Cada año, miles de españoles conviven con un intruso digital en su bolsillo o en su escritorio. No entra por la ventana. No rompe ningún cerrojo. Entra silencioso, invisible, y se queda. Esta es la guía que ningún fabricante quiere que tengas.
Era martes por la tarde cuando Lucía notó que la batería de su teléfono se agotaba antes de mediodía. Llevaba semanas así. Pensó que era cosa de la edad del terminal. Llamó a su operadora. Le dijeron que era normal.
No era normal.
Cuando el dispositivo llegó a nuestro laboratorio, el análisis reveló tres aplicaciones ejecutándose en segundo plano. Ninguna aparecía en su lista de apps instaladas. Una de ellas llevaba cuarenta y dos días enviando capturas de pantalla a un servidor ubicado en las Islas Caimán.
Cuarenta y dos días.
El problema que nadie te explica bien
Cuando alguien nos llega con la sospecha de haber sido hackeado, lo primero que le preguntamos es cómo lo sabe. La respuesta más frecuente es la más inquietante: «Lo noto».
Y tienen razón. El cuerpo humano detecta patrones antes de que el cerebro los procese. La batería que dura menos. El teléfono que se calienta sin motivo. Las páginas que cargan más despacio. El cursor que a veces se mueve solo.
Estas no son paranoias. Son indicadores de compromiso. Y tienen nombre técnico, tienen solución y, lo más importante, dejan huellas que un perito puede leer como un libro abierto.
El problema es que la mayoría de la gente comete exactamente los mismos errores cuando sospecha que algo va mal. Errores que no solo no resuelven el problema, sino que destruyen la única prueba que podría identificar al culpable.
Vamos a arreglarlo.
Primero: entiende qué está pasando realmente
Hay dos escenarios completamente distintos y el protocolo de actuación es diferente en cada uno.
Escenario A — El teléfono. Aquí el análisis forense requiere enviar el dispositivo al laboratorio. No es negociable. Las apps espía en móviles están diseñadas para ser indetectables a simple vista, se camuflan con nombres que imitan servicios del sistema y operan con permisos que el usuario otorgó sin saberlo durante alguna instalación aparentemente inocente. El laboratorio las encuentra, las documenta y emite un informe técnico que después el perito convierte en dictamen admisible ante un juez.
Escenario B — El ordenador. Aquí sí podemos actuar con comandos directos. Y esto es lo que vamos a explicar ahora con la precisión que el tema merece.
El método del perito: ver lo que nadie más ve
Si usas Windows
El primer nivel de análisis no requiere instalar nada. Windows lleva integradas herramientas de diagnóstico que el 99% de los usuarios nunca ha abierto.
El Administrador de Dispositivos (Win + X → Administrador de dispositivos) muestra el árbol completo del hardware conectado a tu equipo: teclados, ratones, discos, controladoras de audio, adaptadores de red. Si ves un dispositivo que no reconoces o un identificador duplicado, ya tienes la primera bandera roja.
Para un inventario más limpio y forense, abre PowerShell y escribe:
Get-PnpDevice -PresentOnly | Select-Object FriendlyName, InstanceId
Esto te mostrará exclusivamente los dispositivos físicamente conectados en este momento. Sin ruido. Sin historial. Solo lo que hay ahora mismo.
El truco de los keyloggers físicos: los atacantes que quieren interceptar lo que escribes a veces instalan un pequeño dispositivo entre tu teclado y el puerto USB del ordenador. Parece un adaptador normal. El Administrador de Dispositivos lo revelará si sabes qué buscar: un ID duplicado o un dispositivo HID (Human Interface Device) que no reconoces. Los teclados y ratones legítimos nunca tienen actividad de red propia. Si ves uno que la tiene, ya no necesitas más pruebas.
Si usas macOS
Menú Apple → Acerca de este Mac → Más información → Informe del sistema. Tienes el mapa completo de tu hardware en dos clics.
Para los puertos USB específicamente, abre Terminal y escribe:
system_profiler SPUSBDataType
Si usas Linux
Lsusb: para dispositivos USB. lspci para los componentes conectados directamente a la placa base. Directo y quirúrgico.
Nivel 2: cazar la conexión no autorizada
Ver qué hardware tienes conectado es el primer nivel. El segundo — y el que realmente revela si alguien está robando tus datos en este momento — es monitorizar el tráfico de red en tiempo real.
Esto es lo que los peritos llamamos análisis de exfiltración activa.
El rastreo rápido: Netstat
Sin instalar nada. Abre PowerShell como Administrador y escribe:
netstat -abno 5
El 5 hace que la lista se actualice cada cinco segundos. Lo que estás viendo es un registro en tiempo real de todas las «conversaciones» que tu ordenador mantiene con el exterior. Cada línea muestra un proceso, una IP de destino y el estado de la conexión.
Lo que buscas específicamente:
- Procesos con nombres numéricos o aleatorios enviando datos
- Ejecutables que reconoces (como explorer.exe) pero que tienen actividad de red cuando no debería haberla
- Conexiones en estado ESTABLISHED hacia IPs que no sabes identificar
Cuando encuentres una IP sospechosa, no hagas nada todavía. Primero pásala por tres filtros:
- VirusTotal (pestaña IP Address)
- AbuseIPDB y
- Cisco Talos Intelligence.
Si la IP aparece en cualquiera de estos tres como fuente de malware, ataque de fuerza bruta o botnet conocida, tienes una confirmación técnica.
El análisis visual: Monitor de Recursos
Para quienes prefieren ver los datos gráficamente: Ctrl + Shift + Esc → pestaña Rendimiento → Monitor de Recursos → pestaña Red.
La sección «Procesos con actividad de red» es tu objetivo. Observa durante dos minutos. Si al conectar un dispositivo USB aparece un proceso nuevo enviando kilobytes de forma constante y regular, eso se llama beaconing — el «latido» que el malware envía a su servidor de control cada X minutos para confirmar que sigue activo y para transmitir datos robados.
El estándar de oro: Wireshark
Para una auditoría seria, usamos Wireshark. Es el analizador de protocolos de referencia mundial — gratuito, open source y el mismo que usan los equipos de respuesta a incidentes de las grandes corporaciones.
Captura cada paquete de datos que entra y sale de tu red. Una vez abierto, aplica el filtro: ip.src == [TU_IP_LOCAL]
Lo que buscas:
- Tráfico IRC (puerto 6667): protocolo obsoleto para usuarios normales, favorito de las botnets antiguas como canal de Comando y Control
- Puerto 4444: firma clásica de Metasploit, el framework de explotación más popular entre atacantes
- DNS Tunneling: paquetes DNS saliendo hacia servidores que no son los tuyos, con nombres de dominio sospechosos. Es una técnica que camufla el robo de datos como simples consultas web — prácticamente invisible para los firewalls básicos
- Domain Fronting: conexiones a IPs de Amazon AWS o Cloudflare generadas por procesos que no deberían tener acceso a internet. Los atacantes usan infraestructura legítima de grandes proveedores para esconder su tráfico entre millones de peticiones normales
El diccionario del atacante: lo que debes saber reconocer
Los puertos que los troyanos más frecuentes utilizan como puerta de salida:
| Puerto | Significado |
| 4444 | Metasploit — firma de ataque automatizado |
| 6667 | IRC — canal de control de botnets |
| 3174 / 3175 | Troyanos históricos tipo SubSeven |
| 8000 / 8080 / 8888 | Proxies y túneles disfrazados de tráfico web |
Los dominios que actúan como «casa» del malware casi siempre terminan en .no-ip.org, .zapto.org, .duckdns.org o .ddns.net. Son servicios de DNS dinámico gratuitos que los atacantes usan para ocultar su IP real detrás de un dominio que siempre apunta a donde ellos estén.
Si la IP pertenece a DigitalOcean, Linode, OVH o Vultr y tú no tienes servicios contratados con ninguno de ellos, es una señal de alerta seria. Los atacantes alquilan estos servidores por horas o días — lo suficiente para completar la exfiltración y desaparecer.
Lo que NUNCA debes hacer si confirmas el ataque
Este es el punto donde más se destruye evidencia. Y sin evidencia, no hay juicio posible.
No apagues el ordenador. La memoria RAM contiene el proceso activo del troyano, las claves de cifrados temporales que está usando y las credenciales que está extrayendo en este momento. Al apagar, todo eso desaparece para siempre. El 90% de la prueba forense vive en la RAM.
No cierres el proceso desde el Administrador de Tareas. El malware moderno incluye procesos vigilantes (watchdogs) que detectan el cierre de su proceso principal y activan scripts de autodestrucción. En algunos casos, activan wipers que borran el disco completo en segundos.
No uses ese ordenador para investigar la IP sospechosa. Si el atacante tiene acceso a tu sistema y ves que estás visitando páginas de reputación de IPs o foros de ciberseguridad desde el equipo comprometido, sabe que lo has descubierto. Tienes entre cinco y quince minutos antes de que active el protocolo de limpieza.
El protocolo correcto: PEA-01
Cuando confirmas una exfiltración activa, la secuencia es esta y en este orden:
Paso 1 — Documenta antes de tocar nada. Saca el móvil y fotografía la pantalla mostrando la conexión sospechosa en el netstat o en el Monitor de Recursos. Es tu primera prueba. La hora exacta de esa fotografía es un dato pericial.
Paso 2 — Desconexión física de red. Retira el cable Ethernet o apaga el router. No desactives el wifi desde el sistema operativo — eso lo puede ver el malware. Corta físicamente la señal. El equipo sigue encendido, la evidencia sigue viva, pero el grifo de datos está cerrado.
Paso 3 — Captura de RAM. Conecta un disco externo limpio y ejecuta FTK Imager Lite o DumpIt — herramientas portables que no requieren instalación. El dump de memoria RAM te dará el binario del troyano, las credenciales que estaba enviando y, a menudo, las IPs completas de su infraestructura de control.
Paso 4 — Triage de volátiles. Mientras la RAM se captura, ejecuta KAPE o Velociraptor para registrar los últimos archivos modificados, las entradas de persistencia en el registro de Windows y los procesos activos con sus rutas completas.
Paso 5 — Precintado y acta pericial. Una vez capturada la evidencia digital, se procede al precintado físico del dispositivo y se inicia el acta detallando la IP de destino, el volumen estimado de datos exfiltrados y la hora exacta del aislamiento. Este documento es lo que después sostiene el dictamen ante el juez bajo los criterios de la Sentencia 571/2025 del Tribunal Supremo.
La hoja de trabajo del perito: atajos que ahorran minutos en campo
En una auditoría de campo, cada segunda cuenta. Esta es la selección de combinaciones que un perito judicial informático debe tener automatizadas:
Protocolo de seguridad y custodia
Win + L — Bloqueo inmediato de estación. Innegociable cada vez que te separas del equipo auditado. Es cadena de custodia básica.
Ctrl + Shift + Esc — Administrador de Tareas directo. Sin menús intermedios, sin perder tiempo.
Win + P — Configuración de pantallas externas. Evita mostrar datos confidenciales en proyectores de sala de vistas.
Win + V — Historial del portapapeles. Recupera datos copiados anteriormente durante la investigación. Muchos peritos no saben que existe.
Acceso a herramientas forenses
Win + R y luego: eventvwr.msc (Visor de Eventos con todos los logs del sistema), diskmgmt.msc (Administración de Discos para detectar particiones ocultas), regedit (Editor de Registro para localizar persistencias del malware).
Win + X — Menú de administración avanzada. Acceso directo a PowerShell como Administrador y al Administrador de Dispositivos.
El atajo maestro del perito en campo: cuando estás dentro de una carpeta con miles de archivos y necesitas abrir un terminal en esa ruta exacta sin teclear toda la ruta manualmente, pulsa Alt + D, escribe powershell y presiona Enter. El terminal se abre directamente en esa ubicación. Ahorras entre treinta segundos y dos minutos por operación — en una auditoría de ocho horas, eso suma.
Captura y documentación de evidencias
Win + Shift + S — Recorte selectivo con anotación. La forma más rápida de documentar un hallazgo puntual con precisión quirúrgica.
Win + Alt + R — Grabación de pantalla nativa de Windows. Sin instalar software externo. Ideal para registrar comportamiento sospechoso en tiempo real.
Win + PrtSc — Captura total con guardado automático en Imágenes\Capturas de pantalla. Cada archivo incluye timestamp en el nombre.
Alt + PrtSc — Captura solo de la ventana activa. Limpia el ruido del escritorio en el informe pericial final.
Navegación de investigación
Ctrl + Shift + T — Reabrir la última pestaña cerrada. Crucial si cierras por error una página que contiene evidencia web.
F12 — Herramientas de Desarrollador. Para inspeccionar el código fuente de una web, detectar rastreadores ocultos, scripts sospechosos o descargar recursos protegidos para análisis.
Ctrl + Shift + N — Ventana de incógnito/InPrivate. Para investigar sin contaminar el historial del equipo auditado ni dejar cookies que alerten a un servidor malicioso.
La diferencia entre una víctima y un perito
Solo hay una: Es la sangre fría.
El atacante ya ha entrado. Eso no se puede cambiar. Lo que sí se puede cambiar es lo que ocurre a partir de ese momento: si la prueba se preserva o se destruye, si el caso llega a un juez con evidencia admisible o con capturas de pantalla tomadas después de haber reiniciado el equipo tres veces.
El malware no deja notas de rescate ni tarjetas de presentación. Deja logs, metadatos, timestamps, conexiones registradas en archivos de sistema que llevan ahí semanas esperando a que alguien sepa leerlos.
Nosotros sabemos leerlos.
Si sospechas que tu dispositivo o el de tu empresa ha sido comprometido, no toques nada. Llama primero. La ANTPJI realiza análisis forense de dispositivos móviles y ordenadores con informe pericial admisible en sede judicial. Primera consulta gratuita: presidente@antpji.com · +34 648 51 34 14 · www.antpji.com
