Cuando el ordenador va lento, se calienta más de la cuenta o aparecen ventanas raras por todas partes, lo normal es pensar en instalar un antivirus y cruzar los dedos. Pero muchas veces, incluso con una suite de seguridad potente, ciertos tipos de malware pasan totalmente desapercibidos y siguen haciendo de las suyas en segundo plano.
La buena noticia es que Windows (y también macOS) incluyen un montón de herramientas con las que puedes auditar procesos sospechosos sin depender de antivirus de terceros. No es magia ni hace falta ser hacker: con un poco de método, sentido común y las utilidades adecuadas, puedes detectar procesos maliciosos, pararlos y limpiar gran parte de las infecciones más habituales.
Qué es el malware sigiloso y por qué se le escapa al antivirus
Cuando hablamos de virus y amenazas modernas no nos referimos solo a los típicos bichos que borran archivos. Hoy en día abundan campañas mucho más discretas, donde el malware se integra en el sistema para pasar desapercibido durante semanas o meses.
Dentro de este grupo destacan los rootkits, que son componentes diseñados para ocultarse en las capas más profundas del sistema operativo. Pueden engancharse al arranque, al kernel o a controladores del sistema, de forma que el usuario y muchas herramientas no vean sus archivos, servicios o claves de registro.
Otra familia muy peligrosa es la del malware polimórfico. Estos programas van cambiando su propio código y firma digital continuamente, para que los motores antivirus que se basan en firmas tengan más difícil reconocerlos. Aunque uses un software de seguridad actualizado, puede que tarde un tiempo en detectar variantes nuevas.
Y luego están las amenazas de día cero, que aprovechan vulnerabilidades que todavía no han sido parcheadas ni documentadas de forma pública. En estos casos, los desarrolladores de antivirus aún no tienen reglas específicas, así que una parte del juego consiste en detectar comportamientos extraños más que ficheros concretos.
Todo esto hace que tenga mucho sentido aprender a vigilar manualmente procesos, red, arranque y archivos críticos. No sustituye a un antivirus, pero es una capa más que puede marcar la diferencia.
Cómo detectar procesos sospechosos en Windows
Windows incluye varias utilidades que permiten ver qué se está ejecutando exactamente en tu equipo. Si sospechas que algo raro consume recursos, el primer sitio al que debes asomarte es el Administrador de tareas, que ofrece una visión en tiempo real de procesos, CPU, memoria, disco y red.
Para abrirlo, puedes hacer clic derecho sobre el botón Inicio y elegir «Administrador de tareas», o usar atajos como Ctrl + Shift + Esc o la combinación Ctrl + Alt + Supr y luego seleccionar la herramienta. Nada más entrar, verás varias pestañas, pero la más importante para una primera auditoría es la de «Procesos».
En esa pantalla se listan todas las aplicaciones y procesos en segundo plano, junto con el porcentaje de CPU, memoria, red y disco que consumen. Lo normal es que reconozcas navegadores, programas que tengas abiertos y algunos servicios del sistema. Lo que nos interesa son elementos que:
- No te suenan de nada, ni como aplicación ni como parte habitual de Windows.
- Aparecen consumiendo muchos más recursos que el resto sin que estés haciendo nada exigente.
- Cambian de nombre o se cierran y vuelven a abrir en pocos segundos al intentar detenerlos.
Si detectas un proceso así, lo ideal es hacer clic derecho y revisar primero «Propiedades». Ahí verás la ruta del archivo, el proveedor (por ejemplo, Microsoft Corporation o un fabricante conocido), la fecha de creación y otros datos que ayudan a distinguir si se trata de algo legítimo o potencialmente malicioso.
Cuando la duda persiste, puedes tirar de recursos externos: buscar el nombre del proceso en buscadores o en webs especializadas como File.net suele dar pistas bastante claras de si forma parte de Windows, de un programa confiable o de algo problemático que otros usuarios ya han reportado.
Si confirmas que no pinta bien, tienes dos opciones inmediatas: finalizar la tarea desde el propio Administrador (clic derecho > «Finalizar tarea») para cortar de raíz su ejecución temporal, y después abrir su «Ubicación del archivo» para borrar el ejecutable y evitar que vuelva a lanzarse.
Ten en cuenta que, si el malware tiene un componente que se reinstala o se lanza desde otra parte del sistema, matar solo el proceso o borrar el exe principal puede no ser suficiente. Aun así, es un primer paso útil para recuperar rendimiento y poder seguir investigando con más calma.
Process Explorer y Autoruns: radiografía avanzada del sistema
Además del Administrador de tareas estándar, Microsoft ofrece una serie de utilidades avanzadas gratuitas (Sysinternals) que son oro puro para auditar un equipo. Las dos más interesantes para este tema son Process Explorer y Autoruns, que permiten ver mucha más información que las herramientas básicas de Windows.
Process Explorer es, simplificando, un Administrador de tareas en esteroides. Una vez descargado desde el sitio oficial de Microsoft y ejecutado, muestra todos los procesos activos en forma de árbol, indicando qué ha lanzado qué, qué DLL tienen cargadas, qué ficheros mantienen abiertos y qué firma digital tienen.
Haciendo doble clic sobre un proceso, se abre una ventana detallada con información de rutas, usuario, consumo de GPU, conexiones abiertas e incluso versión de los módulos. Esto resulta especialmente útil para desenmascarar procesos que intentan hacerse pasar por componentes de Windows cambiando una letra del nombre o ubicándose en carpetas sospechosas.
Por su parte, Autoruns sirve para revisar todo lo que se inicia automáticamente en el sistema: programas en el arranque, tareas programadas, extensiones de navegador, servicios, drivers y un largo etcétera. El malware acostumbra a registrarse en alguno de estos puntos para volver a activarse al encender el PC.
Tras ejecutar Autoruns, verás pestañas organizadas por categorías. Lo más práctico es empezar revisando lo que no reconozcas o los elementos marcados en amarillo (entradas huérfanas, rutas inexistentes, etc.). Cualquier cosa dudosa puedes desmarcarla para que no se ejecute o usar el menú contextual para ir a su clave de registro o al archivo asociado.
Este enfoque es más fino que simplemente borrar un exe, porque te permite eliminar el punto de arranque automático del malware. Hazlo con cuidado, eso sí: desactivar entradas críticas del sistema puede provocar comportamientos raros, así que si no estás seguro de algo, conviene buscar información antes.
Revisión del registro y rutas de inicio sospechosas
Buena parte del malware que se ejecuta nada más arrancar Windows lo hace a través del registro. Aunque no es recomendable andar tocando el registro a ciegas, hay algunas rutas muy concretas que conviene conocer y revisar cuando hay indicios de infección.
Para abrir el Editor del Registro, basta con escribir «regedit» en el menú Inicio y ejecutarlo. Una vez dentro, una de las ubicaciones clave es la ruta:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
En esa clave aparecen los programas configurados para iniciarse automáticamente para todos los usuarios. También existe una ruta equivalente en la rama de usuario:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
En estas secciones deberías encontrar solo elementos que conozcas: drivers de la tarjeta gráfica, utilidades del fabricante del portátil, software que tú mismo has instalado, etc. Si ves nombres extraños, rutas apuntando a carpetas temporales, a perfiles de usuario con nombres raros o a ejecutables sin firma aparente, es muy probable que formen parte de algún tipo de malware.
Desde Autoruns puedes llegar a estas claves de forma más amigable, pero si prefieres hacerlo manualmente desde Regedit, lo más seguro es exportar la clave antes de borrar nada (menú Archivo > Exportar) para tener un respaldo en caso de que algo salga mal.
En ocasiones, los rootkits más agresivos insertan componentes en otros puntos como «Services» o «Drivers», haciendo que se carguen como servicios del sistema o controladores. En estos casos, si notas síntomas muy graves (pantallazos, reinicios aleatorios, desaparición de archivos) puede que sea necesario ayudarse de medios externos o herramientas específicas, y no limitarse a toquetear el registro a mano.
Monitorizar la red: conexiones extrañas y puertos abiertos
Un comportamiento muy típico del malware moderno es conectarse de forma silenciosa a servidores remotos para exfiltrar datos, recibir órdenes o descargar módulos adicionales. Por eso, otra pieza de la auditoría pasa por vigilar qué está ocurriendo en tu red.
En Windows, el comando clásico para ver conexiones y puertos abiertos es netstat. Si abres la consola (escribiendo «CMD» en Inicio, clic derecho y «Ejecutar como administrador») y lanzas:
netstat -ano
obtendrás una lista con todas las conexiones activas, el puerto local, la IP remota y el identificador de proceso (PID) asociado. Con ese PID puedes regresar al Administrador de tareas o a Process Explorer y ver qué programa está detrás de una conexión concreta.
Más allá de netstat, una herramienta muy potente es Wireshark, un analizador de paquetes que permite capturar todo el tráfico que pasa por tu tarjeta de red. La idea es seleccionar la interfaz adecuada (Wi‑Fi o Ethernet), empezar la captura y, si quieres acotar, filtrar por tu dirección IP o por protocolos concretos.
Por ejemplo, si escribes ipconfig en una consola, podrás ver tu IP local y después usar filtros como ip.addr == TU_IP o centrarse en tráfico HTTP, HTTPS u otros. Al detener la captura, puedes inspeccionar paquetes individuales y ver a qué dominios se está conectando tu equipo, qué puertos utiliza y si hay comunicaciones repetitivas con destinos que no reconoces.
Evidentemente, interpretar todo el tráfico que genera un sistema no es trivial, pero incluso con un nivel básico puedes detectar patrones sospechosos como conexiones constantes hacia IP desconocidas, intentos de comunicación a puertos poco habituales o paquetes que salen cuando no estás usando el equipo.
Uso de la línea de comandos y herramientas nativas de Windows
Además de las utilidades con interfaz gráfica, Windows incorpora varias herramientas de consola que pueden ayudar a detectar y reparar daños causados por malware sin recurrir a antivirus externos. Eso sí, muchas de ellas requieren ejecutar la terminal con permisos de administrador.
Una de las más conocidas es SFC (System File Checker), que analiza los archivos de sistema protegidos y reemplaza aquellos que detecta como corruptos o alterados. Para usarla, abre CMD como administrador y ejecuta:
sfc /scannow
El proceso puede tardar bastante, pero si el malware se ha dedicado a modificar componentes centrales de Windows, esta herramienta puede dejar muchos de ellos como estaban originalmente.
Otra utilidad interesante, sobre todo para lidiar con ficheros ocultos o marcados como de sistema por un virus, es el comando attrib. Desde la consola, puedes moverte hasta la carpeta donde sospechas que hay archivos maliciosos y usar algo como:
attrib -s -h /s /d
Con esto, quitas los atributos de sistema y oculto a todos los archivos y subdirectorios de esa ruta, lo que facilita localizarlos y eliminarlos posteriormente con del. Es un método algo más avanzado y hay que tener claro qué se está borrando, pero resulta útil cuando el malware intenta esconderse cambiando atributos.
Windows también incluye la herramienta MRT (Malicious Software Removal Tool), que viene actualizada a través de Windows Update. No es un antivirus completo, pero sí un escáner específico para familias de malware muy extendidas. Para lanzarlo, puedes pulsar Windows + R, escribir mrt y elegir un análisis completo del sistema.
Una vez finalizado, el informe indicará si se ha encontrado algún software malintencionado y, en caso afirmativo, ofrecerá la opción de eliminarlo. Microsoft recomienda usar MRT como complemento, no como sustituto permanente de un antivirus, pero cuando no puedes instalar nada más en ese momento, es un recurso muy valioso.
Modo seguro, archivos temporales y restauración del sistema
Cuando una infección está activa, combatirla desde el propio sistema en marcha puede ser complicado. Muchos virus se protegen con procesos vigilantes que vuelven a lanzar el ejecutable si lo cierras o restauran archivos si los borras. Aquí entra en juego el uso del Modo seguro y de ciertas funciones de mantenimiento de Windows.
Arrancar en Modo seguro hace que el sistema cargue solo los componentes mínimos para funcionar, dejando fuera la mayoría de programas de terceros, controladores adicionales y servicios no críticos. En versiones modernas de Windows se puede activar desde Configuración > Actualización y seguridad > Recuperación > Inicio avanzado, o bien manteniendo pulsada la tecla Shift mientras pulsas en «Reiniciar» y entrando en las opciones de arranque avanzadas.
Una vez en Modo seguro, repetir los pasos de inspección de procesos, uso de Autoruns, borrado de archivos y limpieza de claves de registro resulta mucho más efectivo, porque el malware tiene menos margen de maniobra para reactivarse o bloquear acciones.
Otro foco importante son las carpetas temporales. Muchos ejecutables maliciosos se descargan y ejecutan desde ubicaciones de este tipo, por lo que merece la pena limpiarlas cuando hay sospechas. Para ir rápido, puedes usar de nuevo el diálogo Ejecutar (Windows + R) y escribir:
%temp%para abrir la carpeta temporal del usuario.temppara la carpeta temporal general del sistema (según la configuración).
Dentro de estas carpetas puedes seleccionar y eliminar todo su contenido. Windows volverá a generar los archivos temporales que necesite, y por el camino te habrás deshecho de muchos restos de instalaciones, descargas sospechosas y elementos que podrían estar siendo aprovechados por un malware.
Si el sistema lleva tiempo comportándose mal y has ido notando cómo empeora, una baza muy útil es la Restauración del sistema. Esta característica permite volver el equipo a un punto anterior donde sabes que funcionaba correctamente, revirtiendo cambios en archivos de sistema, registro y configuraciones, pero sin tocar tus documentos personales.
Para gestionarla, puedes buscar «Crear un punto de restauración» en el menú Inicio, entrar en la pestaña de Protección del sistema y comprobar que esté activada en la unidad del sistema. Desde ahí puedes crear puntos manualmente (algo muy recomendable antes de cambios grandes) y también lanzar un «Restaurar sistema» para elegir un punto previo al momento en que detectaste la infección.
Mucha gente opta por tener varios puntos de restauración recientes, renovándolos cada cierto tiempo. Así, si no estás seguro de cuándo se coló el malware, tienes más margen para probar distintas fechas sin tener que formatear el equipo entero de primeras.
Malware en macOS: Monitor de Actividad y diagnósticos
Aunque macOS suele tener mejor fama en términos de seguridad, los Mac tampoco se libran del malware. Publicidad invasiva, mineros ocultos o troyanos que roban credenciales son cada vez más habituales, así que también aquí viene bien saber cómo auditar procesos sospechosos sin tirar de herramientas de terceros de entrada.
El equivalente al Administrador de tareas en macOS es el Monitor de Actividad. Puedes encontrarlo en Aplicaciones > Utilidades, o simplemente buscando «Monitor de Actividad» con Spotlight. Al abrirlo, verás una lista con todos los procesos y aplicaciones en ejecución, su consumo de CPU, memoria, energía y red.
Como ocurre en Windows, lo normal es no reconocer muchos de los nombres que aparecen, pero eso no significa que sean malos. Lo interesante es fijarse en procesos que consumen recursos de forma desproporcionada o que se mantienen activos incluso cuando has cerrado todo lo que usas habitualmente.
Seleccionando cualquier proceso y pulsando el icono de información (letra «i»), se abre una ventana con detalles adicionales, incluida la ruta de la aplicación asociada y el usuario que la ejecuta. Esto te permite distinguir utilidades legítimas del sistema de posibles apps instaladas sin tu conocimiento o scripts maliciosos.
Si localizas algo sospechoso, basta con seleccionarlo y pulsar el icono con la «X» para forzar su cierre. En paralelo, conviene ir a la carpeta de Aplicaciones o a la ruta que indicaba el Monitor de Actividad y eliminar la app o componente asociado. Si el equipo sigue yendo raro, el mismo Monitor dispone de un icono con forma de engranaje que permite lanzar ciertos diagnósticos básicos del sistema.
En cualquier caso, igual que en Windows, combinar la supervisión de procesos con el uso de un buen antivirus para macOS sigue siendo la estrategia más sensata a medio plazo, sobre todo si descargas software de fuera de la App Store o conectas muchos dispositivos USB.
Servicios online y trucos sin instalar antivirus
Puede darse el caso de que, por la razón que sea, no puedas instalar un antivirus completo en ese momento: limitaciones de permisos, equipo de trabajo con políticas estrictas o simplemente que estás resolviendo una incidencia puntual. Aun así, tienes a tu alcance varios servicios online que ayudan a analizar archivos y URLs sospechosas.
El más popular es VirusTotal, una plataforma donde puedes subir ficheros o pegar enlaces para que se analicen con decenas de motores de antivirus distintos. No instala nada en tu equipo, y te permite ver rápidamente si un ejecutable, un documento o una web coincide con amenazas conocidas en múltiples bases de datos.
Además de VirusTotal, existen otras soluciones similares proporcionadas por empresas de seguridad como F‑Secure o Trend Micro, que ofrecen escaneos bajo demanda del sistema o de archivos concretos desde el navegador.
Curiosamente, incluso herramientas tan cotidianas como Google Drive incluyen sus propios mecanismos de análisis. Cuando subes un archivo, el servicio realiza ciertas comprobaciones y, si detecta algo muy claro, puede bloquear la descarga o mostrar advertencias. No es un sistema tan fino como un antivirus especializado, pero suma otra capa si estás revisando documentos dudosos.
Como complemento, una medida de higiene digital muy efectiva es revisar y desinstalar extensiones del navegador que no uses o que hayas añadido hace poco. Muchas infecciones que solo afectan a la navegación (páginas que se abren solas, redirecciones, pop‑ups constantes) entran precisamente a través de complementos maliciosos.
En Chrome, por ejemplo, basta con abrir el menú de los tres puntos, entrar en Configuración > Extensiones y eliminar cualquier add‑on sospechoso o que no recuerdes haber instalado. En Firefox, Edge y otros navegadores el camino es similar. Este simple gesto puede devolver la normalidad a tu experiencia online sin necesidad de escaneos complejos.
En situaciones complicadas, cuando el malware ha tocado zonas muy delicadas del sistema como el arranque, el registro en profundidad o incluso el MBR (Master Boot Record), puede hacer falta subir un peldaño más en las medidas de limpieza y pasar por opciones algo más drásticas.
Una de ellas es utilizar medios de arranque seguros o discos de rescate. Muchos fabricantes de antivirus ofrecen imágenes que se graban en un USB o DVD y permiten arrancar el equipo desde ahí, analizando el sistema desde fuera de Windows. De esta manera, el malware no está activo y es mucho más difícil que se oculte o interfiera.
Otra posibilidad en casos extremos es reparar el MBR y los componentes de arranque utilizando el propio medio de instalación de Windows. Arrancando desde ese soporte y entrando en las opciones de reparación, puedes abrir una consola y ejecutar comandos como:
bootrec /fixmbr
Con esto, el sistema reescribe el registro de arranque maestro, lo cual ayuda a eliminar ciertos rootkits que se insertan en esa zona. Eso sí, conviene hacerlo solo cuando hay indicios serios de que el problema está en el arranque, ya que tocar estas partes sin necesidad tampoco aporta ventajas.
Si, tras todo lo anterior, la infección persiste o notas que el sistema se ha quedado demasiado inestable, llega el momento de valorar soluciones de último recurso como restablecer Windows manteniendo tus archivos o, en el caso más radical, formatear el disco e instalar de cero. Aquí es vital contar con copias de seguridad en discos externos o en la nube, revisando bien qué guardas para no llevarte al respaldo los mismos ejecutables que causaron el problema.
Para no tener que pasar por todo este proceso una y otra vez, es clave combinar buenas prácticas de uso diario con las herramientas de auditoría que ofrece el propio sistema. Mantener Windows y las aplicaciones al día, evitar abrir adjuntos de origen dudoso, analizar archivos sospechosos en servicios online y vigilar de vez en cuando procesos, inicio automático y conexiones de red, reduce mucho las posibilidades de infección grave. Y si en algún momento algo se cuela, conocer estas técnicas te permite reaccionar con calma y criterio, incluso cuando todavía no tienes a mano un antivirus de terceros.
