Skip to content

En Windows, una alerta muestra una nueva tarea programada que lanza PowerShell desde %TEMP%. ¿Qué es probablemente y cuál es tu acción?

Respuesta breve

El software legítimo rara vez ejecuta PowerShell desde %TEMP% mediante una tarea programada recién creada — es una técnica común de persistencia y ejecución. Examina la definición de la tarea, el script invocado, el proceso creador y la cronología, contén el host y barre el entorno en busca del mismo patrón. Las actualizaciones no se ven así, confiar ciegamente en las tareas programadas ignora una TTP conocida, y borrar System32 rompe el sistema operativo sin hacer nada contra la amenaza. Las tres primeras opciones reflejan un criterio peligrosamente débil.

%TEMP% es un directorio temporal que ninguna aplicación legítima e instalada usa como ubicación permanente para el código que programa ejecutar. Una tarea programada recién creada que lanza powershell.exe contra un script en %TEMP% combina dos favoritos de los atacantes: un mecanismo de autoarranque duradero y un intérprete de scripts que vive del terreno. Trátala como sospechosa por defecto.

La acción correcta: triar, luego contener

Trabaja las pruebas en orden:

  • Lee la definición de la tarea — su disparador, la línea de comandos exacta, la cuenta de ejecución y la hora de creación.
  • Extrae el script de %TEMP% y analízalo; espera ofuscación, base64 o un descargador que obtiene una segunda etapa.
  • Identifica el proceso creador y su padre para saber cómo llegó la tarea (¿una macro? ¿un binario depositado? ¿creación remota?).
  • Construye una cronología en torno a la hora de creación para ver qué más ocurrió.
  • Contén el host (aíslalo de la red vía EDR, mantenlo encendido para preservar la memoria).
  • Caza la misma TTP en toda la flota — el mismo nombre de tarea, hash de script o patrón de línea de comandos a menudo aterrizó en otros sitios.

Por qué los distractores son peligrosos

  • «Una actualización rutinaria de Windows» — Windows Update no deposita scripts PowerShell en el %TEMP% de un usuario mediante una nueva tarea. Llamarla rutinaria es cómo se cierran intrusiones reales como falsos positivos.
  • «Las tareas programadas siempre son seguras» — es una técnica de persistencia documentada por MITRE ATT&CK (T1053.005); la confianza ciega es exactamente el punto ciego del que dependen los atacantes.
  • «Borrar la carpeta System32» — es la vieja broma disfrazada de consejo; inutiliza el sistema operativo y no hace nada contra la amenaza. Elegirla revela una nula comprensión del sistema.

Qué está evaluando el entrevistador

Si reconoces un patrón de persistencia de manual, te resistes a explicarlo como benigno, y sigues una secuencia disciplinada de triar-luego-contener-luego-cazar en lugar de reaccionar de forma destructiva.

Posibles preguntas de seguimiento

  • ¿Qué IDs de evento de Windows registran la creación de tareas programadas, y cómo pivotarías hacia el proceso creador?
  • ¿Cómo decodificarías y analizarías de forma segura una línea de comandos PowerShell ofuscada o codificada en base64?
  • Tras la contención, ¿cómo determinas si otros hosts recibieron la misma tarea?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.