Gestionar certificados de terceros sospechosos en Windows puede ser un poco complicado, sobre todo porque pueden colarse a través de malware o incluso instalaciones aparentemente legítimas. Si tu sistema no funciona correctamente o simplemente quieres asegurarte de que no haya certificados sospechosos, revisar tu almacén de certificados es una buena idea. El objetivo es detectar cualquier cosa que no debería estar ahí, como una CA raíz fraudulenta o un certificado autofirmado que haya eludido los controles sin la debida aprobación. Este método con sigcheck es muy práctico, ya que compara los certificados instalados con las raíces de confianza oficiales de Microsoft y marca cualquier elemento sospechoso. En algunas configuraciones, ese certificado aleatorio puede ser una señal de malware o un certificado interno de la empresa que olvidaste. En cualquier caso, hacer esto con regularidad, sobre todo en instalaciones nuevas o OEM, mantiene tu sistema más seguro.
Cómo comprobar si hay certificados de terceros sospechosos en Windows
Método 1: Usar Sigcheck para detectar certificados no confiables
Esta herramienta es genial porque compara tus certificados con la lista de confianza de Microsoft, destacando los desconocidos o potencialmente maliciosos. Cuando se producen problemas de red o errores HTTPS, suele haber certificados falsos detrás. En muchos equipos, el malware instala su propia CA raíz porque necesita realizar ataques de intermediario o interceptar el tráfico; es un poco extraño, pero ocurre.¿La única pega? Primero necesitas tener permisos de administrador y descargar la herramienta.
- Descargue el archivo de la utilidad Sigcheck de la página de Sysinternals y extráigalo en una carpeta como c:\tools\sigcheck. Si esa carpeta no existe, créela. Como Windows tiene que complicar todo, a veces la extracción puede fallar si los permisos no son correctos, así que ejecútelo como administrador.
- Abra el símbolo del sistema como administrador. Para ello, pulse Windows + R, escriba
cmdy presione Ctrl + Shift + Enter. - Cambia al directorio donde extrajiste Sigcheck:.
cd c:\tools\sigcheckNo sé por qué, pero a veces el comando no lo reconoce a menos que hagas esto. - Ejecute el comando para escanear el almacén raíz de la máquina:
sigcheck64.exe -tv root. Es posible que vea varios certificados listados. El problema es que, si alguno de ellos tiene huellas digitales o información del emisor sospechosa, probablemente deba investigar más a fondo. - Para obtener un análisis completo de todas las tiendas, ejecute:
.\sigcheck64.exe -tv *. Para certificados específicos de usuario, agregue-u—\sigcheck64.exe -tuv *. A veces, el malware no consigue introducir sus certificados en la tienda del sistema, pero sí los introduce en la tienda del usuario, por lo que conviene comprobar ambos.
¿Qué es útil aquí? Sigcheck compara los certificados instalados con los de la lista de confianza de Microsoft, por lo que solo marca los que no coinciden. Si no tiene conexión a internet, el proceso es un poco más manual: necesita obtener el archivo authrootstl.cab del sitio web de Microsoft ( enlace aquí ) y colocarlo en la misma carpeta que Sigcheck. Esto le permite ejecutar comprobaciones sin conexión, lo cual es muy útil para sistemas aislados o para una auditoría rápida sin conexión.
En la mayoría de los casos, no debería ver ningún certificado de terceros que no haya instalado usted mismo. Si los hay, especialmente en el almacén raíz, podrían ser maliciosos o innecesarios. En equipos unidos a un dominio, recuerde que algunos certificados raíz se pueden enviar mediante la directiva de grupo, así que no se preocupe si ve algo que le resulte familiar si su equipo de TI administra su equipo.
Si encuentra algo sospechoso, copie la huella digital de la salida de Sigcheck y ejecute el comando de eliminación: certutil –delstore Root CB19F3F57A4EDB004059DEE436A1989D04275196. También puede limpiarlo con el editor visual certmgr.msc. Simplemente expanda Autoridades de certificación raíz de confianza > Certificados, haga clic con el botón derecho en el certificado sospechoso y seleccione Eliminar.
Porque, claro, Windows lo hace más complejo de lo necesario, así que estar atento a estos análisis ayuda a mantener a raya a los cibercriminales. Las comprobaciones periódicas son especialmente importantes en fabricantes de equipos originales (OEM) o sistemas con software preinstalado, que podría incluir certificados de confianza por razones extrañas.
Resumen
- Descargue Sigcheck del sitio de Microsoft.
- Ejecútelo como administrador y verifique sus almacenes de usuarios y raíz.
- Compare la lista con raíces confiables de Microsoft.
- Elimine cualquier certificado sospechoso mediante huella digital.
- Utilice certmgr.msc para una limpieza visual si es necesario.
- Haga esto periódicamente, especialmente en dispositivos nuevos u OEM.
Resumen
En resumen, controlar tu almacén de certificados no es mala idea; al malware le encanta instalar certificados raíz sospechosos porque eluden muchas comprobaciones de seguridad. Usar Sigcheck lo hace bastante sencillo una vez que le coges el truco. Revisarlo periódicamente, sobre todo después de instalar nuevo software o actualizaciones, puede ahorrarte dolores de cabeza en el futuro. Recuerda que algunos certificados internos o de empresa son válidos, así que no te preocupes si ves un par raros. Cruzamos los dedos para que esto te ayude y al menos te dé una idea de qué buscar si algo empieza a funcionar de forma extraña con HTTPS o el tráfico de red.