¿Tu equipo está lento, muestra conexiones de red inusuales o tiene procesos consumiendo recursos sin explicación? Es posible que estés frente a un caso de procesos fantasma: ejecutables ocultos, inyectados o sin presencia física en el disco que podrían estar comprometiendo tu sistema.
En este artículo te explicamos cómo identificarlos utilizando herramientas nativas de Windows, como PowerShell y el paquete Sysinternals de Microsoft.
🔍 ¿Qué son los procesos fantasma?
Un proceso fantasma es una instancia que se ejecuta en el sistema sin un archivo binario asociado visible en el disco. Estos procesos suelen ser el resultado de técnicas avanzadas de evasión, como:
- DLL Hijacking
- Process Hollowing
- Inyección en memoria (Reflective Injection)
Estas técnicas permiten que un atacante ejecute código malicioso sin dejar rastro evidente, eludiendo antivirus y otras medidas tradicionales de seguridad.
🛠️ Herramientas necesarias
- PowerShell (incluido en Windows)
- Sysinternals Suite: incluye Process Explorer, Autoruns, TCPView y más.
⚙️ Paso a paso: Cómo detectar procesos ocultos
✅ 1. Detecta procesos sin ruta con PowerShell
Primero, abrimos PowerShell como administrador y ejecutamos los siguientes comandos:
powershellCopiarEditar# Procesos sin binario en disco (ExecutablePath vacío)
Get-WmiObject Win32_Process | Where-Object { $_.ExecutablePath -eq $null } |
Select-Object ProcessId, Name, CommandLine
powershellCopiarEditar# Módulos no firmados o sospechosos cargados en procesos
Get-Process | ForEach-Object {
$_.Modules | Where-Object {
$_.FileVersionInfo.FileDescription -eq "" -or
$_.FileVersionInfo.CompanyName -notmatch "Microsoft"
}
}
Estos comandos permiten detectar procesos cargados directamente en memoria o que han modificado sus módulos para evitar la detección.
✅ 2. Analiza en tiempo real con Process Explorer
Una vez descargado Process Explorer:
- Examina los procesos que no deberían tener hijos (por ejemplo,
explorer.exeejecutandocmd.exe). - Haz clic derecho sobre un proceso sospechoso → Strings: busca URLs, rutas o direcciones IP que no deberían estar ahí.
- Observa los handles abiertos: archivos, claves de registro, o recursos sensibles en uso por procesos inesperados.
✅ 3. Revisa persistencia con Autoruns
Autoruns muestra todas las ubicaciones donde el malware puede configurarse para ejecutarse automáticamente:
- En la pestaña Everything, busca DLLs en rutas inusuales como
%TEMP%,%AppData%, o sin firma digital. - En la pestaña Logon, inspecciona claves como
RunoWinlogonen busca de entradas desconocidas.
🔎 Indicadores de Compromiso (IOCs) comunes
- Nombres de procesos falsos:
svch0st.exe(cero) en lugar desvchost.exe. - Módulos cargados desde rutas sospechosas: como
C:\Tempo%LocalAppData%\Temp. - Conexiones activas sin justificación aparente: usa TCPView para ver qué procesos están comunicándose externamente.
🛡️ Recomendaciones para el Blue Team
🔔 Reglas de monitoreo (SIEM/Sentinel)
- Alerta si
powershell.execarga DLLs sin firma. - Detección de procesos sin
ExecutablePath.
🔐 Hardening del sistema
- Bloquea ejecución desde
%TEMP%mediante Software Restriction Policies (SRP) o Windows Defender Application Control (WDAC). - Activa auditoría avanzada (Event ID 4688) para registrar cada nuevo proceso.
⚠️ Respuesta rápida
- Usa Process Explorer → clic derecho → Kill Process Tree para eliminar procesos maliciosos junto con sus descendientes.
🎯 Conclusión
Los procesos fantasma son una de las formas más sigilosas de persistencia y ejecución maliciosa en Windows. No dejan rastros en disco, escapan de muchas soluciones antivirus y requieren de técnicas más avanzadas para ser detectados.
Por suerte, PowerShell y Sysinternals te brindan todo lo necesario para sacarlos a la luz.
“Lo que no puedes ver, sí puede hacerte daño. Por suerte, ahora tienes las herramientas para hacerlo visible.”
📌 ¿Te gustaría más contenido técnico como este?
Suscríbete a nuestro boletín para recibir guías, scripts y técnicas de defensa actualizadas para profesionales de ciberseguridad.
