Comprobar la integridad y la autoría de lo que ejecutas en Windows es de esas tareas que, cuando las dominas, te ahorran horas de incertidumbre. Con Sigcheck, la utilidad de Sysinternals, puedes verificar firmas digitales, cadenas de certificados y reputación de ficheros en VirusTotal, todo desde consola y con precisión quirúrgica.
Más allá de lo purista, hablamos de prevención real: localizar binarios sin firmar en rutas críticas como C:\\Windows\\System32, contrastar hashes con decenas de motores antivirus, y dejar registro en CSV. Es una pieza clave para auditoría, hardening y respuesta a incidentes que conviene tener a mano en cualquier kit de administración.
Qué es Sigcheck y por qué es tan útil
Sigcheck, obra de Mark Russinovich dentro de la suite Sysinternals, muestra versión de archivo, marcas de tiempo y detalles de la firma digital, incluyendo la cadena de certificados completa. Además, puede consultar la reputación del hash en VirusTotal y, si lo indicas, subir muestras no analizadas para su examen automatizado.
Su uso típico es doble: por un lado, inventario y detección de ejecutables sin firma o con firmas no confiables; por otro, triage de seguridad consultando detecciones en VirusTotal, con opción de abrir los informes web automáticamente y filtrar lo realmente importante.
En ubicaciones legítimas como \\System32 cualquier archivo sin firma merece, como mínimo, investigación. Que algo no esté firmado no lo convierte en malicioso, pero sí eleva el nivel de sospecha y requiere verificar procedencia y hash antes de permitir su ejecución.
Sigcheck es portable, sin instalador: descargas el ZIP, lo extraes y ejecutas el binario. Para rematar, ofrece salidas CSV que facilitan trabajar offline, compartir resultados y automatizar flujos.
Descarga, compatibilidad y primeras comprobaciones
La utilidad funciona correctamente en sistemas modernos. En documentación de referencia verás dos líneas de compatibilidad: una indica Cliente: Windows 8.1+; Servidor: Windows Server 2012+; Nano Server: 2016+, y otra menciona Cliente: Windows Vista+; Servidor: Windows Server 2008+. En la práctica, no tendrás problemas en versiones recientes de Windows.
Hay menciones a la revisión v2.82 y a una publicación de Russinovich fechada en julio de 2022 describiendo su uso. Lo importante: descarga el ZIP oficial, extrae y verifica que la ayuda responde con el parámetro de ayuda breve.
Desde PowerShell puedes bajar y extraer así (requiere conectividad): usa estos comandos tal cual para una instalación desatendida en tu carpeta actual.
Invoke-WebRequest -Uri https://download.sysinternals.com/files/Sigcheck.zip -OutFile Sigcheck.zip
Expand-Archive -Path .\Sigcheck.zip -DestinationPath .\
Después, comprueba que el binario responde con la ayuda de línea de comandos, porque te confirmará rutas y permisos antes de lanzarte al análisis:
sigcheck.exe -?
Sintaxis base y modos de ejecución
Sigcheck ofrece varias llamadas en función de si analizas archivos, catálogos, CSVs para uso offline o almacenes de certificados. Es conveniente memorizar la forma general para moverte rápido entre casos de uso.
sigcheck [-a][-h][-i][-e][-l][-n][[-s]|[-c|-ct]|[-m]][-q][-r][-u][-vt][-v[r][s]][-f catalog_file] file_or_directory
sigcheck -d [-c|-ct] file_or_directory
sigcheck -o [-vt][-v[r]] sigcheck_csv_file
sigcheck -t[u][v] [-i] [-c|-ct] <certificate_store_name | *>
En algunos listados aparece -q en la sintaxis aunque no siempre se documenta su descripción; el resto de modificadores están bien cubiertos y conviene dominarlos para formatear salida, ampliar análisis y hablar con VirusTotal.
Parámetros clave explicados uno a uno
Antes de lanzarte, ten a mano este mapa mental de modificadores. Te ayudará a ajustar la herramienta al detalle que cada caso requiere sin repetir escaneos.
| Parámetro | Qué hace |
|---|---|
| -a | Muestra información de versión extendida e entropía en bits/byte para estimar aleatoriedad/ofuscación. |
| -accepteula | Acepta en silencio el EULA de Sigcheck; sin prompts interactivos. |
| -c | Salida en CSV con coma como delimitador. |
| -ct | Salida en CSV con tabulador como delimitador. |
| -d | Vuelca el contenido de un archivo de catálogo (.cat). |
| -e | Restringe a imágenes ejecutables aunque su extensión no lo parezca. |
| -f | Busca la firma en el catálogo especificado. |
| -h | Muestra hashes de archivo (MD5/SHA, etc.). |
| -i | Incluye nombre de catálogo y cadena de firma. |
| -l | Recorre symlinks y uniones de directorios. |
| -m | Vuelca el manifiesto embebido. |
| -n | Muestra solo el número de versión. |
| -nobanner | Modo silencioso, sin banner de inicio. |
| -o | Consulta VirusTotal usando hashes de un CSV generado previamente con -h; ideal para entornos offline. |
| -p | Verifica firmas contra una política (GUID) concreta. |
| -r | Deshabilita la comprobación de revocación de certificados. |
| -s | Recorre subdirectorios recursivamente. |
| -t[u][v] | Vuelca el almacén de certificados indicado o todos con *; añade -tu para el almacén de usuario y -tv para usar raíces de confianza de Microsoft filtrando lo no válido. Si no hay Internet, usa authrootstl.cab o authroot.stl del directorio actual si existen. |
| -u | Sin VT: lista solo no firmados. Con VT: muestra archivos desconocidos o con detección > 0. |
| -v[rs] | Consulta VirusTotal por hash. Con r abre informes web si hay detecciones; con s sube archivos no analizados (los resultados pueden tardar minutos). |
| -vt | Marca la aceptación de los Términos de VirusTotal; si no, aparecerá un prompt la primera vez. |
La combinación típica en una auditoría rápida es mezclar -u -e -s -vt y, si quieres informes web, añadir -vr. Así centras la atención en lo que requiere revisión inmediata.
Comprobación rápida de System32 y análisis offline
Un primer disparo muy práctico es buscar ejecutables sin firma en C:\\Windows\\System32. Este comando ya te da una lista accionable con muy poco esfuerzo:
sigcheck -e C:\\Windows\\System32
Para grandes volúmenes o entornos sin salida a Internet, conviene separar la captura de hashes y su consulta a VT. Primero vuelcas a CSV y luego haces el lookup desde otro equipo o más tarde:
sigcheck -h -ct -s C:\\Windows\\System32 > resultados.tsv
Después, cuando puedas consultar VirusTotal, ejecuta el modo offline sobre el CSV, aceptando TOS y abriendo informes con detección:
sigcheck -o -vt -vr resultados.tsv
VirusTotal desde la consola: términos, subida y filtros
Sigcheck usa la API de VirusTotal para comparar el hash del archivo contra múltiples AV. Necesitas aceptar los términos con -vt (la primera vez puede preguntarte si no lo incluyes). Es ideal para descartar falsos positivos con contexto agregado.
El modificador -v activa la consulta; añadir r abre informes para los que tienen detección y s sube muestras desconocidas. Ten paciencia: cuando subes un fichero nuevo los resultados pueden tardar cinco minutos o más.
Para lotes grandes, lo más cómodo suele ser generar antes un CSV con -h y -c / -ct y luego lanzar el modo -o sobre ese fichero. Es una forma de industrializar la triage sin saturar la red o la consola.
Certificados, almacenes y cadenas de confianza
Además de archivos, Sigcheck puede explorar almacenes de certificados. Con -t indicas un almacén (o * para todos) y con -tu cambias al almacén de usuario. Agregar -tv hará que descargue la lista de raíces confiables de Microsoft y filtre para mostrar solo certificados válidos no enraizados en esa lista.
Si el equipo no tiene Internet, Sigcheck intentará usar authrootstl.cab o authroot.stl del directorio actual, si están presentes. Este detalle viene de perlas en laboratorios, redes aisladas y análisis forense.
Escenarios forenses: imágenes montadas y catálogos
Cuando trabajas con imágenes de equipos víctimas, es recomendable importar el catálogo de firmas del sistema original al host de análisis, o muchas firmas no podrán verificarse correctamente. No es imprescindible, pero mejora muchísimo la validación.
Un procedimiento práctico puede ser: copiar desde la imagen las carpetas del servicio criptográfico, por ejemplo \C\Windows\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}, renombrar GUID para evitar conflictos, colocar en ruta equivalente (p. ej. \C\Windows\System32\CatRoot\{127D0A1D-4EF2-11D1-8608-00C04FC295E9}), reiniciar el servicio Cryptographic Services desde services.msc y ejecutar Sigcheck contra la imagen montada.
Para catálogos concretos usa -d (volcado de contenido) y -f (búsqueda de firma en un catálogo especificado). Esto resulta especialmente útil para drivers y componentes de sistema donde el catálogo manda.
Contexto: Sysinternals, Russinovich y ecosistema
Sysinternals es una colección gratuita de utilidades que Microsoft adquirió en 2006. Mark Russinovich ha mostrado en charlas cómo usarlas para detectar, analizar y limpiar malware, y Sigcheck encaja como pieza ligera y precisa dentro de ese arsenal.
Del archivo histórico destaca el anuncio de Sigcheck v1.0 en un boletín de 2005 junto a otras herramientas como Autoruns, Process Explorer, TCPView/Tcpvcon y PsTools. Aquel boletín recogía, además, estadísticas de uso de Sysinternals, referencias en Microsoft KB y el reconocimiento de Russinovich como MVP, junto con contenidos técnicos (DEP, depuración con LiveKd, etc.). No necesitas memorizarlo todo, pero da contexto sobre la solidez del proyecto y su evolución constante.
Otras vías para verificar integridad: SHA, Certutil, PowerShell y 7-Zip
Confirmar que un archivo no ha sido alterado también puede hacerse sin Sigcheck, comparando su hash criptográfico con el publicado por el proveedor. Es la manera clásica de validar autenticidad e integridad antes de ejecutar instaladores, ISOs o firmware.
En Windows tienes varias opciones. Con PowerShell, lo más directo para un SHA-256 es:
Get-FileHash "ruta\\al\\archivo.ext" -Algorithm SHA256
El hash obtenido debes compararlo con el valor oficial de la web del fabricante. Si coinciden exactamente, estás ante el mismo fichero; si no, descárgalo de nuevo o desconfía de su origen.
Windows también incluye Certutil, muy útil y omnipresente desde Windows 7+. Sirve para generar hashes con varios algoritmos:
certutil -hashfile "ruta\\al\\archivo.ext" SHA256 > archivo.sha256.txt
Otra vía sencilla es usar 7-Zip: clic derecho > CRC SHA > elige SHA-256 o SHA-1. Es rápido y cómodo, aunque siempre es preferible SHA-256 frente a SHA-1 cuando sea posible.
HashCheck: integración en el Explorador y verificación masiva
Si prefieres una integración visual, HashCheck es gratuito y de código abierto. Añade una pestaña «Checksum» en las propiedades de archivo y permite guardar y comprobar listas de verificación en formatos .sfv, .md4, .md5 o .sha1.
Su funcionamiento es muy ágil: puedes generar el checksum de un fichero y, más tarde, revalidarlo para saber si ha cambiado. También soporta trabajar con carpetas, creando un archivo de verificación para todos los elementos contenidos, marcando en rojo los que no coinciden.
Si no tienes HashCheck instalado pero conservas el archivo de verificación, basta con abrirlo con Bloc de notas para ver los hashes y comparar manualmente. No es lo más cómodo, pero te saca del apuro en un minuto.
Casos de uso de hashes más allá de Sigcheck
Las funciones hash sirven para mucho más que descargas: ayudan a verificar integridad de datos en transferencias, detectar duplicados, y forman parte del mecanismo de firmas digitales de documentos y software.
En servicios online, lo habitual es almacenar hashes de contraseñas y no las contraseñas en sí. Así, al validar, se compara el hash; de este modo se evita guardar secretos en claro y se reduce el impacto de incidentes.
También pueden respaldar la protección de derechos de autor, gestionar catálogos de firmas antimalware o ayudar a los antivirus a identificar familias conocidas de código malicioso a partir de su huella.
Cuando descargas firmware (router, AP, BIOS, etc.), conviene verificar el hash antes de actualizar. Un fichero corrupto puede dejar inservible el dispositivo, y los fabricantes suelen facilitar SHA-256 o similares en sus portales.
En almacenamiento y backup, comparar hashes permite localizar archivos duplicados y optimizar espacio. Y en criptografía aplicada, los hash son columna vertebral de blockchain y criptomonedas (árboles de Merkle, direcciones, minería, contratos, etc.).
Algoritmos frecuentes y consideraciones de seguridad
Entre los algoritmos más usados están SHA-2 (especialmente SHA-256) y SHA-3; también sobreviven SHA-1 y MD5, aunque estos últimos no se consideran seguros para colisiones. En la parte moderna destacan BLAKE2/BLAKE3 por eficiencia y velocidad.
Ojo con la confianza ciega: un hash puede ser falsificado si también falsifican la página donde lo consultes. Por eso, siempre que sea viable, valida por múltiples canales (sitio oficial con HTTPS, firma PGP/catálogo, reputación VT, etc.).
En escenarios hostiles, también se han visto ataques de confusión de usuarios compartiendo hashes falsos, o abusos de verificación masiva para intentar sobrecargar servidores. Mantén buenas prácticas de autenticación y permisos para minimizar riesgos.
Pequeños trucos para trabajar mejor con Sigcheck
Si vas a revisar miles de ficheros, redirige salida a CSV/TSV y comparte el resultado con tu equipo para que todos apliquen el mismo criterio. Ganarás trazabilidad y consistencia en el análisis.
Combinar -a (entropía), -h (hashes) y -v (VT) te da una visión por capas: empaquetadores, huellas y reputación. Esta fusión reduce falsos positivos y acelera decisiones.
Si vas a usar funciones de VirusTotal por primera vez, no olvides -vt. Y cuando no haya Internet, prepara con antelación authrootstl.cab/authroot.stl en el directorio actual para validar cadenas con -tv.
Para una triage de System32 muy recurrente entre administradores, un comando directo y efectivo es:
sigcheck.exe -u -e -vt C:\\Windows\\System32
Ejemplos útiles que te sacan de dudas
Volcado de almacén de certificados del equipo y filtrado por raíces de Microsoft para ver solo válidos no anclados en esa lista:
sigcheck -tv -i -ct *
Buscar firmas en un catálogo y volcar su contenido a CSV con tabulador:
sigcheck -d -ct "C:\\Windows\\System32\\CatRoot\\*.cat"
Recorrer simbólicos y subdirectorios, limitando a ejecutables y generando CSV por comas con hashes:
sigcheck -l -s -e -h -c "D:\\Apps" > inventario_apps.csv
Consultar un CSV de hashes previamente capturado (modo offline) y abrir informes de lo que tenga detección positiva:
sigcheck -o -vt -vr -c inventario_apps.csv
Notas de compatibilidad y versiones a tener presentes
Como ya se ha mencionado, verás referencias a dos bloques de compatibilidad: uno que parte de Windows 8.1/Server 2012 y otro que abarca desde Windows Vista/Server 2008. En cualquier caso, en equipos actuales funciona con normalidad.
En fichas y traducciones circula la referencia a Sigcheck v2.82 y a cambios de 2021-2022. Si necesitas una versión concreta por políticas de tu organización, usa el ZIP oficial y verifica su firma.
Recordatorio de seguridad para el día a día
Acepta los TOS de VirusTotal con -vt para evitar prompts. Investiga cualquier archivo sin firmar antes de ejecutarlo, especialmente si vive en rutas del sistema. Y si trabajas en redes aisladas, lleva contigo los ficheros authroot para validar raíces.
Integrar Sigcheck en tus flujos te permite validar integridad, automatizar inventarios de firmas, generar CSVs de verificación, contrastar reputación y explorar almacenes de certificados. Es ligero, portátil y, bien usado, multiplica tu visibilidad en Windows sin necesidad de despliegues pesados.
Dominar Sigcheck y complementar con PowerShell, Certutil, 7-Zip y HashCheck te da una caja de herramientas sólida para verificar archivos, entender su procedencia, validar firmas y tomar decisiones con datos que puedes defender ante cualquier auditoría.