Seguridad de Windows · Recuperación de unidades USB

Todas las carpetas se convirtieron en accesos directos en Windows: cómo solucionarlo

Guía práctica para Windows 10 y Windows 11 cuando las carpetas de una memoria USB, disco externo, tarjeta de memoria o disco local aparecen de repente como archivos de acceso directo.

🛡 Limpieza de malware de accesos directos 📁 Recuperación de carpetas ocultas 💽 USB, HDD, SSD, tarjeta SD ⏱ Lectura de ~12 min
Sección 01

Carpetas convertidas en accesos directos en Windows: qué significa normalmente

Si todas las carpetas de una unidad aparecen de repente como pequeños accesos directos con una flecha en el icono, la causa más común es malware de accesos directos. Este tipo de infección normalmente oculta tus carpetas reales, crea archivos falsos de acceso directo .lnk con los mismos nombres y ejecuta un script malicioso cuando abres uno de esos accesos directos.

⚠️
Importante No sigas abriendo las carpetas que son accesos directos. Las carpetas reales pueden seguir en la unidad, pero hacer clic en los accesos directos falsos puede volver a ejecutar la infección y propagarla a otras unidades extraíbles.
01

Deja de hacer clic en accesos directos

Cierra las ventanas del Explorador de archivos que apunten a la unidad infectada y evita hacer doble clic en archivos .lnk.

02

Muestra las carpetas ocultas

Usa la configuración del Explorador de archivos o el comando attrib para comprobar si tus datos reales están ocultos.

03

Analiza y limpia

Ejecuta Microsoft Defender u otro analizador confiable tanto en Windows como en la unidad afectada.

04

Haz una copia segura

Copia solo documentos, fotos y otros archivos reales recuperados; no copies scripts ni accesos directos sospechosos.

Sección 02

Cómo reconocer un virus de accesos directos en una unidad USB o disco

El problema suele aparecer después de usar una unidad USB en otro ordenador, copiar archivos desde una fuente desconocida o conectar una tarjeta de memoria a un PC infectado. La unidad puede parecer casi normal, pero las carpetas visibles en realidad son archivos de acceso directo.

📁 Las carpetas tienen flechas de acceso directo

Los iconos de carpeta muestran la pequeña flecha de acceso directo y sus propiedades las identifican como archivos de Acceso directo, no como carpetas reales.

📄 Todos los elementos ocupan muy poco

Los accesos directos falsos pueden ocupar solo unos kilobytes, mientras la unidad sigue mostrando espacio usado en el Explorador de archivos.

🧩 Aparecen scripts desconocidos

Puede que veas archivos como autorun.inf, desktop.ini, .vbs, .cmd o .js en la raíz de la unidad.

🔁 El problema vuelve

Si la misma unidad se infecta otra vez después de limpiarla, es posible que el ordenador con Windows aún tenga una entrada de inicio activa.

Lo que ves Qué puede significar Qué hacer
Las carpetas cambiaron a accesos directos Probablemente las carpetas reales están ocultas y se crearon archivos falsos .lnk. No abras los accesos directos; primero muestra las carpetas ocultas.
La unidad sigue teniendo espacio usado Tus archivos pueden seguir presentes, pero marcados como ocultos o de sistema. Usa el comando de recuperación attrib.
Archivos de script sospechosos El acceso directo puede lanzar un script antes de abrir la carpeta real. Analiza la unidad y elimina solo los restos claramente maliciosos después del análisis.
Las nuevas unidades USB también se infectan Windows aún puede tener malware en el inicio, tareas programadas o carpetas del perfil de usuario. Analiza todo el PC y revisa las ubicaciones de inicio.
Sección 03

Primeras acciones antes de reparar carpetas convertidas en accesos directos en Windows

Trata la unidad afectada como potencialmente infectada hasta terminar el análisis. El objetivo es evitar que el malware se ejecute otra vez y, al mismo tiempo, conservar los archivos originales.

  1. No hagas doble clic en ningún acceso directo que haya aparecido inesperadamente en la unidad.
  2. Desconecta otras unidades USB, discos externos, cámaras y tarjetas de memoria del ordenador.
  3. No copies los archivos falsos de acceso directo a otro ordenador.
  4. Abre el Explorador de archivos con Win + E, pero evita ejecutar archivos desconocidos desde la unidad afectada.
  5. Si la unidad contiene archivos empresariales o legales críticos, crea una imagen de solo lectura o consulta con un servicio profesional de recuperación antes de borrar nada.
💡
Consejo Si la unidad afectada es una memoria USB, anota su letra actual, por ejemplo E: o F:. Necesitarás la letra correcta para el comando de recuperación.
Sección 04

Mostrar archivos ocultos para comprobar si tus carpetas originales aún existen

El malware de accesos directos a menudo no elimina las carpetas originales. Las marca como ocultas y protegidas por el sistema, y después coloca accesos directos delante de ellas. Primero haz que Windows muestre los elementos ocultos.

Windows 11

  1. Abre Explorador de archivos.
  2. Haz clic en Ver en la barra de comandos.
  3. Selecciona Mostrar y activa Elementos ocultos.
  4. Haz clic en Opciones, abre la pestaña Ver y desactiva temporalmente Ocultar archivos protegidos del sistema operativo.

Windows 10

  1. Abre Explorador de archivos.
  2. Ve a la pestaña Vista.
  3. Activa Elementos ocultos.
  4. Abre OpcionesVer y desmarca temporalmente Ocultar archivos protegidos del sistema operativo.
⚠️
Advertencia Vuelve a activar Ocultar archivos protegidos del sistema operativo después de la recuperación. Mantener visibles los archivos del sistema todo el tiempo aumenta el riesgo de borrarlos por accidente.
Sección 05

Recuperar carpetas ocultas con el comando Attrib

Si la unidad sigue mostrando espacio usado pero tus carpetas están ocultas, usa Símbolo del sistema para quitar los atributos de oculto, sistema y solo lectura de los archivos y carpetas de la unidad afectada.

Sustituye E: por la letra real de la unidad afectada. Puedes comprobarla en Este equipo. No ejecutes el comando por error en la unidad equivocada.
  1. Conecta la unidad afectada a un ordenador que tenga protección antivirus activada.
  2. Abre Inicio, escribe cmd, haz clic derecho en Símbolo del sistema y elige Ejecutar como administrador.
  3. Ejecuta el comando siguiente, cambiando primero la letra de la unidad.
Símbolo del sistema — sustituye E: por la letra de tu unidadattrib -h -r -s /s /d E:\*.*

Cuando termine el comando, abre la unidad de nuevo. Las carpetas originales deberían volver a ser visibles. Si ves tanto carpetas reales como accesos directos falsos, abre solo las carpetas reales. No abras las copias de acceso directo.

Buena señal Si las carpetas recuperadas tienen tamaños normales y se abren sin lanzar un acceso directo, copia tus archivos importantes a una ubicación limpia antes de continuar con una limpieza más profunda.
Sección 06

Analizar la unidad infectada y eliminar el malware de accesos directos

Recuperar carpetas ocultas no es lo mismo que eliminar la infección. Todavía debes analizar el ordenador y la unidad afectada. De lo contrario, los accesos directos pueden volver después del siguiente reinicio o cuando conectes otra unidad USB.

Método 01

Análisis completo con Microsoft Defender

Usa Seguridad de Windows para analizar todo el PC y la unidad conectada. Es la primera revisión más segura para la mayoría de los usuarios.

Primero recomendado
Método 02

Análisis sin conexión de Microsoft Defender

Ejecuta un análisis sin conexión si el malware sigue volviendo, cierra las herramientas de seguridad o se oculta mientras Windows está en ejecución.

Para malware persistente
Método 03

Analizador de segunda opinión

Usa otro analizador confiable si Defender elimina algo pero la unidad vuelve a crear accesos directos.

Comprobación opcional

Ejecutar un análisis completo en Seguridad de Windows

  1. Abre Inicio y busca Seguridad de Windows.
  2. Abre Protección contra virus y amenazas.
  3. Haz clic en Opciones de análisis.
  4. Selecciona Análisis completo e inicia el análisis.
  5. Después, analiza la unidad extraíble directamente desde el Explorador de archivos si la opción está disponible en el menú contextual.

Cuándo usar Microsoft Defender sin conexión

Usa Análisis de Microsoft Defender sin conexión si los scripts sospechosos vuelven después de borrarlos, las nuevas unidades se infectan automáticamente o las herramientas de seguridad se cierran inesperadamente. Guarda tu trabajo antes, porque Windows se reiniciará.

Sección 07

Eliminar accesos directos maliciosos, archivos Autorun y restos de scripts

Después del análisis, puedes eliminar restos evidentes de la unidad afectada. Ten cuidado: elimina accesos directos falsos y scripts sospechosos, no tus carpetas recuperadas.

Elementos que suelen poder eliminarse después de la recuperación

🧯
Ten cuidado No elimines documentos, fotos, archivos comprimidos, archivos de proyecto ni carpetas normales cuyos nombres y tamaños coincidan con tus datos reales. En caso de duda, copia los datos recuperados a otra unidad limpia antes de la limpieza manual.

También puedes usar el Símbolo del sistema para listar accesos directos y scripts en la unidad afectada antes de borrar nada: 

Listar tipos de archivo sospechosos — sustituye E: primerodir E:\*.lnk /a

dir E:\*.vbs /a

dir E:\*.js /a

dir E:\*.cmd /a

dir E:\autorun.inf /a
Sección 08

Comprobar el inicio de Windows si las carpetas de acceso directo siguen volviendo

Si la misma unidad se infecta de nuevo inmediatamente, el malware todavía puede estar ejecutándose desde el perfil de usuario de Windows, la carpeta Inicio, el Registro o el Programador de tareas. Revisa estas áreas solo después de ejecutar análisis antivirus.

Área que revisar Qué buscar Cómo abrirla
Lista de inicio del Administrador de tareas Entradas desconocidas con editores en blanco o nombres aleatorios. Pulsa Ctrl + Shift + Esc y abre Aplicaciones de inicio.
Carpeta Inicio Accesos directos, scripts o archivos ejecutables inesperados. Pulsa Win + R y ejecuta shell:startup.
Programador de tareas Tareas que ejecutan scripts desde carpetas temporales, carpetas del perfil de usuario o unidades extraíbles. Busca Programador de tareas en Inicio.
Carpetas temporales Scripts o ejecutables sospechosos con fechas de modificación recientes. Pulsa Win + R y ejecuta %temp%.
🚫
No adivines en el Registro Si no estás seguro de lo que hace una entrada, no la elimines manualmente. Exporta primero una copia de seguridad o usa una herramienta reputada de eliminación de malware. Eliminar el elemento equivocado de inicio o del Registro puede dañar software normal.
Sección 09

Cuándo debes hacer copia de seguridad de los archivos y formatear la unidad

Si la unidad afectada es extraíble, formatearla después de la recuperación suele ser el paso final más limpio. Formatea solo después de copiar los archivos reales a una ubicación segura y analizar esa ubicación de copia de seguridad.

Formatea la unidad si

  • Los accesos directos vuelven después de eliminarlos manualmente.
  • La raíz de la unidad contiene muchos scripts desconocidos.
  • La unidad se usó en varios ordenadores infectados o desconocidos.
  • Ya recuperaste e hiciste copia de seguridad de los archivos importantes.

No la formatees todavía si

  • La única copia de archivos importantes sigue en la unidad afectada.
  • La unidad muestra espacio usado, pero las carpetas aún no son visibles.
  • La unidad tiene errores del sistema de archivos o pide formatearse antes de abrirse.
  • Necesitas recuperación profesional de datos del dispositivo.

Cómo formatear después de la recuperación

  1. Copia los archivos recuperados a una carpeta limpia en otra unidad.
  2. Analiza los archivos copiados con software antivirus.
  3. Abre Este equipo.
  4. Haz clic derecho en la unidad extraíble afectada y elige Formatear.
  5. Usa exFAT para una compatibilidad amplia o NTFS para almacenamiento solo en Windows con permisos y archivos grandes.
  6. Después del formateo, copia de vuelta solo los archivos limpios recuperados.
Sección 10

Cómo evitar que las carpetas vuelvan a convertirse en accesos directos

El malware de accesos directos se propaga principalmente mediante unidades extraíbles y la ejecución descuidada de scripts. La prevención se basa sobre todo en mantener desactivada la ejecución automática, analizar unidades desconocidas y evitar accesos directos sospechosos.

Mostrar extensiones de archivo en Windows

  1. Abre Explorador de archivos.
  2. En Windows 11, elige VerMostrarExtensiones de nombre de archivo.
  3. En Windows 10, abre la pestaña Vista y activa Extensiones de nombre de archivo.
Sección 11

Preguntas frecuentes: las carpetas se convirtieron en accesos directos en Windows

P ¿Mis archivos se borraron si las carpetas se convirtieron en accesos directos?
No siempre. En muchos casos, las carpetas reales siguen en la unidad, pero están ocultas con atributos de sistema. Si la unidad aún muestra espacio usado, prueba a mostrar archivos ocultos y ejecutar el comando attrib antes de formatear.
P ¿Puedo simplemente eliminar todos los accesos directos?
Puedes eliminar los archivos falsos .lnk después de recuperar las carpetas originales y analizar la unidad. No elimines elementos desconocidos a ciegas si no estás seguro de si forman parte de tus datos.
P ¿Por qué el virus de accesos directos vuelve después de limpiar la unidad USB?
El ordenador con Windows aún puede tener malware en el inicio, tareas programadas, carpetas temporales o el perfil de usuario. Analiza todo el PC, no solo la unidad extraíble.
P ¿Debo formatear la unidad USB inmediatamente?
Formatea solo después de recuperar y hacer copia de seguridad de tus archivos reales. Si la unidad contiene la única copia de datos importantes, recupera primero, analiza los datos recuperados y formatea solo como paso final de limpieza.
P ¿Este problema afecta igual a Windows 10 y Windows 11?
Sí. El malware de accesos directos puede afectar a unidades extraíbles tanto en Windows 10 como en Windows 11. La interfaz para mostrar archivos ocultos es ligeramente diferente, pero la lógica de recuperación y análisis es la misma.

Recomendación final

Cuando las carpetas se convierten en accesos directos, no asumas que los archivos han desaparecido. Primero deja de abrir accesos directos, muestra las carpetas ocultas, ejecuta el comando attrib con la letra correcta de la unidad, analiza tanto la unidad como Windows y después elimina accesos directos falsos y scripts sospechosos. Si la unidad es extraíble, haz copia de seguridad de los archivos limpios recuperados y formatea la unidad como paso final de seguridad.