Minero oculto en tu PC: cómo detectarlo y eliminarlo

Minero oculto en tu PC: cómo detectarlo y eliminarlo

Un minero oculto rara vez se comporta como un virus clásico: no bloquea la pantalla, no muestra una demanda de rescate y puede durante semanas delatar su presencia solo por el ruido de los ventiladores. El problema es desagradable: el programa utiliza la CPU, la tarjeta gráfica, la memoria y la electricidad del propietario del equipo para minar criptomoneda para una cartera ajena. Por eso hay que buscar no solo un archivo, sino toda la cadena: la carga, el proceso, la ruta, el inicio automático y la causa de la aparición. Ahora explicaré todo en orden.

Qué es un minero y cómo funciona

Se denomina minero a un programa para la extracción de criptomonedas. En el caso normal el usuario elige la aplicación, el pool, la cartera y la carga. Un minero oculto se ejecuta sin el consentimiento del propietario, resuelve tareas para una cartera ajena e intenta no llamar la atención. Por eso el equipo hace ruido, se calienta, consume batería más rápido y va más lento incluso sin juegos, edición de vídeo u otro software pesado.

El programa se conecta a un mining pool, recibe tareas, carga la CPU o la GPU y envía el resultado de vuelta. Para Monero a menudo se usa la CPU, por eso la infección es posible incluso en un portátil de oficina. XMRig por sí mismo es legal, pero a menudo se ejecuta en oculto, se rebautiza y se configura para una cartera ajena.

Antes un problema visible era la minería en el navegador: un sitio o un script publicitario cargaba la CPU a través de una pestaña. Hoy con más frecuencia aparecen instaladores infectados, compilaciones piratas, falsas actualizaciones, extensiones del navegador, tareas de Windows y scripts de Linux. Algunos mineros reducen la carga al abrir el "Administrador de tareas", por eso una comprobación rápida puede engañar.

  • Minero legal: instalado por el propietario del equipo, con ajustes, pool y cartera claros.
  • Minero oculto: se ejecuta sin permiso y envía los beneficios a otra persona.
  • Minería en el navegador: relacionada con una pestaña, un sitio o una extensión.
  • Minero del sistema: vive en un servicio de Windows, LaunchAgent de macOS, unidad systemd o tarea cron de Linux.

Primeros signos y comprobación rápida

Una alta carga de la CPU por sí sola no prueba una infección: Windows puede estar actualizándose, macOS indexando archivos, Linux compilando un paquete, el navegador sincronizando pestañas. La sospecha surge cuando la carga se mantiene mucho tiempo, el proceso es desconocido, la ruta del archivo es extraña y después de reiniciar todo vuelve a suceder. También conviene comprobar la GPU: la tarjeta gráfica no debería estar constantemente ocupada sin un juego, edición o aplicación de redes neuronales.

En Windows abra el "Administrador de tareas" con Ctrl + Shift + Esc y ordene los procesos por CPU, GPU y "Consumo de energía". Sobre el proceso sospechoso haga clic con el botón derecho y elija Abrir ubicación del archivo. Los componentes del sistema suelen estar en C:WindowsSystem32, los programas habituales en Program Files. Un archivo en AppData, Temp o Downloads debe revisarse con especial atención.

En macOS abra el "Monitor de actividad" mediante Spotlight o Aplicaciones > Utilidades. En la pestaña CPU ordene los procesos por % CPU; en la pestaña Energía observe el consumo energético. En Linux empiece con top, htop y ps aux -sort=-%cpu | head -20; para NVIDIA es útil nvidia-smi.

Si solo va lento el navegador, revise las extensiones. En Chrome y Edge el administrador de tareas suele abrirse con Shift + Esc; en Firefox puede usar about:performance.

Windows, macOS y Linux: dónde buscar la persistencia

En Windows el minero suele mantenerse mediante inicio automático, el Programador de tareas, un servicio o la carpeta del usuario. Revise Configuración > Aplicaciones > Aplicaciones instaladas y Configuración > Aplicaciones > Inicio. En la Biblioteca del Programador de tareas busque tareas que lancen PowerShell, cmd, wscript o un exe desde AppData y Temp.

Para una comprobación profunda en Windows resulta útil Autoruns de Microsoft Sysinternals. Muestra servicios, scheduled tasks, controladores y otros puntos de inicio. Su ventaja es el detalle. La desventaja, el riesgo de desactivar un componente normal si se actúa a ciegas. Para el escaneo use Seguridad de Windows > Protección contra virus y amenazas > Opciones de análisis > Análisis completo. Si el minero vuelve, ejecute Microsoft Defender Offline.

En macOS revise Preferencias del Sistema > General > Elementos de inicio y extensiones. Elimine elementos desconocidos de la sección "Abrir al iniciar sesión" y compruebe los procesos en segundo plano. Luego abra Preferencias del Sistema > General > Gestión del dispositivo: un perfil de gestión desconocido puede cambiar la red, certificados y permisos.

Si el proceso en Mac aparece tras reiniciar, revise ~/Library/LaunchAgents, /Library/LaunchAgents y /Library/LaunchDaemons. En los archivos plist son importantes ProgramArguments, la ruta al ejecutable y el nombre del desarrollador. En un Mac de trabajo no elimine perfiles y agentes a ciegas: allí pueden estar VPN, EDR o un agente corporativo.

En Linux compruebe procesos, systemd, cron y el inicio de sesión del usuario. Los mineros suelen entrar por una contraseña SSH débil, una API de Docker expuesta, un servicio web vulnerable o un script shell accidental. Comandos mínimos: top, ps aux -sort=-%cpu | head -20, readlink -f /proc/PID/exe, systemctl -type=service -state=running, crontab -l.

Comparación de herramientas para buscar mineros

Las herramientas integradas son útiles para una primera inspección, pero no siempre muestran toda la cadena. El "Administrador de tareas" y el "Monitor de actividad" ayudan a encontrar la carga; Autoruns y systemctl muestran la persistencia; el antivirus busca archivos maliciosos.

Herramienta Sistema Fortaleza Donde falla
"Administrador de tareas" Windows Muestra CPU, GPU, red e inicio automático No revela todos los puntos de persistencia
Autoruns Windows Muestra con detalle el inicio automático y los servicios Requiere precaución
"Monitor de actividad" y "Elementos de inicio y extensiones" macOS Muestran la carga, el consumo de energía y el inicio en segundo plano No reemplazan la comprobación de LaunchAgents
top, htop, systemctl, cron Linux Ofrecen control directo sobre procesos y arranque Requieren trabajo en terminal
ClamAV Linux, Windows, macOS Útil para comprobación de archivos y servidores No sustituye la investigación de la intrusión

Cómo eliminar un minero y reducir el riesgo de retorno

Eliminación consiste en tres pasos: detener el proceso, eliminar el archivo y desactivar el mecanismo de inicio. Si se omite el último punto, el minero volverá tras un reinicio. Si no se cierra la causa de la infección, puede reaparecer con otro nombre.

  1. Desconecte Internet si observa conexiones sospechosas constantes.
  2. Finalice el proceso solo después de verificar la ruta del archivo.
  3. Elimine el programa relacionado desde la sección de aplicaciones o mediante el gestor de paquetes.
  4. Desactive la tarea, servicio, LaunchAgent, unidad systemd, tarea cron o extensión del navegador.
  5. Ejecute un análisis completo y reinicie el equipo.
  6. Actualice el sistema, los navegadores y los controladores de la tarjeta gráfica.
  7. Cambie las contraseñas si la infección está relacionada con un servidor, SSH o privilegios de administrador.

En un servidor, tras eliminar el minero revise usuarios, ~/.ssh/authorized_keys, puertos abiertos, contenedores Docker, registros de acceso y catálogos web. Luego regenere las claves SSH y actualice los paquetes.

Preguntas frecuentes

¿Se puede eliminar un minero con un solo antivirus? A veces sí, si la infección es simple. Con persistencia a través de un servicio, cron, tarea programada o extensión de navegador es necesario eliminar no solo el archivo, sino también el mecanismo de inicio.

¿Por qué el antivirus no detecta nada? El minero puede usar componentes legítimos: XMRig, PowerShell, bash, Python, Node.js, curl o systemd. Es sospechoso el inicio oculto, la cartera ajena y la persistencia sin el consentimiento del usuario.

Idea principal: un minero oculto se busca siguiendo la cadena: carga, proceso, ruta del archivo, inicio automático y causa de aparición. Ese orden es más rápido que eliminar archivos sospechosos al azar y esperar que el equipo se recupere.

Alt text