Un ordenador infectado no suele romperse de una sola manera: puede ir más lento, cambiar el navegador, mostrar anuncios extraños o bloquear archivos y sesiones sin avisar. En esta guía explico cómo reconocer una infección real, cómo aislar el equipo sin empeorar la situación y qué escaneos usar primero para eliminar el malware con criterio. También verás cuándo basta con el antivirus integrado y cuándo ya toca pasar a un arranque offline o a una reinstalación limpia.
Lo esencial para limpiar un ordenador sin empeorar el problema
- Aísla el equipo en cuanto sospeches de una infección activa para cortar comunicaciones y propagación.
- No borres archivos al azar ni instales varios antivirus residentes a la vez.
- En Windows, empieza con un escaneo rápido, sigue con uno completo y, si persiste, pasa a un análisis sin conexión.
- Si el sistema no arranca o el antivirus está bloqueado, usa un entorno de rescate o una limpieza desde USB.
- Después de desinfectar, cambia contraseñas desde otro dispositivo y revisa navegador, inicio automático y copias de seguridad.
Cómo distinguir una infección real de un simple fallo del navegador
La primera confusión que veo mucho es llamar “virus” a cualquier cosa rara. En la práctica, el problema suele ser adware, spyware, un troyano, un ransomware o incluso un rootkit, y cada uno deja pistas distintas.
| Tipo de amenaza | Señal habitual | Respuesta razonable |
|---|---|---|
| Adware o PUP | Anuncios insistentes, buscador cambiado, extensiones raras | Revisar navegador, extensiones y programas instalados |
| Troyano o spyware | Procesos desconocidos, consumo de red extraño, sesiones robadas | Aislar el equipo y ejecutar escaneo completo |
| Ransomware | Archivos cifrados, nota de rescate, carpetas que cambian rápido | Desconectar de inmediato y no tocar copias sin revisar |
| Rootkit | El antivirus se bloquea, el arranque se comporta raro, la infección vuelve | Pasar a análisis sin conexión o rescate externo |
Yo me fijo sobre todo en dos cosas: si el problema afecta solo al navegador o si el sistema completo se comporta de forma anómala. Esa diferencia me dice si estoy ante una molestia superficial o ante un compromiso más serio, y de eso depende el siguiente paso.
Cuando ya tienes claras las señales, lo importante es cortar la comunicación del equipo antes de tocar nada más.
El primer movimiento correcto es aislar el equipo
Yo empiezo por desconectar el ordenador de internet y de la red local. Si el malware sigue hablando con su servidor, puede seguir robando datos, descargando más carga o propagándose a otras carpetas y dispositivos.
- Desconecta Wi-Fi y cable Ethernet.
- Desenchufa discos externos, memorias USB y tarjetas si no son imprescindibles.
- No abras banca, correo ni gestor de contraseñas en ese equipo.
- Si ves cifrado masivo o el sistema no te deja cortar la infección, apagar el ordenador puede ser mejor que dejarlo seguir trabajando.
- Usa otro dispositivo limpio para cambiar contraseñas o revisar accesos sospechosos.
Ese bloqueo inicial compra tiempo y evita que una limpieza torpe deje al atacante con más margen. Con el sistema aislado, ya merece la pena entrar en la desinfección de verdad.
La limpieza en Windows paso a paso
En Windows, yo sigo una escalera bastante simple: de lo más conservador a lo más agresivo. No suelo saltarme pasos porque cada nivel responde a un tipo distinto de infección.
- Actualiza las definiciones de seguridad antes de escanear, porque el motor trabaja mejor con firmas recientes.
- Ejecuta un escaneo rápido para localizar amenazas evidentes y ver si el problema es superficial.
- Lanza después un escaneo completo, que revisa archivos y programas del equipo entero.
- Si el malware vuelve, usa el análisis sin conexión de Defender: arranca fuera del entorno normal y le da menos margen a amenazas persistentes.
- Revisa el historial de protección y pon en cuarentena o elimina lo detectado según indique el motor.
Microsoft recomienda el análisis sin conexión cuando hay sospecha de malware resistente o cuando quieres comprobar una limpieza más profunda. Tarda unos 15 minutos, reinicia el equipo y, si tienes BitLocker en la unidad del sistema, conviene suspenderlo antes para no quedar bloqueado con la clave de recuperación.
Si prefieres una segunda opinión, Microsoft Safety Scanner también es útil: solo se ejecuta de forma manual y caduca a los 10 días de descargarlo, así que yo lo vuelvo a bajar antes de cada uso. Y si el síntoma principal era navegador secuestrado, aquí también limpio extensiones, notificaciones push y el buscador predeterminado, porque muchas supuestas “infecciones” viven ahí más que en el sistema.
Yo soy bastante estricto con esto: si ya tienes un antivirus residente funcionando, no añado otro residente encima. Prefiero un escáner bajo demanda antes que dos motores peleándose entre sí.
Cuando esa ruta no basta, hay que cambiar de entorno y no seguir insistiendo desde el mismo sistema comprometido.
Cuándo merece la pena usar un USB de rescate o reinstalar
Cuando el malware se esconde bien, la pregunta ya no es qué antivirus tienes, sino desde dónde lo vas a ejecutar. En ese punto, un arranque limpio suele ser más efectivo que intentar limpiar desde dentro del propio sistema infectado.
INCIBE recomienda recurrir a un antivirus autoarrancable cuando ni siquiera el modo seguro permite desinfectar con normalidad, porque el entorno de rescate reduce mucho la capacidad del malware para defenderse.
| Método | Cuándo lo usaría | Qué resuelve mejor | Límite práctico |
|---|---|---|---|
| Modo seguro con antivirus | El sistema arranca, pero la infección molesta al cargar servicios | Trojanes, adware y parte de los spyware | No siempre vence rootkits ni malware muy persistente |
| Análisis sin conexión | Sospechas de persistencia o bloqueo del antivirus | Malware que se oculta dentro de Windows | Requiere reiniciar y preparar bien el entorno |
| USB o CD/DVD de rescate | El equipo no arranca bien o no deja limpiar desde dentro | Infecciones rebeldes y arranques comprometidos | Hace falta preparar el medio desde otro equipo limpio |
| Reinstalación limpia | La infección vuelve o ya dudas de la integridad del sistema | Compromiso profundo o repetido | Exige copia de seguridad selectiva y reinstalar aplicaciones |
Yo paso a reinstalar cuando el sistema reaparece alterado después de dos rondas serias de limpieza, o cuando el antivirus se desactiva solo una y otra vez. Ahí dejar de insistir no es rendirse: es tomar una decisión técnica sensata.
Limpiar bien no termina cuando el antivirus deja de avisar; termina cuando recuperas el control de cuentas, arranque y datos.
Qué revisar después para no volver a infectarte
La fase que más se descuida es la de después. Un equipo puede parecer limpio y seguir teniendo puertas abiertas si dejas sin revisar contraseñas, extensiones o tareas automáticas.
- Cambia las contraseñas desde otro dispositivo limpio, empezando por correo principal, banca y cuentas de nube.
- Activa autenticación en dos pasos en todo lo importante.
- Revisa extensiones del navegador, programas de inicio y tareas programadas.
- Actualiza sistema operativo, navegador y aplicaciones que estaban desfasadas.
- Escanea las copias de seguridad antes de restaurarlas.
- Cierra sesiones en otros equipos si sospechas robo de credenciales.
Yo también suelo restablecer el navegador cuando la infección venía de adware o de notificaciones abusivas. Ayuda más de lo que parece, pero no sustituye una revisión completa del sistema ni del resto de cuentas.
El punto en el que yo paro de limpiar y reinstalo
Hay un momento en que el mejor gesto de seguridad es dejar de pelear con el mismo sistema. Si el malware reaparece tras reiniciar, si se desactiva el antivirus, si aparecen cuentas desconocidas o si las copias de seguridad empiezan a comportarse de forma extraña, yo doy el equipo por comprometido.
En ese escenario, la ruta más limpia suele ser hacer copia solo de los datos verificables, formatear e instalar de nuevo. Conserva documentos, fotos y bases de datos que puedas revisar, pero evita arrastrar ejecutables, instaladores dudosos o archivos con macros que no puedas auditar.
La regla que me guía es simple: un equipo no está limpio porque ya no avise, sino porque vuelve a arrancar con una confianza técnica razonable. Si todavía dudas de su integridad, trátalo como comprometido hasta demostrar lo contrario.
