Análisis forense en Windows: detecta persistencia con Task Scheduler

🕵️‍♂️ Análisis forense en Windows: el truco que separa a los buenos… de los excelentes

Cuando ocurre un incidente de seguridad, muchos equipos actúan con rapidez.
⚠️ Pero actuar rápido no siempre es sinónimo de actuar bien.

El error más común es centrarse solo en el malware:

  • Se borra.

  • Se reinicia el sistema.

  • Se da por cerrado el incidente.

¿Y si el atacante sigue dentro?

🔁 Persistencia: el enemigo silencioso

Uno de los primeros pasos tras un ataque debería ser detectar la persistencia.
Es decir, los métodos que el atacante ha dejado para volver a ejecutar su código, incluso después de reinicios o limpieza aparente.

Porque si no lo haces… el atacante puede volver a entrar sin que lo sepas.

🔍 El truco que marca la diferencia

Un truco sencillo, rápido y muy efectivo:
📁 Revisar el canal TaskScheduler/Operational en el Visor de Eventos de Windows.

¿Por qué?
Porque muchos atacantes crean tareas programadas que:

  • Se ejecutan cada pocos minutos.

  • Usan ejecutables fuera de rutas típicas como System32.

  • Corren en segundo plano, sin llamar la atención.

⚒️ ¿Cómo hacerlo?

  1. Abre el Visor de eventos (Event Viewer).

  2. Navega a:
    Aplicaciones y servicios > Microsoft > Windows > TaskScheduler > Operational

  3. Filtra eventos por:

    • Tareas nuevas creadas.

    • Tareas modificadas.

    • Tareas con rutas sospechosas.

  4. ¿Qué puedes encontrar?

    • Scripts .vbs o .js que lanzan malware.

    • Ejecutables firmados pero maliciosos.

    • Persistencia programada para activarse en momentos clave.

🧠 Caso práctico: piensa como un forense

Imagina esto:

🔹 Encuentras una conexión sospechosa saliente.
🔹 Antes de formatear, revisas TaskScheduler/Operational.
🔹 Descubres una tarea que se ejecuta cada 15 minutos, desde una carpeta oculta.
🔹 Analizas el ejecutable → extraes su hash → lo subes a VirusTotal → ¡bingo!

Así es como piensa un analista forense: no con suposiciones, sino con evidencia.

📚 ¿Quieres saber más?

En soluciones.si hemos publicado un artículo con más consejos reales que usamos en auditorías:

👉 Cómo detectar persistencia en Windows usando el visor de eventos

Incluye otros logs clave como:

  • Shell-Core/Operational

  • WMI-Activity/Operational

Y ejemplos concretos que puedes aplicar ya en tu trabajo.

💬 En resumen

✔️ Eliminar el malware no basta.
✔️ Revisa los métodos de persistencia.
✔️ El canal TaskScheduler/Operational es tu aliado silencioso.
✔️ Piensa como un atacante para detectarlo a tiempo.

¿Te ha pasado algo similar ?  contacta con nosotros si necesitas ayuda

Una empresa de consultoría tecnológica e internet que aporta valor, ilusión, frescura e ideas nuevas a nuestras vidas y a nuestros clientes.

Mantenimiento informático Madrid

Contacto

Sun Twitter Facebook-f Linkedin

Servicios destacados