El equipo puede hacer ruido, calentarse y funcionar con lentitud por razones habituales: un juego exigente, edición de vídeo, decenas de pestañas en el navegador, un portátil antiguo con polvo en su interior. Pero si los ventiladores aceleran sin una carga visible, el procesador o la tarjeta gráfica están ocupados casi constantemente, y la batería del portátil se agota en una hora, conviene comprobar el sistema en busca de minero oculto.
minero oculto - es un programa que utiliza los recursos de un equipo ajeno para extraer criptomoneda sin el consentimiento del propietario. El código malicioso no tiene por qué robar archivos ni bloquear la pantalla. Necesita otras cosas: procesador, tarjeta gráfica, electricidad y acceso a la red. Para el usuario el resultado se nota por el calentamiento, la lentitud, el consumo extra de energía y el desgaste acelerado del hardware.
En el uso cotidiano a esta amenaza se la suele llamar virus-minero. Técnicamente puede ser un troyano, un programa potencialmente no deseado, un script en el navegador, un módulo en una versión pirata, un servicio de Windows o un minero legítimo ejecutado sin permiso. Lo importante no es la etiqueta, sino el comportamiento: el programa realiza cálculos para una cartera ajena y se oculta al usuario.
A los mineros les gusta camuflarse. Un proceso puede llamarse casi como uno del sistema, otro ocultarse en la carpeta AppData, otro iniciarse mediante el Programador de tareas, y otro terminarse al abrir el Administrador de tareas. Por eso la comprobación no debe reducirse a una sola mirada a la lista de procesos.
Cómo funciona un minero oculto
La minería es trabajo computacional por el que la red de una criptomoneda paga una recompensa. Los mineros habituales ejecutan en su equipo programas especiales, pagan la electricidad y obtienen beneficio si los cálculos son rentables. El minero oculto traslada los costes a un equipo ajeno.
El programa malicioso se conecta a un pool de minería. Un pool es un servicio donde muchos participantes unen potencia de cálculo y reparten la recompensa. El equipo de la víctima recibe tareas, calcula hashes y envía los resultados de vuelta. Un hash en este contexto es un resultado corto de un cálculo matemático que es difícil de adivinar sin muchas pruebas.
Unos mineros sobrecargan más el procesador, otros la tarjeta gráfica. CPU es el procesador central, que ejecuta las tareas generales del sistema. GPU es la unidad de procesamiento gráfico, es decir, la tarjeta gráfica, que maneja bien un gran número de cálculos repetitivos. Por eso un PC de juego infectado con una tarjeta gráfica potente interesa más al atacante que un portátil de oficina antiguo.
Parte de los mineros utiliza programas legales existentes, por ejemplo XMRig, pero los ejecuta sin el permiso del propietario. El propio minero puede ser una herramienta legítima si el usuario decide minar criptomoneda. El problema comienza cuando el programa se instala en secreto, se esconde en el inicio automático y se vincula a una cartera ajena.
Para mantenerse más tiempo oculto, el minero limita la carga. Por ejemplo, durante el día usa 20–30% del procesador, por la noche acelera más, al iniciar un juego reduce su actividad y al abrir el Administrador de tareas termina el proceso o cambia de nombre. Esta precaución hace que la infección sea menos perceptible.
Cómo llega un minero al equipo
La vía más frecuente son programas pirata, cracks, activadores, mods y repacks de juegos. El usuario descarga un archivo comprimido, ve la instrucción de desactivar el antivirus, ejecuta un archivo como administrador y así proporciona al código malicioso los permisos necesarios. Tras la instalación el juego o programa puede incluso funcionar, y el minero queda como un «bonus» no deseado.
La segunda vía son instaladores falsos. En un sitio duplicado ofrecen descargar un controlador, una VPN, un conversor de vídeo, un compresor, un reproductor, un programa para PDF o una actualización del navegador. El instalador puede mostrar ventanas habituales, pero paralelamente añadir un servicio, una tarea en el Programador de tareas y un archivo en AppData o ProgramData.
El tercer caso son los archivos adjuntos y los enlaces en correos. El código malicioso se oculta en archivos comprimidos, en imágenes ISO, accesos directos .lnk, scripts .js, .vbs, .ps1, documentos con macros o archivos con doble extensión. Los mineros a menudo no vienen solos: primero se ejecuta un troyano descargador que luego descarga el minero, un módulo espía o una puerta trasera.
Otra fuente son las extensiones del navegador y sitios dudosos. La minería desde el navegador es menos frecuente que hace unos años, pero no ha desaparecido por completo. Un script malicioso funciona mientras la página esté abierta o la extensión activa. Este caso normalmente no sobrevive al cierre del navegador, pero puede calentar mucho un portátil mientras está en funcionamiento.
| Fuente de infección | Cómo se presenta | Qué debe alertar |
|---|---|---|
| Crack o activador | Archivo comprimido con contraseña, instrucción de desactivar la protección | Petición de desactivar el antivirus y ejecutar como administrador |
| Repack de juego | Instalador grande de un foro o servicio de intercambio de archivos | Autor desconocido, instaladores adicionales, servicios extraños tras la instalación |
| Controlador falso | Sitio que promete actualizar la tarjeta gráfica o el sonido | La dirección no pertenece al fabricante del dispositivo |
| Extensión del navegador | Función sencilla, pero acceso a todos los sitios | Alta carga que aparece solo con el navegador abierto |
| Troyano descargador | Correo, archivo comprimido, documento, script | Tras la ejecución aparecen procesos nuevos y conexiones de red |
Qué señales delatan un minero oculto
Una sola señal no prueba una infección. La tarjeta gráfica puede calentarse tras actualizar el controlador, el procesador por indexación de archivos, el ventilador por polvo. Pero la combinación de alta carga, procesos desconocidos, actividad de red y un inicio automático extraño ya requiere una comprobación.
La señal más clara es la carga sin motivo. Abra el Administrador de tareas con Ctrl + Shift + Esc y vea la pestaña Procesos. Si no hay nada pesado en ejecución y la CPU o la GPU se mantienen en valores altos, hay que averiguar quién está consumiendo los recursos. En la pestaña Rendimiento se observa el panorama general del procesador, memoria, disco, red y tarjeta gráfica.
Una aclaración importante: algunos mineros vigilan el Administrador de tareas y reducen la actividad al abrirlo. Si el equipo hace ruido pero en el momento de la comprobación la carga cae de forma brusca, no es prueba de infección, pero sí motivo para investigar más con Process Explorer, Autoruns, los registros y la actividad de red.
El minero oculto a menudo se delata por la noche o en reposo. El usuario se aleja, la pantalla se apaga y los ventiladores siguen funcionando. La batería del portátil se agota rápido, la carcasa se calienta con las aplicaciones cerradas, los juegos empiezan a ir lentos y se oye el funcionamiento de la tarjeta gráfica. Suena cotidiano, pero estos signos son frecuentemente los primeros que se detectan sin utilidades.
- CPU o GPU cargadas sin programas pesados abiertos.
- Ventiladores ruidosos en reposo, portátil que se descarga rápido y se calienta.
- El proceso desaparece o reduce la carga al abrir el Administrador de tareas.
- En el inicio automático aparecen entradas desconocidas desde AppData, Temp o ProgramData.
- El antivirus informa sobre coinminer, riskware, hacktool, trojan o potentially unwanted app.
- La red está activa aunque el navegador, juegos y gestores de descargas estén cerrados.
Cómo encontrar un minero en Windows
Es mejor empezar con las herramientas habituales de Windows. En el Administrador de tareas ordene los procesos por CPU, luego por GPU, memoria y consumo de energía. Para la GPU a veces es necesario añadir la columna GPU Engine: muestra qué parte de la tarjeta gráfica se está usando. En un juego o editor de vídeo auténtico la causa es evidente, mientras que un archivo desconocido desde una carpeta temporal ya resulta sospechoso.
Al hacer clic derecho en un proceso aparecen acciones útiles: Abrir ubicación del archivo, Propiedades, Buscar en Internet. La ubicación es importante. Un archivo en Program Files con firma digital de un fabricante conocido y un archivo en C:Users
ombreAppDataRoamingabc123 se comportan de forma distinta. La firma tampoco garantiza al 100%, pero un archivo sin firmar con un nombre extraño merece una inspección más detenida.
Para una inspección más detallada de procesos conviene usar Sysinternals Process Explorer. En él se puede ver el árbol de procesos, la ruta del archivo, la línea de comandos de inicio, la firma, las bibliotecas cargadas y las relaciones entre procesos. En el menú Options está Verify Image Signatures, además de la integración con VirusTotal si el usuario acepta las condiciones del servicio. Con archivos de trabajo privados en VirusTotal hay que ser cauteloso: al enviar un archivo puede ir a un servicio externo.
Si un proceso sospechoso vuelve tras reiniciar, hay que revisar el inicio automático. Sysinternals Autoruns muestra muchos más puntos de inicio que la pestaña Inicio del Administrador de tareas: servicios, controladores, tareas programadas, extensiones de shell, entradas de inicio de sesión, AppInit DLLs, Winlogon y otros lugares. Es cómodo empezar con Options → Hide Microsoft Entries y Options → Verify Code Signatures.
La actividad de red se puede comprobar con el Monitor de recursos. Abra Administrador de tareas → Rendimiento → Abrir Monitor de recursos → Red. Si un proceso desconocido mantiene conexiones constantes con direcciones externas, anote el nombre del archivo y la ruta. Los mineros suelen comunicarse con el pool por puertos TCP habituales, por lo que un solo número de puerto rara vez da la respuesta completa.
| Dónde mirar | Qué buscar | Qué hacer con el hallazgo |
|---|---|---|
| Administrador de tareas | Alta CPU, GPU, consumo de energía | Abrir la ubicación del archivo y comprobar la firma |
| Process Explorer | Árbol de procesos, línea de comandos, firma | Comparar la ruta, el editor y el comportamiento del proceso |
| Autoruns | Servicios, tareas, inicio automático desde carpetas extrañas | Primero desactivar la entrada, no eliminar elementos del sistema a la ligera |
| Monitor de recursos | Proceso desconocido con conexiones de red | Anotar la ruta del archivo y comprobarlo con un escáner |
| Seguridad de Windows | Registro de protección y amenazas detectadas | Eliminar la amenaza o ponerla en cuarentena |
Cómo eliminar un minero oculto
Si el minero ya está en ejecución, es mejor primero desconectar el equipo de Internet. Así el programa malicioso pierde comunicación con el pool y con el servidor de control. No conviene eliminar archivos al azar de System32 o del registro. Primero hay que entender qué se ha encontrado, dónde está el archivo y cómo se inicia tras un reinicio.
La comprobación básica empieza con la aplicación Seguridad de Windows. Abra Configuración → Privacidad y seguridad → Seguridad de Windows → Protección contra virus y amenazas. Revise las Actualizaciones de protección y luego abra la Configuración de análisis.
- Ejecute el análisis rápido para revisar los lugares típicos de infección.
- Después, active el análisis completo si la carga o los procesos sospechosos persisten.
- Para una carpeta concreta use el análisis personalizado.
- Si hay indicios de persistencia oculta, seleccione el análisis sin conexión de Microsoft Defender.
- Tras el reinicio abra el Registro de protección y asegúrese de que la amenaza fue eliminada o puesta en cuarentena.
Microsoft Defender Offline es útil si el minero dificulta el análisis desde Windows en funcionamiento, se oculta en el inicio automático o va acompañado de un troyano. El análisis se ejecuta antes de la carga habitual del sistema, por lo que al código malicioso le resulta más difícil ocultar sus procesos.
Si el análisis integrado no detecta nada y los signos persisten, use un escáner de segunda opinión. Kaspersky Virus Removal Tool sirve para una comprobación puntual y para limpiar una Windows infectada. Dr.Web CureIt! también funciona como utilidad de curación sin instalación completa, pero para bases de firmas recientes es mejor descargarla de nuevo desde el sitio oficial. Si Windows no arranca bien o el malware impide la limpieza, ayuda Kaspersky Rescue Disk.
| Herramienta | Para qué sirve | Restricción importante |
|---|---|---|
| Microsoft Defender Offline | Análisis antes de la carga habitual de Windows | Requiere reinicio y guardar los archivos abiertos |
| Sysinternals Process Explorer | Búsqueda de procesos sospechosos y comprobación de sus propiedades | No elimina la amenaza por sí solo; hace falta análisis cuidadoso |
| Sysinternals Autoruns | Búsqueda de elementos de inicio, servicios y tareas del minero | Se puede dañar el sistema si se eliminan entradas sin criterio |
| Kaspersky Virus Removal Tool | Comprobación puntual y limpieza de Windows infectado | No sustituye la protección permanente en tiempo real |
| Dr.Web CureIt! | Comprobación sin instalar un antivirus completo | Para bases de firmas recientes es mejor descargar la utilidad de nuevo |
| Kaspersky Rescue Disk | Análisis desde una memoria de arranque en infecciones graves | Es necesario grabar la imagen y arrancar desde el medio |
Qué comprobar después de la eliminación
Si el minero fue eliminado pero la causa de la infección permanece, el problema puede volver. Empiece por el inicio automático. En el Administrador de tareas abra la pestaña Inicio y desactive los elementos desconocidos. Luego revise Autoruns, especialmente Logon, Scheduled Tasks, Services y Drivers. Conviene desactivar entradas sospechosas primero y no borrarlas de inmediato.
Revise los navegadores. Elimine extensiones desconocidas, restablezca el motor de búsqueda y compruebe los permisos de sitios para notificaciones. Si la carga aparecía solo con el navegador abierto, la causa puede ser una extensión o una pestaña con un script malicioso, no un programa independiente de Windows.
En la lista de aplicaciones instaladas elimine programas que aparecieron antes del problema: optimizadores dudosos, gestores de controladores, instaladores, VPN desconocidas, barras para el navegador y repacks. Tras la eliminación reinicie el equipo y vuelva a revisar la CPU, GPU, red e inicio automático.
Si el minero llegó junto con un troyano, las cuentas pueden haber sufrido. Desde un equipo limpio cambie las contraseñas del correo, mensajería, banca, tiendas, servicios de juegos y entornos de trabajo. En la configuración de los servicios importantes cierre sesiones activas y active la autenticación de dos factores.
Si el proceso vuelve tras cada limpieza, los escáneres no se inician, la protección de Windows se desactiva sola o aparecen controladores desconocidos, es más seguro guardar documentos y reinstalar Windows con una imagen oficial. No vuelva a introducir cracks, instaladores antiguos ni archivos comprimidos sospechosos.
Cómo reducir el riesgo de una nueva infección
Los mineros ocultos siguen un esquema sencillo: el usuario ejecuta un archivo dudoso y después el sistema realiza trabajo para terceros. Por eso la principal medida de protección es no permitir que el código malicioso se inicie. El antivirus ayuda, pero no debe ser la única barrera.
En Windows 10 y Windows 11 verifique la protección contra aplicaciones potencialmente no deseadas. Abra Seguridad de Windows → Protección de aplicaciones y el navegador → Protección basada en reputación. Allí debería estar activada la bloquear aplicaciones potencialmente no deseadas, así como la comprobación de aplicaciones y archivos mediante SmartScreen.
Descargue programas desde sitios oficiales, Microsoft Store o las páginas de los desarrolladores. Para controladores use los sitios de NVIDIA, AMD, Intel, el fabricante del portátil o Windows Update. Evite instaladores desde resultados publicitarios, servicios de intercambio de archivos y foros aleatorios, especialmente si el archivo comprimido tiene contraseña.
- No desactive el antivirus por un crack, mod, activador o repack.
- No ejecute archivos .exe, .scr, .js, .vbs, .ps1 y .lnk provenientes de correos o archivos comprimidos sin verificarlos.
- Mantenga Windows, el navegador, el controlador de la tarjeta gráfica y el compresor actualizados.
- Revise las extensiones del navegador y elimine las que no use.
- Use una cuenta estándar para el trabajo diario y eleve a administrador solo cuando sea necesario.
- Haga copias de seguridad de los archivos importantes en un lugar separado del equipo principal.
Preguntas frecuentes
¿Un minero oculto siempre es peligroso para los archivos? El propio minero suele no cifrar ni eliminar documentos. Pero con frecuencia llega acompañado de un troyano, descargador o módulo espía, por lo que hay que revisar no solo la carga sino todo el sistema.
Si un proceso carga la tarjeta gráfica, ¿es seguro que sea un minero? No. La tarjeta gráfica la usan juegos, navegadores, editores de vídeo, programas de redes neuronales, aceleración por hardware y servicios del controlador. La sospecha surge cuando la carga proviene de un archivo desconocido, especialmente desde AppData, Temp o una carpeta extraña.
¿Se puede simplemente terminar el proceso? Terminar el proceso produce un efecto temporal. Si el minero se ha fijado en el inicio automático, en un servicio o en el Programador de tareas, volverá tras el reinicio. Hace falta encontrar el archivo, el mecanismo de inicio y analizar el sistema con un escáner.
¿Por qué el minero desaparece del Administrador de tareas? Algunos programas maliciosos detectan el inicio de taskmgr.exe y temporalmente reducen la carga o terminan el proceso. En ese caso ayudan Process Explorer, Autoruns, el análisis sin conexión y escáneres de segunda opinión.
¿Es necesario reinstalar Windows? No siempre. Si un escáner eliminó el minero, el inicio automático está limpio, la carga desapareció y la protección funciona correctamente, basta con analizar y cambiar las contraseñas. Si el código malicioso vuelve, desactiva la protección o instala controladores, una instalación limpia es más fiable.
