¿VirusTotal es gratuito?

El uso básico (subir archivos, buscar hashes, analizar URLs) es gratuito con límites de rate. VirusTotal Intelligence (búsqueda avanzada, YARA hunting, grafos de relaciones) y la API Premium requieren suscripción de pago.

¿Es seguro subir archivos a VirusTotal?

Técnicamente sí, pero cualquier archivo subido es accesible para los suscriptores de VT Intelligence. Nunca subas archivos que contengan datos sensibles, propiedad intelectual o información de clientes. Para esos casos, usa el hash en lugar del archivo.

¿Cuántos motores antivirus usa VirusTotal?

VirusTotal analiza cada muestra con ~70 motores antivirus diferentes (el número varía). También ejecuta sandboxes propios y de terceros (Zenbox, Dr.Web vxCube, etc.) para análisis de comportamiento.

¿Qué son las consultas avanzadas de VirusTotal?

VT Intelligence permite búsquedas complejas combinando metadatos: 'type:peexe positives:5+ first_submission:2026-05-01+' encuentra PEs con 5+ detecciones subidos desde mayo 2026. Permite hunting proactivo de malware.

¿Puedo usar VirusTotal para threat hunting?

Sí. Con VT Intelligence puedes crear reglas YARA que se ejecutan contra cada muestra subida (Livehunt), buscar por contenido, metadatos, comportamiento y relaciones. Es una de las herramientas más potentes para hunting proactivo.

IntermedioVirusTotalanálisishashesURLsthreat-inteldetección

Guía Práctica de VirusTotal: Análisis de Archivos, URLs y Hashes

Guía completa de VirusTotal para analizar archivos, URLs y hashes. Consultas avanzadas, API, secciones del reporte, VT Intelligence y flujo de investigación.

MalwareIntel Research·22 de mayo de 2026·5 min lectura

Serie: Guías de Herramientas — Parte 7

Por qué usar VirusTotal

VirusTotal es la plataforma de referencia para análisis de reputación de ficheros, URLs, dominios e IPs. Consulta ~70 motores antivirus simultáneamente, ejecuta sandboxes y proporciona contexto de threat intelligence. Cualquier analista SOC la usa diariamente.

No es un sandbox (no ejecutas malware interactivamente), es un agregador de inteligencia que combina detecciones de múltiples vendors con análisis de comportamiento y relaciones.

Qué puedes analizar

Tipo	Qué analiza	Cómo
Archivos	Hasta 650 MB	Sube el fichero o envía el hash
URLs	Cualquier URL	Pega la URL en la barra
Dominios	Reputación y resoluciones	Busca el dominio
IPs	Geolocalización, ASN, reputación	Busca la IP
Hashes	MD5, SHA1, SHA256	Busca sin subir el fichero

Flujo de análisis

1. Sube o consulta

Opciones:
  a) Subir archivo: arrastra o selecciona (maximo 650 MB)
  b) Buscar hash: pega MD5/SHA1/SHA256 en la barra
  c) Analizar URL: pega la URL
  d) Via API:
     curl --request POST \
       --url https://www.virustotal.com/api/v3/files \
       --header 'x-apikey: YOUR_API_KEY' \
       --form [email protected]

2. Revisa el reporte

El reporte de VirusTotal tiene pestañas con información progresivamente más profunda.

3. Analiza en profundidad

Revisa detecciones, comportamiento, relaciones y comunidad. Toma decisiones basadas en el conjunto, no en un solo motor.

4. Toma acción

Exporta IOCs, crea reglas de detección, bloquea en EDR/SIEM, comparte con el equipo.

Secciones del reporte

DETECTION

La vista principal: tabla de ~70 motores AV con su veredicto:

Motor           Resultado         Estado
CrowdStrike     Win/Trojan.Gen    Detectado
Microsoft       Trojan:Win32/Emotet  Detectado
Kaspersky       HEUR:Trojan.Win32.Generic  Detectado
Sophos          Mal/Emotet-A     Detectado
Avira           No detectado      Limpio
...
Total: 47/71 motores detectan

Regla práctica para interpretar:

Detecciones	Interpretación
0	Limpio o muy nuevo (no detectado aún)
1-3	Posible falso positivo. Investigar más
4-15	Sospechoso. Analizar comportamiento
16+	Muy probablemente malicioso
40+	Malware conocido, bien detectado

DETAILS

Metadatos del fichero:

Hashes (MD5, SHA1, SHA256, Vhash, ssdeep, TLSH)
Tipo (PE, Office, PDF, etc.), tamaño, magic bytes
PE info: imports, exports, secciones, compiler stamp
Firmas digitales (Authenticode, verificación de cadena)
Timestamps de primera y última vez visto en VT
Nombres con los que se ha subido

RELATIONS

Grafo de relaciones del fichero con otros artefactos:

Relaciones disponibles:
  contacted_domains: dominios que contacta
  contacted_ips: IPs a las que conecta
  contacted_urls: URLs que visita
  dropped_files: ficheros que crea
  execution_parents: procesos que lo ejecutan
  bundled_files: ficheros contenidos (ZIP, instalador)
  similar_files: ficheros con comportamiento similar
  embedded_urls: URLs encontradas en strings

BEHAVIOR

Resultados de sandboxes (varios providers):

Procesos creados con líneas de comandos
Ficheros creados/modificados/eliminados
Claves de registro modificadas
Conexiones de red
Técnicas MITRE ATT&CK detectadas
DNS lookups

COMMUNITY

Comentarios de la comunidad de analistas. A menudo contienen:

Identificación de la familia de malware
Reglas YARA que detectan la muestra
Contexto de campañas activas
Enlaces a análisis más detallados en blogs

Consultas avanzadas (VT Intelligence)

Busquedas utiles:

# PEs maliciosos recientes con pocas detecciones (nuevos)
type:peexe positives:3+ first_submission:2026-05-01+ positives:10-

# Documentos Office con macros sospechosas
type:docx tag:macros positives:5+

# Ficheros que contactan un dominio especifico
contacted_domain:evil-c2-server.com

# Ficheros firmados con un certificado especifico
signature:"Suspicious Company Ltd"

# Buscar por YARA
content:{6A 40 68 00 30 00 00 68}

# Buscar por comportamiento
behaviour_processes:"powershell.exe -enc"

# Ficheros similares a un hash conocido
similar_to:SHA256_HASH

Ejemplos de consultas por URL

Formatos de URL para acceso directo:

# Buscar hash
https://www.virustotal.com/gui/file/SHA256_HASH

# Buscar dominio
https://www.virustotal.com/gui/domain/example.com

# Buscar IP
https://www.virustotal.com/gui/ip-address/1.2.3.4

# Buscar URL
https://www.virustotal.com/gui/url/URL_ID

API (plan gratuito)

# Buscar hash (no sube el fichero)
curl --request GET \
  --url https://www.virustotal.com/api/v3/files/SHA256 \
  --header 'x-apikey: YOUR_KEY'

# Subir fichero
curl --request POST \
  --url https://www.virustotal.com/api/v3/files \
  --header 'x-apikey: YOUR_KEY' \
  --form [email protected]

# Analizar URL
curl --request POST \
  --url https://www.virustotal.com/api/v3/urls \
  --header 'x-apikey: YOUR_KEY' \
  --form url=https://suspicious-site.com

Límites del plan gratuito: 4 lookups/minuto, 500/día, 15.5K/mes.

Exportar y compartir

Formatos de export:
  JSON: reporte completo via API
  CSV: detecciones en tabla
  STIX 2.1: para importar en MISP/OpenCTI
  PDF: reporte visual (VT Intelligence)
  Permalink: URL publica del analisis

Buenas prácticas

Busca por hash antes de subir. Si el fichero ya fue analizado, obtienes el resultado sin exponerlo. Los suscriptores de VT Intelligence pueden descargar ficheros subidos.
No subas ficheros con datos sensibles. Documentos internos, credenciales, propiedad intelectual. Usa solo el hash.
Verifica siempre el contexto. 2 detecciones de 70 motores puede ser falso positivo. 2 detecciones de Kaspersky y CrowdStrike es diferente a 2 detecciones de motores desconocidos.
Usa BEHAVIOR además de DETECTION. Un fichero con 0 detecciones puede tener comportamiento sospechoso en sandboxes.
Integra con tu SIEM/SOAR. Automatiza lookups de hashes de ficheros descargados, IPs de conexiones externas y URLs visitadas.

Fuentes y referencias

VirusTotal. "Documentation." https://docs.virustotal.com/
VirusTotal. "VT Intelligence." https://www.virustotal.com/gui/intelligence-overview
Google. "VirusTotal Blog." https://blog.virustotal.com/
MITRE ATT&CK. "Enterprise Matrix." https://attack.mitre.org/

Preguntas frecuentes

Libros recomendados

Practical Malware Analysis

Amazon (enlace afiliado)