Categoría Descargas Software Programas
Categoría Descargas Software Programas

AutoRuns

Autoruns – La herramienta definitiva para auditar todo lo que se ejecuta automáticamente en Windows

Descripción del programa Autoruns

Autoruns es una herramienta de análisis y gestión de ejecución automática para Windows desarrollada por Mark Russinovich y Bryce Cogswell, integrada actualmente en la suite Sysinternals de Microsoft, que permite visualizar de forma exhaustiva absolutamente todo lo que está configurado para ejecutarse de forma automática en el sistema operativo, desde las entradas convencionales del registro de inicio hasta los mecanismos más ocultos y avanzados utilizados por software legítimo y malware.

Su función principal consiste en exponer cada punto de entrada automática del sistema Windows en una interfaz unificada y jerárquica, cubriendo más de sesenta categorías distintas que incluyen entradas del registro, servicios, drivers de dispositivo, extensiones del shell de Windows, proveedores de red, complementos del navegador, tareas programadas, codecs de audio y vídeo, proveedores de LSP y docenas de categorías adicionales que ninguna otra herramienta cubre de forma tan completa. Es la herramienta de referencia indiscutible para técnicos de seguridad, administradores de sistemas y analistas de malware en todo el mundo.

La historia de Autoruns está estrechamente ligada a la trayectoria de Mark Russinovich, uno de los ingenieros de sistemas Windows más reconocidos de la industria, cofundador de Sysinternals junto a Bryce Cogswell a mediados de los años 90. La primera versión de Autoruns fue publicada en 1996 como una herramienta gratuita en el sitio de Sysinternals, que se convirtió en referencia mundial para utilidades avanzadas de diagnóstico y administración de Windows.

En 2006 Microsoft adquirió Sysinternals en su totalidad, integrando toda la suite, incluido Autoruns, bajo su paraguas corporativo. Desde entonces Autoruns ha continuado siendo desarrollado y actualizado por el propio Russinovich, ahora como empleado de Microsoft, y se distribuye gratuitamente desde el sitio oficial de Microsoft Learn.

Lo más destacado de Autoruns reside en la amplitud y profundidad de su análisis, que va mucho más allá de lo que cualquier gestor de inicio convencional puede ofrecer.

El programa puede comparar las entradas del sistema actual contra una línea base guardada previamente para identificar cambios recientes, puede verificar las firmas digitales de todos los ejecutables referenciados para detectar archivos sin firmar o con firmas inválidas (indicador frecuente de malware), y puede analizar el sistema de forma remota o desde un entorno de recuperación sin arrancar el sistema infectado.

Cabe destacar además su integración con VirusTotal, que permite enviar los hashes de los ejecutables sospechosos al servicio de análisis multiantivirus directamente desde la interfaz del programa.

¿Necesitas saber con absoluta certeza qué se ejecuta automáticamente en tu sistema Windows, incluyendo los mecanismos más ocultos que el malware usa para garantizar su persistencia?

Características clave de Autoruns

1. Cobertura exhaustiva de más de sesenta categorías de inicio

La característica que distingue fundamentalmente a Autoruns de cualquier otra herramienta de su categoría es la amplitud de su cobertura: mientras que gestores de inicio convencionales analizan tres o cuatro ubicaciones del registro y la carpeta de inicio del menú Inicio, Autoruns cubre más de sesenta categorías distintas organizadas en pestañas temáticas.

Estas incluyen las entradas convencionales de Run/RunOnce del registro, pero también extensiones del shell de Windows (menús contextuales, manejadores de iconos, manejadores de miniaturas), proveedores de servicios en capas de red (LSP), complementos de Internet Explorer y otros navegadores, tareas programadas, servicios de Windows, drivers de dispositivo, entradas de inicio de sesión de Winlogon, proveedores de autenticación, filtros de impresora y decenas de categorías adicionales.

Esta cobertura exhaustiva es fundamental para el análisis de malware moderno, que raramente utiliza las ubicaciones de inicio convencionales y prefiere mecanismos más ocultos como los proveedores LSP, las extensiones del shell o los filtros de arranque a nivel de driver para garantizar su persistencia incluso después de que el usuario elimine la entrada de registro obvia. Autoruns expone todos estos mecanismos en una sola herramienta, algo que de otro modo requeriría docenas de utilidades especializadas.

2. Verificación de firmas digitales con resaltado visual

Autoruns verifica automáticamente la firma digital de cada ejecutable referenciado en las entradas de inicio y resalta visualmente los resultados mediante un sistema de codificación por colores. Los archivos firmados por Microsoft aparecen en un color, los firmados por terceros en otro, y los archivos sin firma o con firma inválida se destacan claramente en rojo. Esta codificación visual permite al analista identificar de un vistazo los elementos que merecen atención adicional, ya que el malware raramente incluye firmas digitales válidas mientras que el software legítimo casi siempre las lleva.

La opción de ocultar las entradas firmadas por Microsoft reduce drásticamente el ruido visual en el análisis, mostrando únicamente las entradas de terceros y las no firmadas, que son las que en la mayoría de los casos requieren revisión. Esta función, accesible mediante Options > Hide Microsoft Entries, es la primera acción que cualquier técnico experimentado realiza al abrir Autoruns en un sistema sospechoso, ya que convierte una lista de cientos de entradas en una lista manejable de decenas centrada en lo relevante.

3. Integración con VirusTotal para análisis multiantivirus

Autoruns está integrado con VirusTotal, el servicio de análisis multiantivirus de Google que analiza los archivos con más de setenta motores antivirus diferentes. Desde la interfaz del programa el usuario puede seleccionar cualquier entrada y enviar el hash del ejecutable asociado a VirusTotal para comprobar si alguno de los motores antivirus lo identifica como malicioso, o puede activar el análisis automático de todas las entradas con un solo clic mediante Options > Check VirusTotal.com.

Esta integración convierte a Autoruns en una herramienta de análisis de seguridad proactiva además de un gestor de inicio. En lugar de depender de un único motor antivirus instalado en el sistema (que el propio malware puede haber desactivado o evadido), el analista puede verificar cualquier ejecutable sospechoso contra decenas de motores simultáneamente sin salir de la interfaz de Autoruns, obteniendo una valoración de seguridad mucho más fiable.

4. Comparación con líneas base y detección de cambios

El programa permite guardar el estado actual del sistema como una línea base (baseline) en un archivo y comparar posteriormente el estado del sistema contra esa línea base para identificar exactamente qué ha cambiado. Esta funcionalidad es especialmente valiosa en dos escenarios: en análisis forense para determinar qué cambios introdujo una infección de malware comparando el estado antes y después, y en administración de sistemas para verificar que los equipos corporativos no han sufrido modificaciones no autorizadas desde su última revisión.

Autoruns resalta los elementos nuevos, modificados y eliminados respecto a la línea base con colores diferenciados, permitiendo al analista centrarse exactamente en los cambios sin tener que revisar todas las entradas del sistema manualmente. Esta capacidad de análisis diferencial es una de las funcionalidades más avanzadas que ninguna herramienta de gestión de inicio convencional ofrece.

5. Análisis de sistemas remotos y sin conexión

Autoruns puede analizar el inicio de sistemas Windows remotos accesibles en la red, así como sistemas Windows sin arrancar analizando sus archivos de registro y sistema de archivos desde un entorno de recuperación o desde otro sistema Windows donde estén montados. Esta capacidad es fundamental en escenarios de respuesta a incidentes donde el sistema infectado no puede arrancarse de forma segura o donde se quiere analizar una imagen forense sin contaminar el sistema original.

El análisis de sistemas sin conexión (offline) se realiza montando la partición del sistema sospechoso y apuntando Autoruns a la ruta del registro y el sistema de archivos del sistema analizado, lo que permite obtener una lista completa de sus entradas de inicio sin ejecutar ningún código del sistema analizado, eliminando el riesgo de activar el propio malware durante el análisis.

6. Versión de línea de comandos Autorunsc para automatización

Junto a la interfaz gráfica, Autoruns incluye Autorunsc.exe, una versión de línea de comandos que genera la misma información en formato de texto o CSV, ideal para su integración en scripts de auditoría automatizada, pipelines de seguridad o sistemas de gestión de configuración. La salida de Autorunsc puede redirigirse a archivos, enviarse a sistemas de análisis de logs o procesarse con herramientas como PowerShell para identificar automáticamente entradas sospechosas según criterios predefinidos:

autorunsc.exe -a * -c -h -s -vt > autoruns_output.csv

Este comando ejecuta Autorunsc analizando todas las categorías (-a *), generando salida en formato CSV (-c), incluyendo hashes MD5 (-h), verificando firmas digitales (-s) y consultando VirusTotal (-vt), guardando el resultado en un archivo CSV listo para su análisis posterior con Excel, Python o cualquier herramienta de procesamiento de datos.

Explicación detallada de las funcionalidades

El funcionamiento interno de Autoruns se basa en el conocimiento exhaustivo de la arquitectura interna de Windows y de todos los mecanismos mediante los que el sistema operativo puede cargar código de forma automática. El programa no se limita a leer las claves de registro convencionales sino que tiene codificado el conocimiento de cada uno de los puntos de extensión del sistema Windows, desde los más documentados hasta los más oscuros, construido a lo largo de décadas de ingeniería inversa y análisis profundo del sistema operativo por parte de sus autores.

El flujo de trabajo de análisis comienza con el escaneo simultáneo de todas las categorías configuradas, que en un equipo típico puede tardar entre cinco y treinta segundos dependiendo del número de entradas y de si se activa la verificación de firmas digitales y la consulta a VirusTotal. El resultado se presenta en una vista con pestañas donde cada pestaña corresponde a una categoría (Everything, Logon, Explorer, Internet Explorer, Scheduled Tasks, Services, Drivers, etc.) y dentro de cada pestaña las entradas están ordenadas por ubicación. La pestaña Everything muestra todas las categorías combinadas y es el punto de partida recomendado para un análisis completo.

Los parámetros de configuración más importantes incluyen las opciones de filtrado: Hide Empty Locations elimina del árbol las categorías sin entradas para reducir el ruido visual, Hide Windows Entries oculta todas las entradas firmadas por Microsoft para centrarse en software de terceros, y Hide VirusTotal Clean Entries (cuando se activa el análisis con VirusTotal) oculta los archivos que ningún motor antivirus ha marcado, mostrando únicamente los sospechosos. La combinación de estos tres filtros reduce típicamente una lista de varios cientos de entradas a unas pocas decenas de elementos que merecen revisión manual.

Una diferencia técnica fundamental es la que existe entre el análisis de Autoruns ejecutado como usuario estándar frente a ejecutarlo como administrador. Muchas categorías de entradas, especialmente las de servicios, drivers y entradas del sistema en la rama HKLM del registro, solo son accesibles con privilegios de administrador. Ejecutar el programa sin privilegios elevados produce un análisis incompleto que puede omitir precisamente las entradas más críticas desde el punto de vista de seguridad. Por esto la práctica estándar es siempre ejecutar Autoruns con Run as Administrator mediante clic derecho sobre el ejecutable.

Un comportamiento crítico que el analista debe conocer es que Autoruns muestra las entradas del sistema en el que se ejecuta, incluyendo potencialmente código malicioso activo que puede haber modificado las APIs de Windows para ocultar sus propias entradas (técnica conocida como rootkit a nivel de usuario). Para sortear esta limitación en análisis forenses serios, la práctica recomendada es usar el análisis offline desde un sistema limpio o desde un entorno WinPE, donde el código del sistema analizado no está activo y no puede interferir con la lectura de sus propias entradas de registro y sistema de archivos.

Descarga e instalación de Autoruns

  • Página oficial: https://learn.microsoft.com/sysinternals/downloads/autoruns (sitio oficial de Microsoft, activo y actualizado regularmente).
  • Versión actual: 14.x (actualizada regularmente por Microsoft; consultar el sitio oficial para la versión más reciente).
  • Tamaño: Aproximadamente 3-4 MB el archivo ZIP con el ejecutable portátil.
  • Sistemas operativos compatibles: Windows XP, Vista, 7, 8, 8.1, 10 y 11 (32 y 64 bits); también disponible para Windows Server.
  • Requisitos mínimos: Cualquier equipo capaz de ejecutar Windows XP o superior; no requiere hardware específico.
  • Licencia: Freeware (completamente gratuito, distribuido por Microsoft).
  • Idiomas: Inglés.
  • Soporte técnico: Foros de la comunidad Sysinternals en Microsoft Tech Community (techcommunity.microsoft.com); actualizaciones y mantenimiento activo por parte de Microsoft.

Cómo usar Autoruns

Autoruns no requiere instalación: se distribuye como ejecutable portátil que puede descargarse directamente desde learn.microsoft.com/sysinternals y ejecutarse desde cualquier ubicación, incluyendo una memoria USB. El primer requisito es ejecutarlo siempre con permisos de administrador mediante clic derecho > Ejecutar como administrador, ya que sin privilegios elevados el análisis será incompleto. En sistemas con seguridad en Windows reforzada o con UAC activo, el sistema pedirá confirmación antes de elevar los privilegios.

Paso 1 — Configurar los filtros básicos: Antes de analizar los resultados activa los filtros recomendados desde el menú Options: marca Hide Empty Locations para ocultar categorías sin entradas y Hide Microsoft Entries para centrarte en software de terceros y entradas sin firma. Si tienes conexión a Internet activa también puedes marcar Check VirusTotal.com para que el programa consulte automáticamente todos los ejecutables, aunque esto ralentiza el escaneo inicial.

Paso 2 — Revisar la pestaña Everything con el filtro aplicado: Con los filtros activos, la pestaña Everything mostrará únicamente las entradas que merecen revisión. Busca especialmente entradas resaltadas en rojo (sin firma digital o con firma inválida), entradas con rutas de ejecutable en ubicaciones inusuales como la carpeta Temp, AppData o el directorio raíz del sistema, y entradas sin descripción ni fabricante conocido. Para cualquier entrada sospechosa haz clic derecho y selecciona Search Online para buscar información sobre ella.

Paso 3 — Analizar categorías específicas: Revisa con especial atención las pestañas Scheduled Tasks (tareas programadas, mecanismo favorito del malware moderno), Services (servicios de Windows de terceros), Drivers (drivers no firmados por Microsoft) y Explorer (extensiones del shell que se cargan con el explorador de Windows). Estas categorías son las más frecuentemente utilizadas por malware avanzado y las que las herramientas convencionales de gestión de inicio omiten.

Paso 4 — Desactivar o eliminar entradas sospechosas: Para desactivar una entrada desmarca la casilla a su izquierda; la entrada permanece en el sistema pero no se ejecutará en el próximo arranque. Para eliminarla permanentemente haz clic derecho y selecciona Delete. Antes de eliminar cualquier entrada guarda una línea base del estado actual mediante File > Save para poder comparar y restaurar si es necesario. Para el análisis automatizado de múltiples sistemas usa Autorunsc desde la línea de comandos con el parámetro -c para generar salida CSV procesable con scripts.

Observaciones sobre el programa Autoruns

La principal diferencia técnica de Autoruns frente a cualquier otra herramienta de gestión de inicio, incluyendo la pestaña de Inicio del Administrador de tareas de Windows 10/11 o herramientas como Startup Mechanic o CCleaner, radica en la amplitud de su cobertura y en su orientación al análisis de seguridad. El Administrador de tareas de Windows cubre las entradas de Run del registro y las tareas programadas básicas, que son suficientes para la gestión doméstica del inicio pero absolutamente insuficientes para detectar malware avanzado.

Autoruns cubre además los drivers de dispositivo no firmados, los proveedores LSP que interceptan el tráfico de red, las extensiones del shell que se cargan en cada ventana del explorador, los proveedores de autenticación que pueden interceptar credenciales y docenas de categorías adicionales que son los vectores preferidos del malware sofisticado para garantizar su persistencia.

Los beneficios prácticos de Autoruns son especialmente evidentes en escenarios de respuesta a incidentes de seguridad.

Un técnico experimentado puede analizar un sistema sospechoso, aplicar los filtros de ocultación de entradas de Microsoft, activar la verificación de VirusTotal y obtener en menos de dos minutos una lista de todos los elementos no firmados o marcados como maliciosos por algún motor antivirus, con acceso directo a la ubicación de cada archivo en el disco para su análisis o eliminación.

Este flujo de trabajo que con otras herramientas requeriría horas de revisión manual, Autoruns lo reduce a minutos gracias a la combinación de cobertura exhaustiva, verificación de firmas y consulta a VirusTotal.

Mark Russinovich, el desarrollador principal de Autoruns, es una figura de referencia absoluta en el mundo de la ingeniería de sistemas Windows. Además de Autoruns y el resto de la suite Sysinternals (Process Explorer, Process Monitor, TCPView, PsTools y decenas de utilidades más), Russinovich es coautor de los libros de referencia Windows Internals junto a David Solomon y Alex Ionescu, la obra técnica más profunda y completa sobre el funcionamiento interno del sistema operativo Windows.

Actualmente es CTO de Microsoft Azure, cargo que compagina con el mantenimiento activo de la suite Sysinternals. Su blog técnico y sus presentaciones en conferencias de seguridad como RSA o Microsoft Ignite son seguidos por miles de profesionales de la seguridad informática en todo el mundo.

Las actualizaciones de Autoruns se han mantenido constantes desde su lanzamiento en 1996, con versiones regulares que añaden soporte para nuevas categorías de inicio a medida que Windows las introduce y que adaptan la herramienta a cada nueva versión del sistema operativo. La versión 14.x añadió soporte completo para Windows 11 y mejoró la integración con VirusTotal.

Al estar respaldado por Microsoft y mantenido por uno de los ingenieros de sistemas Windows más reconocidos del mundo, Autoruns es probablemente la herramienta gratuita de su categoría con mayor garantía de continuidad y actualización a largo plazo.

No existe versión web ni aplicación móvil de Autoruns, ya que su naturaleza de análisis profundo del sistema operativo Windows requiere acceso directo al registro y al sistema de archivos del equipo analizado. La versión de línea de comandos Autorunsc es la alternativa para entornos de automatización y scripting, y puede integrarse en pipelines de seguridad y sistemas de gestión de configuración empresarial como parte de auditorías automáticas de los equipos de la organización.

Limitaciones importantes:

  • ❌ En sistemas con rootkits activos a nivel de kernel, las APIs de Windows usadas por Autoruns pueden estar manipuladas para ocultar entradas maliciosas; el análisis offline es necesario en estos casos
  • ❌ La enorme cantidad de información mostrada puede resultar abrumadora para usuarios sin conocimientos técnicos avanzados
  • ❌ La interfaz está únicamente en inglés sin versión oficial en otros idiomas
  • ❌ El análisis con verificación de firmas y consulta a VirusTotal puede tardar varios minutos en sistemas con muchas entradas o conexión lenta

Para técnicos de seguridad, administradores de sistemas y usuarios avanzados que necesitan una auditoría completa y fiable de todo lo que se ejecuta automáticamente en Windows, Autoruns es sin duda la herramienta correcta y no tiene competidor real en su categoría.

Para usuarios domésticos que simplemente quieren gestionar los programas de inicio para acelerar el arranque, la pestaña Inicio del Administrador de tareas de Windows 10/11 es suficiente para ese caso de uso y no requiere instalar nada adicional.

Sección FAQ

¿Autoruns es gratuito? Autoruns es completamente gratuito y está distribuido oficialmente por Microsoft sin ninguna limitación funcional ni versión de pago. Puede descargarse directamente desde el sitio oficial en https://learn.microsoft.com/sysinternals/downloads/autoruns, que es la única fuente recomendada. También está disponible a través de Windows Package Manager (winget) con el comando winget install sysinternals para instalar toda la suite Sysinternals de una vez.

¿Funciona en Windows 10 y Windows 11? Sí, Autoruns es totalmente compatible con Windows 10 y Windows 11, tanto en 32 como en 64 bits, y recibe actualizaciones regulares para adaptarse a cada nueva versión del sistema operativo. La versión 14.x añadió soporte específico para Windows 11 y sus nuevas categorías de inicio. Al ser una herramienta mantenida activamente por Microsoft, su compatibilidad con las versiones actuales y futuras de Windows está garantizada a largo plazo.

¿Qué diferencia a Autoruns del Administrador de tareas de Windows? El Administrador de tareas de Windows 10/11 gestiona las entradas de Run del registro y algunas tareas programadas, cubriendo los casos de uso domésticos básicos.

Autoruns cubre más de sesenta categorías adicionales incluyendo drivers, extensiones del shell, proveedores LSP, proveedores de autenticación, codecs, complementos de navegadores y docenas de mecanismos más que el Administrador de tareas no expone. Para gestión doméstica básica el Administrador de tareas es suficiente; para análisis de seguridad y detección de malware avanzado Autoruns no tiene sustituto.

¿Puede Autoruns detectar rootkits? Autoruns puede detectar muchos tipos de malware persistente incluyendo algunos rootkits a nivel de usuario, especialmente cuando se usa la función de análisis offline desde un sistema limpio o WinPE, donde el código del sistema analizado no está activo.

Sin embargo, los rootkits a nivel de kernel más sofisticados pueden manipular las APIs de Windows que Autoruns usa para leer el registro y el sistema de archivos, ocultando sus propias entradas incluso al análisis. Para estos casos el análisis offline o herramientas especializadas en detección de rootkits como Malwarebytes Anti-Rootkit son el complemento necesario.

¿Cómo sé si una entrada de Autoruns es maliciosa o legítima? El criterio principal es la combinación de tres factores: ausencia de firma digital válida (entrada resaltada en rojo), ruta del ejecutable en una ubicación inusual (Temp, AppData, directorio raíz) y detección por parte de algún motor en VirusTotal.

Una entrada sin firma en AppData con detecciones en VirusTotal es casi con certeza maliciosa. Una entrada sin firma en Archivos de Programa de un fabricante conocido probablemente es software legítimo antiguo. Ante la duda, la búsqueda del nombre del ejecutable en Google junto a términos como «malware» o «safe» suele proporcionar respuesta en segundos, y los foros de seguridad en Windows de BleepingComputer son el recurso de referencia para identificar procesos desconocidos.

¿Qué es Autorunsc y cuándo debo usarlo? Autorunsc es la versión de línea de comandos de Autoruns que genera la misma información en formato texto o CSV sin interfaz gráfica. Debe usarse cuando se necesita integrar el análisis en scripts automáticos, cuando se analizan múltiples equipos remotos de forma programática, o cuando se quiere procesar la salida con otras herramientas como PowerShell, Python o sistemas de análisis de logs.

En entornos corporativos, Autorunsc puede ejecutarse como parte de las auditorías de seguridad periódicas para detectar cambios no autorizados en los puntos de inicio de todos los equipos de la organización de forma automatizada y centralizada.

Descargas