Además, la herramienta viene con versión de lÃnea de comandos (Tcpvcon) y convive de maravilla con netstat, el veterano integrado en Windows y otras herramientas de monitorización del sistema. Combinándolas puedes pasar de la vista en vivo a la automatización en segundos, y si hace falta, completar la investigación con capturas de paquetes o escaneos.
¿Qué es TCPView y por qué resulta tan práctica
TCPView es una utilidad gratuita de Microsoft Sysinternals para Windows que muestra, en tiempo real, todos los puntos de conexión TCP y UDP del sistema, con sus direcciones local y remota, puerto y estado (por ejemplo, ESTABLISHED, TIME_WAIT). Su interfaz gráfica hace muy sencillo identificar de un vistazo qué proceso es el propietario de cada socket y, cuando procede, el nombre del servicio asociado.
A diferencia de un simple volcado de consola, la vista se actualiza automáticamente cada segundo por defecto y puedes cambiar esa cadencia desde el menú de opciones si necesitas más calma o más granularidad. También incluye un sistema de colores para resaltar cambios entre actualizaciones: conexiones nuevas en verde, modificaciones en amarillo y cierres en rojo, lo que acelera la lectura cuando hay mucho movimiento.
Un plus importante es que TCPView incorpora acciones directas sobre lo que visualizas: puedes cerrar conexiones TCP en estado establecido desde el menú o con un clic derecho. Es una forma rápida de cortar comunicaciones no deseadas mientras terminas de validar polÃticas de seguridad.
Descarga, ejecución y compatibilidad
La descarga oficial de TCPView está disponible en Microsoft Sysinternals y la herramienta es portable, asà que no requiere instalación. El paquete incluye también Tcpvcon, la versión de lÃnea de comandos con funcionalidad equivalente. El tamaño del binario ronda actualmente 1,5 MB y, aunque en versiones antiguas llegó a ser mucho más ligero, el concepto sigue siendo el de utilidad mÃnima, lista para ejecutar.
Si prefieres no descargar nada, puedes ejecutarla directamente a través de Sysinternals Live, ideal cuando vas con prisa o trabajas en un equipo donde no quieres dejar rastro de instaladores. En cuanto a compatibilidad, cubre escenarios modernos: Windows 8.1 o posterior en cliente y Windows Server 2012 o posterior en servidor.
Como curiosidad histórica, el proyecto está liderado por Mark Russinovich y su documentación se ha actualizado recientemente (por ejemplo, en abril de 2023), lo que da tranquilidad en cuanto a mantenimiento y soporte por parte del equipo de Sysinternals.
Interfaz y flujo de trabajo: cómo leer la información
Al abrir la utilidad, verás una lista con todos los endpoints TCP y UDP activos. Puedes alternar si quieres resolver las direcciones IP a nombres de dominio con un botón de la barra de herramientas o desde el menú. Esto ayuda cuando necesitas legibilidad, y puedes volver a IP numéricas cuando te interese precisión forense o evitar latencias de DNS.
La tabla principal muestra columnas de proceso, protocolo, direcciones y puertos, y estado. Ordenar por proceso o por puerto te permite detectar patrones rápidamente: por ejemplo, si un binario abre decenas de conexiones salientes hacia el puerto 25 o 587, suele oler a envÃo de correo automático no deseado.
Respecto al refresco, la frecuencia por defecto es 1 segundo, ajustable en Opciones. El sistema de resaltado por colores te ayudará a detectar actividad nerviosa: si ves muchas apariciones en verde y desapariciones en rojo de forma constante, podrÃas estar ante reconexiones agresivas, escaneos o servicios mal configurados que no estabilizan sus sesiones.
Acciones útiles: cerrar sockets y guardar evidencia
Una de las funciones más prácticas es que puedes cerrar conexiones TCP en estado ESTABLISHED directamente desde la interfaz. Selecciona una o varias filas y usa el menú Archivo o el clic derecho. Es un corte temporal —la aplicación puede volver a abrir el socket—, pero resulta valioso para contener mientras ajustas reglas del cortafuegos o paras un proceso.
Además, puedes guardar la salida en un archivo desde el menú. Este volcado es oro cuando debes documentar un incidente, correlacionar con registros de firewall, IDS o EDR y compartir hallazgos con el equipo. Si trabajas con un SIEM, valora generar instantáneas a distintos intervalos para ver la progresión.
Permisos y buenas prácticas al ejecutar
Para una visión completa, ejecutar TCPView con privilegios elevados es muy recomendable. Con permisos de administrador verás procesos del sistema y servicios que de otro modo pueden quedarse fuera. Recuerda también desactivar la resolución de nombres cuando quieras evitar demoras por DNS o prevenir confusiones en entornos con resoluciones inversas internas.
Un consejo operativo: combina filtros, ordenaciones y pausas en la actualización cuando necesites estudiar un conjunto concreto. Detener el refresco un instante te permitirá revisar con calma un patrón, copiar información o cruzar PIDs con el Administrador de tareas o con tu EDR.
Tcpvcon: la versión en consola para automatizar
Junto al ejecutable principal se suministra Tcpvcon, una utilidad de lÃnea de comandos con la misma lógica de observabilidad. Es ideal para scripts, ejecución remota, trabajos programados o cuando te mueves en servidores sin interfaz gráfica.
Uso básico de Tcpvcon:
tcpvcon Parámetros más habituales:
| Parámetro | Función |
|---|---|
| -a | Muestra todos los puntos de conexión; si no lo usas, verás principalmente las conexiones TCP establecidas. |
| -c | Imprime la salida en formato CSV, perfecto para abrir en Excel o ingerir en un SIEM. |
| -n | No resuelve las direcciones, imprime IPs y puertos numéricos. |
Por ejemplo, si sospechas de un proceso concreto, puedes listar su actividad sin resolver nombres ejecutando algo como:
tcpvcon -a -n 784Con esa combinación verás las conexiones activas asociadas al PID que te interesa y podrás correlacionarlas con rutas de ejecutable, firmas o reputación del proceso en tus herramientas.
Netstat: cuándo sigue teniendo sentido y cómo compararlo
Netstat es el clásico que siempre está ahà en Windows. Sigue siendo útil para inspeccionar conexiones TCP/UDP, puertos en escucha y estados, sobre todo si te mueves por servidores sin GUI o necesitas algo inmediato en consola.
Comandos de referencia:
netstat # lista conexiones y puertos con nombres
netstat -n # muestra IPs y puertos en formato numérico
netstat -a # todas las conexiones y puertos en escucha
netstat -b # muestra el ejecutable asociado (requiere admin)El modificador -b es especialmente interesante para ver qué binario hay detrás, pero exige abrir la consola con privilegios de administrador. Sin elevación, parte de la información de procesos puede no estar disponible. Si precisas una vigilancia en vivo con colores, filtros visuales y acción directa, TCPView suele hacerte ganar tiempo; si lo que necesitas es scripting desde consola, netstat o Tcpvcon son apuesta segura.
Escenarios reales de auditorÃa con TCPView
Un caso tÃpico en pymes: el operador bloquea el puerto 25 por detección de spam saliente. En vez de escanear decenas de equipos con antimalware durante horas, lanzas TCPView en cada PC (tarea de un minuto) y localizas al culpable en segundos viendo múltiples conexiones simultáneas a SMTP.
En una máquina comprometida por un troyano que envÃa correo masivo, observarás conexiones constantes hacia puertos 25 o 587 en muchos destinos. Comparado con una máquina limpia, donde esa actividad brilla por su ausencia, el contraste te ayuda a aislar rápido el equipo afectado y priorizar su limpieza o reinstalación.
Otro escenario: una mala configuración de reenvÃo de puertos en el cortafuegos que deja un servidor demasiado expuesto. En la vista podrÃan aparecer conexiones efÃmeras desde IPs remotas desconocidas con bajo volumen de datos. Puede ser simple ruido de Internet, escaneos o intentos fallidos, pero conviene revisarlo y cerrar la exposición innecesaria.
En dominios Windows es frecuente ver actividad del PID 4 (System) comunicándose con controladores de dominio. No es inherentemente malicioso: el propio sistema y servicios del kernel establecen conexiones legÃtimas. Lo clave es correlacionar horas, puertos y protocolos con la función del servidor, verificando que todo encaja con los roles desplegados.
Si cuentas con IDS o IPS, los avisos te darán contexto adicional. Por ejemplo, una alerta relacionada con HNAP en routers Linksys asociada a campañas como TheMoon indica exploraciones del perÃmetro en busca de vulnerabilidades. No implica compromiso de tu host Windows, pero sugiere revisar la exposición y endurecer reglas.
Buenas prácticas durante la investigación
Ante actividad sospechosa, congela evidencia guardando la salida de TCPView y recoge logs de firewall, IDS o EDR. Con material en mano, podrás reconstruir lo sucedido y justificar acciones correctivas.
Recorre una lista de verificación básica: verifica servicios abiertos con netstat o Tcpvcon y compáralos con el estado esperado, revisa reglas de NAT y port forwarding cerrando lo innecesario, y examina procesos y firmas de ejecutables sospechosos comprobando rutas y editores.
Si necesitas actuar en caliente, corta conexiones desde TCPView para frenar exfiltración o spam mientras afinas el cortafuegos. Recuerda que puede ser una medida temporal y que el proceso insistirá en reconectar si sigue vivo y con permisos.
Trucos prácticos con TCPView
Cuando prime la precisión y la velocidad, desactiva la resolución de nombres para evitar latencia de DNS y trabajar con IPs puras. En entornos con DNS interno, los nombres aportan contexto, pero en análisis forense las direcciones numéricas reducen ambigüedades.
La ordenación de columnas es tu amiga: ordenar por puerto te ayuda a ver familias de servicios en bloque, mientras que ordenar por proceso agrupa la actividad del mismo binario, útil para detectar comportamiento anómalo en aplicaciones que no deberÃan abrir sockets externos.
Atiende al código de colores en el tiempo: mucho verde y rojo parpadeando puede indicar reconexiones o escaneos. Si coincide con picos en el firewall o el IDS, tendrás un hilo claro del que tirar.
Cuándo guardar y cómo compartir resultados
En auditorÃas puntuales y en incidentes, guardar la ventana de salida desde el menú es clave para socializar el hallazgo con el equipo o para adjuntar a un informe. Si quieres series comparables, captura varias instantáneas separadas por minutos para ver tendencias.
Para análisis cuantitativo, considera usar Tcpvcon con el modificador -c y agendar ejecuciones periódicas volcando a CSV. Ese formato es ideal para Excel, scripts en PowerShell o integración con tu SIEM.
Herramientas complementarias para una auditorÃa completa
TCPView y Tcpvcon cubren muy bien el quién y el ahora a nivel de proceso. Para ampliar campo de visión, apóyate en utilidades de red de referencia y software de seguridad imprescindible que te ayuden a confirmar hallazgos y a reforzar controles.
TCPDump y WinDump: capturadores de tráfico en consola que permiten volcar paquetes y ver qué fluye realmente por la red. En Windows necesitas WinPcap o Npcap. Si necesitas instalarlas, winget facilita su gestión
Nmap: escáner de puertos y auditorÃa de servicios. EnvÃa paquetes predefinidos a rangos IP para descubrir hosts, puertos abiertos y servicios, e incluso perfilar el sistema operativo. Es esencial para validar la superficie de exposición real.
Wireshark: analizador de protocolos con interfaz gráfica que desencapsula y permite inspeccionar a detalle conversaciones TCP/UDP. Útil para diagnosticar problemas finos de comunicación o estudiar protocolos especÃficos.
Aircrack‑ng: suite para redes inalámbricas centrada en evaluar la fortaleza de claves WEP/WPA/WPA2 y analizar tráfico Wi‑Fi. Es útil para revisar la seguridad de la red corporativa y polÃticas de contraseñas.
Kali Linux: distribución orientada a pruebas de penetración que reúne decenas de herramientas, incluidas varias de las anteriores. Se puede ejecutar en vivo desde USB o instalarse, con interfaces gráficas en muchas utilidades.
Compatibilidad, soporte y mantenimiento
Para recapitular requisitos: funciona en Windows 8.1 o superior en cliente y Windows Server 2012 o superior en servidor, cubriendo la gran mayorÃa de despliegues actuales. La posibilidad de ejecutar desde Sysinternals Live facilita usarla en equipos gestionados con polÃticas estrictas.
El hecho de que la herramienta proceda del ecosistema Sysinternals y tenga detrás a Mark Russinovich aporta confianza. Las actualizaciones de su documentación garantizan continuidad y adaptación a cambios de plataforma.
Ejemplos y combinaciones útiles
Para un triage rápido: abre TCPView, desactiva resolución de nombres y ordena por puerto para detectar servicios ruidosos. Si ves actividad masiva en puertos de correo saliente, acota por proceso y cierra sockets mientras investigas.
Para automatizar inventario: usa Tcpvcon -a -c en un planificador y vuelca a CSV. Procesa el resultado con PowerShell para generar alertas cuando aparezcan puertos o destinos fuera de catálogo.
Para validar exposición: combina Nmap externamente con la vista interna de TCPView. Si Nmap ve un puerto abierto y TCPView no muestra un proceso escuchando, revisa NAT, reglas del firewall o dispositivos intermedios que puedan estar respondiendo.
Para análisis profundo: correla conexiones inusuales con capturas en Wireshark o WinDump. Unos minutos de paquetes suelen despejar dudas sobre protocolos y comportamientos extraños.
TCPView brilla justo en el equilibrio entre visibilidad instantánea y acción inmediata. Su pareja de baile en consola, Tcpvcon, te abre la puerta al scripting y al registro periódico, mientras que netstat sigue cumpliendo cuando necesitas algo integrado y minimalista. Comparte este tutorial de cómo usar TCPView en Windows.