Qué es el proceso RuntimeBroker.exe

RuntimeBroker.exe es un proceso legítimo de Windows que administra los permisos de las aplicaciones de la Microsoft Store, aunque puede ser suplantado por malware para ocultarse.

RuntimeBroker.exe, conocido como Runtime Broker, es un proceso legítimo y esencial del sistema operativo Microsoft Windows. Microsoft lo introdujo a partir de Windows 8 y está presente en todas las versiones posteriores, como Windows 10 y Windows 11. Su función principal es actuar como un intermediario de seguridad entre las aplicaciones de la Plataforma Universal de Windows (UWP) —es decir, las aplicaciones que se descargan desde la Microsoft Store— y los recursos del sistema, como la cámara, el micrófono o la ubicación.

Este proceso se ejecuta en segundo plano y, en condiciones normales, tiene un impacto mínimo en el rendimiento del equipo. La presencia de RuntimeBroker.exe en el Administrador de tareas es completamente normal y, por lo general, no debe ser motivo de preocupación.

Función principal del proceso RuntimeBroker.exe

El propósito central de RuntimeBroker.exe es gestionar y hacer cumplir los permisos de las aplicaciones UWP. Cuando una de estas aplicaciones solicita acceso a un recurso confidencial (como los archivos personales, la cámara web o el micrófono), el proceso verifica si el usuario ha concedido los permisos necesarios y aplica los protocolos de seguridad correspondientes.

Entre sus funciones clave se encuentran:

Verificación de permisos: Garantiza que las aplicaciones de la Tienda solo accedan a los recursos del sistema para los que el usuario ha otorgado permiso explícito.
Protección de la privacidad: Al actuar como mediador, impide que aplicaciones no autorizadas accedan a datos confidenciales sin el consentimiento del usuario.
Inicio de aplicaciones en segundo plano: También es responsable de iniciar procesos en segundo plano para aplicaciones UWP.

Es normal que se ejecuten varias instancias de RuntimeBroker.exe al mismo tiempo, ya que cada una puede estar gestionando los permisos de una aplicación diferente.

Variantes conocidas

La única variante legítima de RuntimeBroker.exe es el archivo firmado digitalmente por Microsoft que se encuentra en C:\Windows\System32\RuntimeBroker.exe. Sin embargo, como ocurre con muchos otros procesos del sistema, su nombre es utilizado por software malicioso para pasar desapercibido. Las principales amenazas reportadas incluyen:

Suplantación en ubicaciones no estándar: El malware puede copiarse a sí mismo con el nombre RuntimeBroker.exe en carpetas como %ProgramFiles%\Runtime\ o %APPDATA%.
Troyanos y código malicioso: Se han documentado casos de troyanos (como Trojan.Siggen31.58697) que instalan un falso RuntimeBroker.exe para inyectar código en procesos del sistema como lsass.exe y deshabilitar servicios de seguridad, como los relacionados con Windows Security Health.

La característica común de estas variantes es que se ubican en carpetas incorrectas y carecen de la firma digital de Microsoft.

Software/programas asociados a RuntimeBroker.exe

RuntimeBroker.exe es un proceso nativo de Microsoft Windows y no está vinculado a ningún software de terceros. Está directamente asociado a las aplicaciones de la Plataforma Universal de Windows (UWP), también conocidas como aplicaciones de la Microsoft Store. Cualquier asociación con otro tipo de software, especialmente si se encuentra fuera de su ubicación estándar, es un fuerte indicio de una infección por malware.

Seguridad y riesgos potenciales RuntimeBroker.exe

El archivo auténtico de RuntimeBroker.exe es seguro y no representa una amenaza. Los riesgos provienen de su suplantación por malware o de fallos en su funcionamiento:

Suplantación de identidad: Es la amenaza más común. Un falso RuntimeBroker.exe puede operar como un troyano que roba información o desactiva las defensas del sistema.
Alto consumo de recursos: Aunque no siempre indica una infección, un consumo elevado y persistente de CPU o memoria puede ser un síntoma de un problema. Un uso de CPU entre el 10% y el 40% durante periodos prolongados, o un consumo de memoria superior a 100 MB sin aplicaciones UWP en ejecución, son señales de advertencia. Esto puede deberse a un mal funcionamiento de una aplicación, a un conflicto con servicios como OneDrive, o a un malware oculto.
Riesgo de falsos positivos: En ocasiones, un programa antimalware puede identificar erróneamente el archivo legítimo como una amenaza. Es crucial verificar siempre su autenticidad antes de tomar medidas drásticas.

Cómo identificar si es legítimo RuntimeBroker.exe

Para distinguir el proceso real de una imitación, siga estos pasos de verificación:

Señales de un archivo legítimo:

Ubicación exacta: El archivo debe residir en C:\Windows\System32\RuntimeBroker.exe.
Firma digital: Al hacer clic derecho sobre el archivo y seleccionar Propiedades > Firmas digitales, el firmante debe ser «Microsoft Corporation» y la firma debe ser válida.
Descripción del archivo: La descripción en Propiedades debe ser «Runtime Broker».

Señales de un archivo malicioso:

Ubicación incorrecta: Cualquier RuntimeBroker.exe que se encuentre en carpetas como %ProgramFiles%\Runtime\, %APPDATA% o C:\Windows\Temp es, sin excepción, malicioso.
Firma digital ausente o no válida: La ausencia de firma o una firma de una entidad desconocida indica un archivo no legítimo.
Consumo de recursos anómalo: Un proceso RuntimeBroker.exe que acapara la CPU o la memoria de forma continua es sospechoso.

Procedimiento de verificación:

Abra el Administrador de tareas (Ctrl + Mayús + Esc) y vaya a la pestaña Detalles.
Localice el proceso RuntimeBroker.exe, haga clic derecho sobre él y seleccione Abrir ubicación del archivo.
Si la carpeta que se abre no es C:\Windows\System32, el archivo es sospechoso.
Haga clic derecho sobre el archivo y seleccione Propiedades > Firmas digitales. Verifique que la firma es de Microsoft y es válida.
Para un diagnóstico definitivo, puede subir el archivo a un servicio de análisis en línea como VirusTotal.

Prevención

La mejor defensa contra los problemas relacionados con RuntimeBroker.exe es la prevención y el uso de herramientas de seguridad actualizadas:

Mantenga su sistema actualizado: Instale los últimos parches de seguridad de Windows, que a menudo corrigen fallos en los procesos del sistema.
Descargue aplicaciones solo de la Microsoft Store: Evite instalar programas desde fuentes no oficiales.
Realice análisis de seguridad periódicos: Un antimalware como Malwarebytes puede detectar y eliminar falsificaciones de procesos legítimos.
Complemente su protección: Herramientas anti-spyware como Spybot – Search & Destroy son eficaces para erradicar programas espía y entradas de registro maliciosas.
Analice archivos sospechosos sin riesgo: Si encuentra un RuntimeBroker.exe en una ubicación dudosa, súbalo a un servicio de análisis online con varios antivirus antes de ejecutarlo.
Desconfíe de comportamientos anómalos: Si su PC se vuelve lenta y observa un alto consumo de CPU por parte de Runtime Broker, investigue qué aplicaciones UWP se están ejecutando y ciérrelas si es necesario.

Conclusión

RuntimeBroker.exe es un componente de seguridad fundamental en los sistemas Windows modernos, diseñado para proteger la privacidad del usuario al gestionar los permisos de las aplicaciones de la Tienda. Su presencia en el Administrador de tareas es normal. Sin embargo, su carácter esencial lo convierte en un objetivo para el malware. La clave para la seguridad reside en un simple paso de verificación: comprobar que el archivo reside en C:\Windows\System32 y está firmado por Microsoft. Con esta precaución, un sistema actualizado y un buen antimalware, podrá estar tranquilo.

Descargo de responsabilidad

Este artículo es informativo y no sustituye al consejo profesional.
La información está basada en documentación oficial de Microsoft y bases de datos de seguridad públicas. Ver todas las fuentes

Procesos