xlsm y .pptm anuncian su capacidad en la extensión, pero documentos de aspecto normal también pueden llevarlas. Por dentro, un archivo moderno de Office es en realidad un archivo ZIP de partes XML. Nuestro Analizador de Seguridad de Archivos abre ese contenedor y busca una entrada vbaProject.bin, la señal inequívoca de que hay macros VBA presentes, y marca cualquier documento que las contenga. Lo más seguro por defecto es mantener las macros desactivadas y activarlas solo para archivos en los que confías plenamente y que estabas esperando.
Los PDF pueden hacer más que mostrar texto
La mayoría trata los PDF como impresiones inofensivas, pero el formato es mucho más capaz que eso. Un PDF puede incrustar JavaScript, definir acciones que se disparan automáticamente al abrir el documento e incluso intentar lanzar programas externos. En el archivo en bruto esto aparece como marcadores como /JavaScript, /JS, /OpenAction, /AA (acciones adicionales) y /Launch. No todo PDF con un script es malicioso, pero código incrustado en un documento que no esperabas es una razón de peso para tener cuidado.
Nuestro analizador escanea la región inicial del PDF en busca de exactamente esos marcadores y marca los archivos que contienen JavaScript incrustado o acciones de lanzamiento automático, para que puedas detectar un documento activo antes de abrirlo en un lector. Lee el comienzo del archivo y no cada byte, así que trata un resultado limpio como tranquilizador y no como absoluto, sobre todo en PDF muy grandes. Como hábito, previsualizar los PDF en tu navegador, que los ejecuta en un entorno aislado reforzado, es más seguro que abrir archivos desconocidos en una aplicación de escritorio completa.
Archivos comprimidos: el envoltorio que esconde la carga
Los archivos comprimidos como .zip, .rar, .7z y .gz no son peligrosos por sí mismos, pero son el papel de regalo favorito para las cosas que sí lo son. Comprimir un ejecutable dentro de un archivo lo ayuda a colarse ante filtros que solo inspeccionan la capa superior, y proteger el comprimido con contraseña impide que muchos escáneres lean el contenido. Si un correo te pide abrir un adjunto y usar la contraseña que viene en el cuerpo del mensaje, trátalo como una señal de alarma y no como una cortesía.
Nuestro Analizador de Seguridad de Archivos identifica contenedores comprimidos comunes como ZIP, RAR y GZIP por sus magic bytes, así que puedes confirmar que un ZIP es de verdad un ZIP, pero sé honesto sobre sus límites: algunos formatos como 7z no se detectan, y no descomprime archivos anidados por ti. Después de extraer un comprimido, escanea los archivos de su interior uno por uno antes de ejecutar o abrir nada.
El truco de la doble extensión: factura.pdf.exe
Este es el disfraz que engaña incluso a personas cuidadosas. Windows oculta las extensiones conocidas por defecto, así que un archivo llamado factura.pdf.exe se muestra como factura.pdf, a menudo acompañado de un icono con aspecto de documento que el atacante eligió a propósito. Crees que estás abriendo un PDF. En realidad estás lanzando un programa, porque la extensión real, la última, es .exe.
Nuestro analizador marca una doble extensión sospechosa siempre que la parte final de un nombre sea un tipo de programa peligroso conocido, incluidos .exe, .bat, .cmd, .scr, .pif, .js, .vbs, .ps1 y .msi. La mejor defensa en tu propia máquina es desactivar la opción que oculta las extensiones conocidas, para que factura.pdf.exe siempre se vea como lo que realmente es.
Accesos directos, HTML e imágenes de disco
Unos cuantos tipos de archivo menos evidentes completan la lista. Un acceso directo de Windows, el archivo .lnk, puede apuntar a una línea de comandos que ejecuta un script o descarga malware, todo mientras muestra un icono inocente. Los archivos HTML y SVG pueden contener scripts y formularios de phishing convincentes que se ejecutan en cuanto los abres en un navegador. Las imágenes de disco como .iso, .img y .dmg se montan como una unidad virtual y se han usado para colar ejecutables evitando las advertencias de seguridad que normalmente se aplican a los archivos descargados.
Estos formatos no comparten una firma de documento estándar, así que cuando pasas uno por nuestro analizador este informará un tipo de archivo no reconocido o desconocido. Eso no es un fallo; un resultado desconocido es en sí mismo una razón para ir más despacio y preguntarte por qué un desconocido te envió un archivo que tus herramientas no pueden identificar con confianza.
Cómo revisar un archivo antes de abrirlo
No necesitas ser un analista de malware para protegerte. Una rutina corta y repetible cubre la gran mayoría de los archivos riesgosos. Activa la opción para mostrar siempre las extensiones de archivo, para que nada pueda ocultarte su tipo real. Nunca confíes solo en el icono; los iconos son triviales de falsificar. Sé especialmente escéptico con los adjuntos inesperados, incluso cuando parezcan venir de alguien que conoces, ya que una cuenta comprometida enviará correos reales a contactos reales.
Cuando un archivo importa, verifica qué es en realidad en lugar de lo que dice ser. Compara la extensión con el tipo real del archivo, revisa si hay dobles extensiones y mantén las macros de Office desactivadas por defecto. Para cualquier cosa de la que no estés seguro, obtén su hash SHA-256 y búscalo en un servicio de reputación como VirusTotal antes de ejecutarlo. La seguridad es por capas, y la higiene de archivos es solo una de ellas. Credenciales fuertes y únicas limitan el daño si algo se cuela, algo que nuestra Guía para Generar Contraseñas Seguras cubre en detalle. Para una visión más amplia de cómo proteger tus cuentas y datos, lee nuestra Guía de Privacidad en Línea 2026.
Prueba nuestro Analizador de Seguridad de Archivos gratuito
¿Quieres una forma rápida y privada de inspeccionar un archivo sospechoso? Nuestro Analizador de Seguridad de Archivos gratuito lee los magic bytes de un archivo para detectar su tipo real, te avisa cuando la extensión no coincide, detecta dobles extensiones, identifica ejecutables de Windows y Linux, revisa documentos de Office modernos (basados en ZIP) en busca de macros VBA, escanea los PDF en busca de JavaScript incrustado y acciones de lanzamiento automático, y calcula el hash SHA-256 para que puedas buscarlo en VirusTotal. Todo se ejecuta directamente en tu navegador, así que el archivo en sí nunca sale de tu dispositivo. Es la forma más rápida de responder la única pregunta que importa antes de hacer doble clic: este archivo, ¿es datos o es código?