AggregatorHost.exe: qué es y por qué aparece en tu Administrador de tareas

AggregatorHost.exe es un proceso legítimo de Windows que gestiona elementos de la interfaz de usuario, como notificaciones, vistas previas de la barra de tareas y recopilación de datos de telemetría, aunque también puede ser imitado por malware.

AggregatorHost.exe es un ejecutable legítimo del sistema operativo Windows, desarrollado por Microsoft Corporation. Su función principal es actuar como componente de agregación y hospedaje para diversos elementos de la interfaz de usuario y servicios del sistema. Este proceso aparece en sistemas Windows 10 y Windows 11, donde opera en segundo plano para coordinar la presentación de información de diferentes fuentes de manera unificada.

El archivo se instala típicamente en la carpeta del sistema C:\Windows\System32\, aunque también puede encontrarse en rutas del almacén de componentes de Windows (C:\Windows\WinSxS). Microsoft no dispone de una página de documentación independiente para este proceso, lo que ha generado confusión entre los usuarios. Sin embargo, los foros oficiales de Microsoft tratan consistentemente a AggregatorHost.exe en System32 como un archivo legítimo del sistema, no como malware.

Es fundamental distinguir entre la versión legítima de AggregatorHost.exe y posibles variantes maliciosas que puedan utilizar el mismo nombre para camuflarse. El malware frecuentemente imita nombres de procesos legítimos para evadir la detección, por lo que la ubicación del archivo y su firma digital son los indicadores críticos para determinar su autenticidad.

Función principal de AggregatorHost.exe

La función principal de AggregatorHost.exe es actuar como puente entre diversas fuentes de información y la interfaz de usuario, coordinando la presentación de datos de forma unificada. Entre sus tareas se incluyen:

  • Gestión de notificaciones y Centro de actividades: orquesta la presentación de notificaciones de aplicaciones y eventos del sistema, controlando el Centro de actividades donde el usuario puede revisar y responder a estas alertas.
  • Vistas previas de la barra de tareas: genera y muestra las miniaturas emergentes cuando el usuario pasa el cursor sobre los iconos de la barra de tareas.
  • Live Tiles y widgets: en Windows 10 gestiona las baldosas dinámicas del menú Inicio. En Windows 11 participa en la funcionalidad de widgets.
  • Recopilación de telemetría: para usuarios del programa Windows Insider, recopila comentarios y datos de uso que Microsoft utiliza para el desarrollo de nuevas funciones. Este proceso está relacionado con el servicio Connected User Experiences and Telemetry.

El proceso no tiene una ventana visible cuando se ejecuta y opera en segundo plano. No es un archivo que el usuario deba abrir manualmente, y puede aparecer solo brevemente durante operaciones específicas del sistema.

Cómo localizar el archivo y verificar su autenticidad

Para comprobar si el proceso que aparece en tu equipo es legítimo, abre el Administrador de tareas con el atajo Ctrl + Alt + Supr. En la pestaña Procesos, dentro del apartado Procesos en segundo plano, haz clic derecho sobre AggregatorHost.exe y selecciona Abrir ubicación del archivo.

Archivo AggregatorHost.exe en la carpeta System32

Si el explorador abre la carpeta System32, es una buena señal. A continuación, haz clic derecho sobre el archivo y selecciona Propiedades. En la pestaña Firma digital deberías ver la firma de Microsoft Corporation.

Propiedades AggregatorHost.exe sin Copyright

También puedes verificarlo mediante PowerShell ejecutando el siguiente comando:

Get-AuthenticodeSignature -FilePath C:\Windows\System32\AggregatorHost.exe | Format-List

El emisor debe indicar algo similar a Microsoft Windows Production PCA 2011 y el estado debe aparecer como Valid.

¿Es seguro AggregatorHost.exe?

Depende de su ubicación y firma. La siguiente tabla resume los indicadores clave para distinguir la versión legítima de una posible suplantación:

  • Ubicación — Legítimo: C:\Windows\System32\ o C:\Windows\WinSxS\. Sospechoso: AppData, Temp, Downloads, Desktop o unidades extraíbles.
  • Firma digital — Legítimo: firmado por Microsoft Corporation, estado Valid. Sospechoso: ausente, desconocida o inválida.
  • Consumo de recursos — Legítimo: prácticamente cero en reposo. Sospechoso: CPU o GPU elevada de forma continua, especialmente con el equipo inactivo.
  • Comportamiento en red — Legítimo: conexiones mínimas relacionadas con telemetría o servicios de Windows. Sospechoso: conexiones a IPs desconocidas o tráfico cifrado inusual.
  • Nombre de usuario en el Administrador de tareas — Legítimo: SISTEMA, SERVICIO LOCAL o SERVICIO DE RED. Sospechoso: cualquier nombre de usuario diferente.

Síntomas de suplantación por malware

Debes sospechar si observas alguno de estos comportamientos:

  • Varias instancias de AggregatorHost.exe ejecutándose simultáneamente.
  • Uso sostenido del 100% de CPU o RAM elevada durante horas con el equipo inactivo.
  • Tu antivirus lo detecta como amenaza.
  • La columna Nombre de usuario del Administrador de tareas muestra un valor distinto a SISTEMA, SERVICIO LOCAL o SERVICIO DE RED.

Formas de eliminar una versión maliciosa

Realizar un escaneo completo

Abre Seguridad de Windows desde el menú Inicio, ve a Protección antivirus y contra amenazas, haz clic en Opciones de examen, selecciona Examen completo y pulsa Escanear ahora.

Como segunda opinión puedes usar Malwarebytes, que ofrece una versión de prueba gratuita de 14 días con todas las funciones activas.

Eliminar el archivo desde el Modo seguro

Si el análisis confirma una infección que no puede eliminarse con el sistema en marcha:

  1. Abre Configuración con Windows + I.
  2. Ve a Sistema y luego a Recuperación.
  3. En Inicio avanzado, haz clic en Reiniciar ahora.
  4. Tras reiniciar, navega a Solucionar problemas → Opciones avanzadas → Configuración de inicio y pulsa Reiniciar.
  5. Presiona la tecla 4 o F4 para iniciar en Modo seguro.
  6. Localiza el archivo falso en la carpeta donde fue detectado (por ejemplo C:\Users\...\AppData), elimínalo y vacía la papelera.

Reparar archivos del sistema

Si sospechas que algún archivo legítimo ha sido modificado, ejecuta estos comandos en PowerShell como administrador:

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

El primero analiza y repara archivos protegidos del sistema. El segundo repara la imagen de Windows desde los servidores de Microsoft.

Restablecer Windows

Si ninguna de las opciones anteriores resuelve el problema, puedes restablecer Windows eligiendo conservar tus archivos personales. Esta opción reinstala el sistema operativo y elimina cualquier archivo malicioso que pudiera persistir.

Deshabilitar la protección en la nube (no recomendado)

Si el proceso legítimo genera un consumo de recursos puntualmente elevado y quieres detenerlo temporalmente:

  1. Abre Seguridad de Windows.
  2. Ve a Protección antivirus y contra amenazas → Configuración de protección antivirus y contra amenazas.
  3. Desactiva Protección entregada en la nube.

Ten en cuenta que con esta opción desactivada el equipo dependerá únicamente de las definiciones de virus locales, siendo más vulnerable a amenazas nuevas.

Prevención

  • Mantén Windows y tu antivirus actualizados con las últimas definiciones de seguridad.
  • Verifica siempre la ubicación y firma digital de procesos que parecen ser del sistema.
  • No descargues ejecutables de fuentes no confiables ni hagas clic en enlaces sospechosos.
  • Desactiva la ejecución automática de archivos en unidades extraíbles.
  • Utiliza un firewall que controle las conexiones salientes de aplicaciones.
  • Realiza copias de seguridad periódicas de tus archivos importantes.

Para mantener tu sistema protegido, realiza análisis periódicos con Malwarebytes y ante archivos sospechosos utiliza un análisis online con varios antivirus.

Conclusión

AggregatorHost.exe es un proceso legítimo de Microsoft Windows que gestiona notificaciones, vistas previas de la barra de tareas y recopilación de telemetría. Cuando se encuentra en C:\Windows\System32\ y está firmado por Microsoft, no representa ninguna amenaza.

La clave está en verificar su ubicación y firma digital: si el archivo aparece en carpetas de usuario como AppData, Temp o Downloads, debe tratarse como sospechoso hasta confirmar su origen. Un consumo anómalo de recursos asociado a este proceso es otra señal que justifica una revisión inmediata.