OneDrive y Google Drive: Cómo revertir la eliminación masiva o el cifrado por ransomware en 2026
La eliminación masiva de archivos o el cifrado mediante ransomware en el almacenamiento en la nube ya no es un escenario poco frecuente. En 2026, tanto Microsoft OneDrive como Google Drive incorporan herramientas de recuperación que permiten restaurar archivos, devolver cuentas completas a un estado anterior y mitigar el impacto del cifrado malicioso sin pagar a los atacantes. La clave está en comprender cómo funcionan realmente el historial de versiones, las papeleras y los puntos de restauración a nivel de cuenta. Esta guía explica, paso a paso, cómo recuperar los datos de forma segura y qué limitaciones deben tenerse en cuenta antes de iniciar una reversión.
Cómo gestionan la eliminación y el ransomware los servicios en la nube
Cuando se eliminan archivos en OneDrive o Google Drive, no se borran de inmediato del sistema. Ambos servicios los trasladan a una papelera (Papelera de OneDrive, Papelera de Google Drive), donde permanecen durante un periodo de retención limitado. En 2026, el plazo estándar es de hasta 30 días para cuentas personales, mientras que en entornos empresariales puede ampliarse según las políticas administrativas.
Los ataques de ransomware suelen cifrar primero los archivos locales. Debido a que los clientes de sincronización funcionan automáticamente, las copias cifradas se suben a la nube y sobrescriben las versiones originales. Sin embargo, las versiones anteriores no se destruyen al instante. Ambas soluciones mantienen un historial de versiones que permite restaurar copias previas no cifradas.
El factor más crítico es el tiempo. Si se superan los límites de almacenamiento o expiran las políticas de retención, las versiones antiguas pueden eliminarse de forma permanente. Actuar con rapidez tras detectar cambios inusuales en los archivos aumenta considerablemente las posibilidades de recuperación.
Comprender el historial de versiones y los puntos de restauración
El historial de versiones funciona a nivel de archivo. Cada vez que un documento se modifica y se sincroniza, el servicio guarda una copia anterior. En OneDrive para suscriptores de Microsoft 365, esta función está activada por defecto y puede conservar cientos de versiones, según la configuración administrativa. Google Drive también mantiene historial de versiones para Docs, Sheets, Slides y la mayoría de los archivos subidos.
Los puntos de restauración operan a nivel de cuenta. OneDrive incluye la opción “Restaurar tu OneDrive”, que permite volver todo el espacio de almacenamiento a una fecha anterior dentro de los últimos 30 días. En Google Workspace, los administradores pueden restaurar los datos de Drive de un usuario específico dentro de la ventana de recuperación permitida desde la consola de administración.
En situaciones de ransomware, la restauración a nivel de cuenta suele ser más rápida que recuperar archivos manualmente, especialmente si cientos o miles de elementos resultaron afectados en poco tiempo.
Cómo restaurar archivos en OneDrive tras eliminación masiva o cifrado
Si los archivos fueron eliminados, primero accede a OneDrive desde el navegador y abre la Papelera. Revisa cuidadosamente la lista y selecciona los elementos que deseas restaurar. Los archivos recuperados regresan a sus carpetas originales conservando sus metadatos.
En caso de cifrado por ransomware, localiza el archivo afectado, haz clic con el botón derecho y selecciona “Historial de versiones”. Revisa las marcas de tiempo y restaura una versión anterior al ataque. Este proceso puede repetirse para múltiples archivos, aunque puede resultar laborioso si el impacto fue amplio.
En incidentes a gran escala, utiliza la función “Restaurar tu OneDrive” disponible en la configuración de la cuenta. Selecciona una fecha previa al ataque. El sistema mostrará una línea de tiempo con actividades, incluidas eliminaciones masivas o modificaciones anómalas. Al confirmar la restauración, todo el espacio se revertirá a ese estado.
Recuperación administrativa en entornos Microsoft 365
En entornos empresariales, los administradores de Microsoft 365 disponen de controles adicionales a través del Centro de administración de SharePoint. Dado que OneDrive para empresas se basa en la infraestructura de SharePoint, es posible restaurar colecciones completas de sitios si fuera necesario.
Las políticas de retención y las retenciones legales, si se configuran con antelación, ofrecen una capa adicional de protección. Incluso si un usuario elimina archivos de forma permanente, el contenido retenido puede seguir siendo recuperable mediante herramientas de cumplimiento.
En 2026, Microsoft Defender para Office 365 integra señales de detección de ransomware. Si se identifica un cifrado masivo sospechoso, se generan alertas que permiten a los administradores actuar antes de que expiren los plazos de retención.
Cómo restaurar archivos en Google Drive tras eliminación o ransomware
En Google Drive, comienza revisando la sección Papelera. Los archivos eliminados permanecen allí hasta 30 días en cuentas estándar. Los administradores de Workspace pueden disponer de capacidades ampliadas según la configuración organizativa.
Para archivos cifrados, abre el elemento afectado, selecciona “Archivo” y luego “Historial de versiones”. Los archivos en formato Google ofrecen cronologías detalladas con ediciones identificadas. Para documentos subidos como PDF o archivos de Office, también es posible restaurar versiones anteriores si el control de versiones estaba activo.
Si se vieron afectados numerosos archivos, los administradores de Google Workspace pueden restaurar los datos de Drive de un usuario desde la consola de administración. Esta acción recupera la información desde una fecha específica dentro de la ventana permitida y suele ser la solución más eficiente en incidentes corporativos.
Limitaciones, plazos y buenas prácticas
La recuperación no es ilimitada. Las cuentas personales estándar de Google suelen permitir restauraciones dentro de un plazo aproximado de 25 a 30 días. Pasado ese periodo, los archivos eliminados pueden no ser recuperables. En entornos Workspace, las reglas de retención de Vault pueden ampliar este plazo, siempre que estuvieran configuradas antes del incidente.
El historial de versiones no protege frente a todas las amenazas. Si el ransomware sigue activo y continúa sincronizando archivos cifrados tras la restauración, es imprescindible limpiar primero los dispositivos locales. Desconecta el equipo afectado de internet y elimina el software malicioso antes de restaurar los datos en la nube.
Como medida preventiva, activa la autenticación multifactor, revisa periódicamente el acceso de aplicaciones de terceros y considera mantener una copia de seguridad adicional fuera de línea. El control de versiones en la nube es una herramienta potente, pero una estrategia de seguridad por capas ofrece mayor resiliencia frente a la pérdida de datos en 2026.
