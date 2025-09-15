Te despiertas con una sospecha pequeña: el ventilador gira cuando no haces nada, el cursor se mueve raro un segundo, una ventana parpadea y desaparece. Antes de entrar en pánico, vas a empezar por donde empiezan los técnicos: descartando lo sencillo y avanzando, paso a paso, hacia lo que sí destapa espías.

Primer vistazo: cuentas de usuario

Abres Windows + R, escribes netplwiz y pulsas Enter. No es un detector mágico, pero sí te muestra quién tiene cuenta en tu equipo y si alguien ha activado el inicio de sesión automático.

Mira la lista de usuarios. ¿Reconoces todos los nombres? ¿Hay alguno que no debería existir con rol de Administrador ?

¿Reconoces todos los nombres? ¿Hay alguno que no debería existir con ? Fíjate en la casilla “Los usuarios deben escribir su nombre y contraseña para usar el equipo”. Si está desmarcada, alguien pudo dejar el PC listo para entrar sin pedir contraseña. Márcala y aplica cambios.

Comprobar privilegios y arranques

Con las cuentas revisadas, toca ver quién manda y qué se inicia a tus espaldas.

Quiénes son administradores

Abre Símbolo del sistema como administrador y ejecuta:

net user

net localgroup administrators

Si aparece un usuario que no debería, apúntalo.

Qué se inicia solo (y por qué)

Ctrl + Shift + Esc → Administrador de tareas → Inicio . Deshabilita lo que no reconoces .

→ . Deshabilita lo que . (Avanzado) Usa Autoruns de Microsoft Sysinternals para ver TODO lo que arranca (servicios, complementos, tareas). Si no sabes qué es, investiga el nombre antes de tocarlo.

Tareas programadas “fantasma”

Windows + R → taskschd.msc. Recorre la Biblioteca del Programador de tareas. Si ves algo con nombre raro que se ejecuta cada minuto, o al iniciar sesión, y no sabes qué es, deshabilítalo temporalmente y toma nota.

Conexiones que no mienten

Los programas espía viven de la red. Si hablan hacia fuera cuando no deberían, se nota.

Monitor en tiempo real

Windows + R → resmon → pestaña Red. Observa procesos con conexiones establecidas sin que estés usando Internet.

Mapa completo desde consola

CMD (admin):

netstat -abno

Verás conexiones y el proceso (PID) que las abre. Si un proceso desconocido mantiene conexiones persistentes a servidores raros, es mala señal. Cruza el PID con el Administrador de tareas para ver su ruta.

Puertas traseras típicas

Muchos intrusos no necesitan malware: bastan herramientas de control remoto mal configuradas o instaladas a escondidas.

Escritorio remoto : Configuración → Sistema → Escritorio remoto : debe estar Desactivado si no lo usas.

: Configuración → : debe estar si no lo usas. Asistencia Remota : Panel de control → Sistema → Configuración de acceso remoto → desmarca “Permitir Asistencia remota” .

: Panel de control → Sistema → → desmarca . Apps de control remoto: en Configuración → Apps → Aplicaciones instaladas, revisa si hay AnyDesk, TeamViewer, Chrome Remote Desktop, RustDesk, etc. Si no las usas, desinstálalas o cámbiales la contraseña y desactiva acceso desatendido.

Registros y huellas

Los espías suelen dejar marcas.

Visor de eventos (eventvwr.msc) → Registros de Windows → Seguridad : entradas de inicio de sesión 4624 (correctos) y 4625 (fallidos). Si ves inicios fuera de tu horario o desde cuentas recién creadas, toma capturas.

(eventvwr.msc) → : entradas de inicio de sesión (correctos) y (fallidos). Si ves inicios fuera de tu horario o desde cuentas recién creadas, toma capturas. Firewall avanzado (wf.msc): mira Reglas de entrada/salida por si han abierto puertos nuevos.

Escaneo serio: antes de Windows

Los buenos se esconden dentro del sistema. Para pillarlos, analiza fuera.

Seguridad de Windows → Protección contra virus y amenazas → Examen sin conexión de Microsoft Defender . El PC se reinicia y escanea antes de cargar Windows.

. El PC se reinicia y escanea de cargar Windows. Refuerza con un segundo escaneo de confianza (por ejemplo, un escáner bajo demanda reputado). No ejecutes dos antivirus residentes a la vez.

Señales de humo (contexto)

Nada es prueba única, pero varias pistas juntas pesan:

CPU/red activas sin motivo, sobre todo en reposo.

activas sin motivo, sobre todo en reposo. Ventanas que se abren y cierran al instante; ratón que se mueve solo.

que se abren y cierran al instante; que se mueve solo. Cuentas nuevas o tu cuenta degradada de Administrador a Estándar .

o tu cuenta degradada de a . Tareas programadas con nombres extraños y alta frecuencia.

Si confirmas algo raro: protocolo de contención

Desconecta Internet (Wi-Fi y cable). Desde otro dispositivo limpio, cambia contraseñas (correo, Microsoft, banca…). Copia tus documentos críticos. Haz escaneo offline y elimina lo detectado. Quita cuentas sospechosas y revoca membresías de Administrador no autorizadas. Si el daño es serio o vuelven a aparecer “cosas”: reinstalación limpia de Windows y solo restaurar documentos (no programas). Si sospechas delito (acceso sin permiso), denuncia y conserva evidencias (capturas, registros, fechas).

Recuerda, un solo indicio puede confundirte; tres o cuatro alineados cuentan una historia. Y ahí sí, el relato deja de ser paranoia para convertirse en pruebas.