No todos los procesos raros son malware. Aquí tienes una guía rápida para detectar nombres que imitan procesos reales, ubicaciones que merecen revisión y qué comprobar antes de borrar nada.
Muchos usuarios abren el Administrador de tareas, ven un nombre raro y piensan lo peor. El problema es que eso, por sí solo, no demuestra nada.
Hay procesos legítimos que suenan extraños, y también existen procesos maliciosos que intentan parecer normales cambiando una letra, un número o incluso la ubicación del archivo. MITRE ATT&CK describe precisamente esta técnica como masquerading: hacer que un archivo o proceso parezca legítimo manipulando su nombre o su ubicación.
En esta guía vas a ver:
- qué nombres o patrones conviene revisar,
- qué rutas son sospechosas según el contexto,
- y qué comprobaciones hacer antes de tocar nada.
Importante: esta página no sustituye un análisis completo. Sirve para ayudarte a detectar señales y revisar con criterio.
No uses esta tabla como una “lista negra”.
Úsala así:
Primero, localiza el proceso en el Administrador de tareas.
Después, abre su ubicación.
Luego mira sus propiedades.
Y por último, decide si varias señales no cuadran al mismo tiempo.
Ese orden encaja con las herramientas oficiales de Windows y con Sysinternals: el Administrador de tareas te deja revisar procesos y aplicaciones de inicio, Process Explorer amplía la información del proceso, y Autoruns te ayuda a revisar desde dónde se lanza al arrancar Windows.
Estos ejemplos no significan “virus confirmado”. Lo que significan es: “esto merece revisión inmediata”.
El patrón más común es muy simple: el proceso intenta parecerse a uno real de Windows, pero no coincide exactamente.
Tabla recomendada
| Nombre que ves | Proceso real al que se parece | Por qué merece revisión | Qué hacer |
|---|---|---|---|
svch0st.exe | svchost.exe | Cambia la letra “o” por un cero | Revisar ruta, propiedades y editor |
scvhost.exe | svchost.exe | Cambia el orden de letras | Abrir ubicación y comprobar si encaja |
lsasss.exe | lsass.exe | Añade una letra extra | Ver propiedades y comportamiento |
csrsss.exe | csrss.exe | Añade una letra extra | Revisar ruta y si reaparece |
expl0rer.exe | explorer.exe | Sustituye una letra por un número | Comprobar ruta y firma |
rundllI32.exe | rundll32.exe | Usa una “I” parecida a una “l” | Confirmar propiedades y contexto |
Texto de apoyo
La idea importante no es memorizar seis nombres.
La idea importante es detectar el patrón:
si se parece demasiado a un proceso real, pero no es exactamente igual, revísalo.
Eso encaja con la técnica de masquerading documentada por MITRE, donde un archivo o recurso intenta pasar por legítimo usando nombres o ubicaciones parecidas a las reales.
Estos ejemplos no significan “virus confirmado”. Lo que significan es: “esto merece revisión inmediata”.
El patrón más común es muy simple: el proceso intenta parecerse a uno real de Windows, pero no coincide exactamente.
1. Mira el nombre
¿Coincide exactamente con uno conocido o parece una copia mal escrita?
2. Abre la ubicación del archivo
Comprueba si está donde tendría sentido que estuviera.
3. Entra en Propiedades
Busca nombre del programa, detalles y editor.
4. Comprueba si vuelve al reiniciar
Si reaparece, probablemente se está lanzando automáticamente.
5. Revisa el arranque automático
Windows permite ver aplicaciones de inicio desde el Administrador de tareas, y Autoruns amplía mucho más esa revisión mostrando entradas de inicio de sesión, servicios, Winlogon y otras categorías de autoarranque.
6. No borres por intuición
Primero comprueba. Después decide.
Administrador de tareas
Te sirve para localizar procesos activos y revisar aplicaciones de inicio. Microsoft indica que la pestaña de inicio muestra también el impacto de cada app sobre el arranque.
Process Explorer
Es la versión avanzada para analizar procesos. Microsoft lo describe como una herramienta que muestra procesos activos, cuentas propietarias, DLLs cargadas y una búsqueda potente para saber qué proceso tiene abierto qué archivo o directorio.
Autoruns
Es la herramienta más útil cuando algo reaparece al arrancar Windows. Microsoft la describe como una utilidad que muestra extensiones de Explorer, barras de herramientas, objetos auxiliares del navegador, notificaciones de Winlogon, servicios de inicio automático y mucho más.
ERRORES MUY COMUNES
No des por hecho que un nombre raro es malware.
No asumas que todo lo que está en AppData es malo.
No pienses que ProgramData significa automáticamente infección.
No borres un proceso solo porque consume recursos.
No confundas varios procesos iguales con un problema, porque algunas aplicaciones abren varios subprocesos de forma normal.
La clave no es “adivinar”, sino acumular señales antes de actuar. Ese enfoque está mucho más alineado con cómo se detecta una suplantación de nombre o ubicación
FAQ
¿Un proceso en AppData es siempre peligroso?
No. AppData\Roaming y AppData\Local son rutas normales para muchas aplicaciones. Lo sospechoso es que un archivo con nombre de componente interno de Windows aparezca ahí sin una explicación lógica.
¿Y si está en Temp?
Tampoco confirma nada por sí solo, pero un ejecutable activo en %USERPROFILE%\AppData\Local\Temp merece una comprobación más seria. Microsoft documenta esa ruta como carpeta temporal del usuario.
¿Cómo miro qué se inicia con Windows?
Puedes verlo desde el Administrador de tareas y también desde las carpetas Startup. Microsoft documenta tanto la carpeta del usuario como la carpeta común para todos los usuarios.
¿Qué hago si el proceso vuelve después de reiniciar?
Eso apunta a persistencia. En ese caso tiene mucho sentido revisar aplicaciones de inicio y usar Autoruns para localizar desde dónde se lanza