¿Te gustaría ver con qué equipos se está comunicando tu ordenador ahora mismo y cortar al vuelo lo que no te convence? Windows incluye utilidades nativas y, además, cuenta con TCPView de Sysinternals, una herramienta ligera que muestra conexiones en tiempo real y te permite actuar sobre ellas sin pelearte con la consola.
En escenarios domésticos o corporativos, saber quién habla con quién es clave para diagnosticar fallos, ajustar reglas del cortafuegos o bloquear redes no deseadas. TCPView y su homólogo en consola, Tcpvcon, dan visibilidad inmediata a nivel de proceso; y si prefieres lo de toda la vida, netstat sigue siendo un básico para inventarios rápidos desde la terminal.
TCPView: qué es y por qué resulta más práctico que un volcado de netstat
TCPView es una utilidad gratuita de Microsoft Sysinternals que muestra en tiempo real todos los puntos de conexión TCP y UDP del equipo, con direcciones local/remota, puertos y estado (ESTABLISHED, TIME_WAIT, etc.). A diferencia del listado textual, su interfaz permite localizar de un vistazo la actividad de cada proceso.
Una ventaja diferencial es que TCPView indica el nombre del proceso propietario y, cuando aplica, el servicio asociado. Con ello no solo ves IP/puerto, sino también qué ejecutable ha abierto el socket, fundamental para acotar diagnósticos o cazar software malicioso.
La aplicación refresca la vista cada segundo por defecto, aunque puedes cambiar la frecuencia en Opciones | Frecuencia de actualización. Además, la codificación por colores acelera la lectura: conexiones nuevas en verde, cambios de estado en amarillo y cierres en rojo.
Más allá de observar, TCPView permite actuar: cierra conexiones TCP establecidas desde Archivo | Cerrar conexiones o con el menú contextual. Es ideal para cortar comunicaciones inesperadas mientras investigas o ajustas políticas de seguridad.
Si necesitas dejar constancia, el programa guarda la salida a archivo con el menú Guardar. También puedes activar o desactivar la resolución de nombres de dominio desde la barra de herramientas o el menú, según prefieras hostnames legibles o IPs numéricas.
La herramienta es portable, no requiere instalación y puede ejecutarse al instante mediante Sysinternals Live. La descarga actual ronda 1,5 MB; en tiempos pasados llegó a pesar menos (por ejemplo, 208 KB en ciertos paquetes), pero siempre ha sido ligera y lista para usarse.
Como referencia histórica, el proyecto lleva la firma de Mark Russinovich y su documentación se ha actualizado recientemente. Eso es sinónimo de mantenimiento activo por parte del equipo de Sysinternals y de que seguirá siendo una pieza fiable en tu kit de auditoría.
Compatibilidad, descarga y ejecución
TCPView funciona en un rango amplio de sistemas: Windows 8.1 en adelante en cliente y Windows Server 2012 o posterior en servidor. Cubre, por tanto, la mayoría de entornos de escritorio y servidor actuales.
Puedes descargar la utilidad desde la web oficial de Microsoft o lanzarla al vuelo con Sysinternals Live si no quieres descargar nada. Al descomprimir, encontrarás la interfaz gráfica (Tcpview.exe) y la versión de consola (Tcpvcon.exe), que comparten núcleo de funcionalidades.
Para observar toda la actividad, ejecútala con privilegios elevados. Abrirla como administrador permite ver procesos del sistema y servicios que, de otro modo, podrían ocultarse por falta de permisos.
Cómo usar TCPView paso a paso
Al iniciar la aplicación, verás un listado de endpoints activos con columnas que muestran proceso, protocolo, direcciones/puertos y estado. Ordenar por proceso o por puerto ayuda a agrupar y detectar patrones inusuales en segundos.
Si prefieres leer hosts en claro, activa la resolución de nombres. Cuando te interese precisión forense o evitar latencias por DNS, desactiva esa opción para trabajar con IPs; en auditorías críticas, los números eliminan ambigüedades.
La interfaz resalta la actividad a cada refresco. Mucha alternancia en verde y rojo puede indicar reconexiones agresivas, escaneos o intentos de conexión recurrentes de una aplicación, señales que conviene investigar.
¿Detectas tráfico no deseado? Selecciona una o varias filas en estado ESTABLISHED y cierra el socket con Archivo | Cerrar conexiones o clic derecho. Recuerda que es una medida temporal: la aplicación de origen podría reconectar si sigue activa.
Para documentación o trabajo en equipo, guarda un volcado de la ventana desde el menú Guardar. Esa evidencia es muy útil para correlacionar con logs de firewall, IDS/IPS o EDR y, si procede, para un informe de incidente.
Tcpvcon: la potencia de TCPView en la línea de comandos
Si te mueves mejor en scripts, programaciones periódicas o servidores sin GUI, Tcpvcon ofrece la misma observabilidad desde consola. La sintaxis es directa y permite exportar resultados para análisis o SIEM.
Uso básico: tcpvcon . Con esto puedes listar el estado por proceso o por identificador, y aplicar los modificadores más útiles en auditoría diaria.
Modificadores destacados: -a muestra todos los endpoints (sin él, verás principalmente conexiones TCP establecidas), -c imprime en CSV para Excel o SIEM, y -n evita resolver nombres para reducir latencia y ganar precisión.
Un caso típico: tienes un PID sospechoso y quieres ver su actividad sin resolver nombres. Ejecuta tcpvcon -a -n 784 para centrarte en sus conexiones; con ello bajas al detalle del proceso y evitas ruido de otros ejecutables.
Netstat: comandos clave, comparación y consideraciones de rendimiento
Netstat es el veterano que siempre está ahí: permite inspeccionar conexiones TCP/UDP activas, puertos en escucha, estados, estadísticas y tabla de enrutamiento. Su salida es estática (se actualiza relanzándolo), pero sigue siendo muy valiosa.
Comandos de referencia rápida: netstat (lista conexiones y puertos con nombres), netstat -n (IPs y puertos numéricos), netstat -a (todas las conexiones y listening), netstat -b (requiere admin; asocia ejecutables).
En sesiones largas, puedes simular actualización continua con netstat -n 7 para refrescar cada 7 segundos. Y cuando precises detalle por proceso, añade -o para mostrar el PID y correlacionarlo con el Administrador de tareas.
La sintaxis general admite múltiples parámetros: netstat . Úsalos con cabeza y solo cuando aporten valor al análisis.
Impacto en el rendimiento: si abusas de netstat (ejecuciones continuas o con demasiados parámetros a alta frecuencia), puede consumir recursos apreciables. Recomendaciones: limítalo a casos concretos, pide solo la información necesaria, evita intervalos muy cortos y considera herramientas de monitoreo específicas si necesitas seguimiento en tiempo real.
Ventajas destacadas: visibilidad de conexiones activas, monitorización puntual del uso de red, identificación de conexiones sospechosas, resolución de incidencias y seguimiento de sesiones entre clientes y servidores para detectar persistencias anómalas.
También ofrece estadísticas por protocolo (netstat -s), por interfaz (netstat -e) y la tabla de enrutamiento con netstat -r; con ello puedes ver rutas activas y evaluar si algo no cuadra con tu topología y, si hace falta, modificar la prioridad de las interfaces.
Desventajas y límites: no cifra datos ni presenta interfaz gráfica, su salida puede resultar compleja de interpretar para perfiles no técnicos, y no es escalable para redes enormes. En sistemas modernos, muchas tareas se mueven a PowerShell o a herramientas más ricas, pero netstat sigue siendo útil como primer vistazo.
Uso en Windows paso a paso: abre CMD o Terminal como administrador, ejecuta netstat para una foto rápida, añade -n si quieres IPs/puertos numéricos y filtra por estado con findstr si buscas, por ejemplo, conexiones establecidas.
Ejemplos prácticos que conviene tener a mano: netstat -ano (puertos abiertos + PID), netstat -a (todas las conexiones), netstat | findstr ESTABLISHED (solo establecidas) o netstat -f (FQDN). En algunos tutoriales verás netstat -p IP para centrarse en IPv4; en Windows, el filtro habitual es por protocolo concreto (p. ej., TCP/UDP), pero la idea de acotar la salida es válida para depurar más rápido.
Escenarios reales con TCPView, Tcpvcon y netstat
Detección de spam saliente: si tu ISP bloquea el puerto 25 por envío masivo, lanzar TCPView en cada PC durante un minuto te ayuda a detectar al culpable viendo múltiples destinos remotos al puerto 25/587 con actividad constante.
Máquina infectada vs máquina limpia: en un equipo comprometido, verás múltiples conexiones SMTP simultáneas; en uno sano, la actividad será estable y sin picos extraños. Con el PID sospechoso identificado, usa tcpvcon -a -n 784 para listar sus sockets desde consola y completar la evidencia, y revisa con RootkitRevealer si sospechas presencia de rootkits.
Exposición indebida por NAT/port forwarding: si observas conexiones efímeras desde IPs desconocidas con bajo volumen de datos, puede ser ruido de Internet, escáneres o intentos. Revisa el cortafuegos, cierra redirecciones innecesarias y refuerza el perímetro cuanto antes.
Tráfico legítimo del sistema: ver conexiones asociadas al PID 4 (System) hacia controladores de dominio no implica malware. Correlaciona horarios, puertos y protocolos con las funciones del servidor antes de saltar a conclusiones.
Alertas de IDS/IPS: si tu solución de seguridad marca, por ejemplo, SERVER-WEBAPP Linksys E-series HNAP TheMoon (intento RCE), indica exploraciones o ataques contra dispositivos vulnerables. No significa compromiso en tu host Windows, pero sí que debes revisar tu exposición externa.
Buenas prácticas durante la investigación: congela evidencia guardando la salida de TCPView y los logs de firewall/IDS, verifica servicios abiertos con netstat/Tcpvcon y compáralos con la configuración esperada, revisa reglas de NAT y comprueba rutas y firmas de ejecutables en procesos sospechosos. Cerrar sockets desde la interfaz puede darte margen mientras aplicas medidas duraderas.
Herramientas complementarias para una auditoría completa
Para ampliar tu campo de visión, combínalo con otras utilidades. TCPView te da el “quién y ahora” a nivel de proceso, mientras que otras piezas cubren exposición y análisis profundo de tráfico.
Captura y análisis de paquetes: TCPDump/WinDump (línea de comandos para volcar paquetes; WinDump requiere WinPcap/Npcap) y Wireshark (interfaz gráfica para diseccionar protocolos con enorme detalle).
Descubrimiento y exposición de servicios: Nmap es el escáner de puertos de referencia para descubrir hosts, puertos abiertos, servicios e incluso inferir el sistema operativo; ideal para validar qué expones realmente.
Redes inalámbricas y pentesting: Aircrack-ng sirve para evaluar la fortaleza de claves WEP/WPA/WPA2 y analizar paquetes Wi-Fi, y Kali Linux reúne decenas de herramientas de pruebas de penetración, muchas con interfaz gráfica además de consola.
Otras alternativas y “todo en uno”: en distintos escenarios pueden aportar valor ipRoute2 (Linux), GlassWire (monitorización y gestión de firewall con foco en privacidad), Uptrends Uptime Monitor (supervisión de sitios y rendimiento con alertas), Germain UX (observabilidad orientada a sectores específicos), Atera (suite RMM con acceso remoto), Cloudshark (análisis y compartición de capturas), iptraf/iftop (tráfico en tiempo real por interfaz) y ss (Socket Statistics), alternativa moderna y más clara que netstat en Linux.
Preguntas frecuentes rápidas
¿Se puede usar netstat para detectar un puerto en uso por malware? Ejecuta netstat -ano para listar conexiones activas con PID. Si ves puertos o destinos desconocidos, comprueba el proceso en el Administrador de tareas o con TCPView y pasa un antivirus para confirmar.
¿Sirve netstat para monitorizar en tiempo real? No está pensado para ello, pero puedes simularlo con netstat -n para refrescar cada X segundos; para tiempo real efectivo, apóyate en herramientas de terceros.
¿Qué hago si veo IPs remotas desconocidas? Usa netstat -aof para obtener FQDN y PID, revisa el proceso asociado y, si huele raro, bloquea la IP en el Firewall de Windows, ejecuta un escaneo AV/EDR y desconecta el equipo de la red hasta aclararlo.
¿Ayuda netstat con cuellos de botella? Sí: con netstat -e y netstat -s puedes ver volumen y errores por protocolo. Si detectas picos o fallos anómalos, es pista de congestión o problemas en un segmento.
Notas menores que suelen aparecer en artículos y que puedes ignorar
En algunas páginas verás enlaces de contexto o promocionales que no tienen relación directa con la auditoría de conexiones, como ¿Qué es KMSpico?, soluciones a errores de Microsoft Store o listados de programas de voz para juegos. No afectan al uso de TCPView, Tcpvcon ni netstat, así que céntrate en las secciones técnicas.
TCPView brilla por su mezcla de visibilidad y acción inmediata: ves procesos, estados y destinos en vivo, cierras sockets si hace falta y dejas rastro en un archivo. Complementarlo con Tcpvcon para scripting y con netstat para inventarios puntuales, junto a capturas y escaneos selectivos, te permite pasar de la sospecha a la evidencia con rapidez, tanto en el PC de casa como en un servidor crítico.
