Cómo saber si tu PC tiene un certificado raíz malicioso instalado

¿Cómo saber si tu PC tiene un certificado raíz malicioso instalado? Cuando tu ordenador empieza a ir lento, a mostrar avisos raros del navegador o a fallar en conexiones seguras, lo primero en lo que pensamos es en un virus, malware o algún programa sospechoso. Sin embargo, hay un tipo de amenaza silenciosa de la que casi nadie habla: los certificados raíz maliciosos o mal configurados instalados en el sistema. Estos certificados pueden permitir que un atacante espíe tu tráfico cifrado o incluso suplante webs legítimas sin que te enteres.

Durante los últimos años han salido a la luz casos sonados, como el del bloatware Superfish en portátiles Lenovo, que instalaba un certificado raíz inseguro y abría la puerta a ataques man-in-the-middle. Y no hace falta tener un portátil de esa marca: otros fabricantes, aplicaciones de terceros, herramientas corporativas e incluso malware pueden colar sus propios certificados en tu equipo. Por eso, conviene saber cómo detectar certificados raíz peligrosos, cómo ver todos los certificados instalados y cómo gestionarlos con seguridad.

Qué es un certificado digital, qué tipos hay y por qué puede ser peligroso

Un certificado digital es básicamente un archivo electrónico que vincula una identidad (persona, empresa o servidor) con una clave pública, firmado por una Autoridad de Certificación (CA). Sirve para identificarnos ante sedes electrónicas, firmar documentos, cifrar comunicaciones web (HTTPS) o autenticar servicios internos en empresas.

Las características clave de un certificado son que lo emite una CA reconocida, tiene una fecha de validez y se almacena en un lugar concreto: el navegador, el almacén de certificados del sistema operativo, un DNIe, una tarjeta criptográfica o un dispositivo USB criptográfico. Cuando visitas una web HTTPS o firmas un trámite online, el sistema comprueba esta información para saber si puede confiar en ese certificado.

No todos los certificados son iguales. Podemos encontrarnos con certificados de persona física para ciudadanos, certificados de representación para actuar en nombre de una empresa u organización, certificados de empleado público, de sede electrónica o de sello electrónico en la Administración. Además, en el ámbito web existen certificados de servidor (SSL/TLS), certificados wildcard o SAN e incluso certificados auto-firmados usados en entornos internos o de pruebas.

El riesgo aparece cuando un certificado, especialmente si es de tipo raíz o de una entidad de certificación intermedia, se instala sin control o es malicioso. Un certificado raíz de confianza permite validar muchos otros certificados que «cuelgan» de él, de modo que, si un atacante consigue colar uno propio en tu equipo, puede utilizarlo para interceptar, modificar o firmar tráfico como si fuera legítimo.

También es un problema tener certificados correctos pero mal configurados: certificados caducados, emitidos para otro dominio distinto, cadenas de confianza incompletas (faltan intermedios) o CAs no confiables en el navegador. Todo esto causa errores de «conexión no privada», fallos en sedes electrónicas o imposibilidad de firmar solicitudes, con el añadido de que a veces cuesta distinguir qué es fallo de configuración y qué podría ser un intento de ataque.

Por qué comprobar certificados y señales de que algo no va bien

Navegar sin revisar los certificados es un poco como abrir la puerta de casa a cualquiera que diga ser del banco: igual es verdad, igual no. Si aceptas avisos de seguridad a ciegas, corres el riesgo de que alguien intercepte tus credenciales, lea tus comunicaciones o te redirija a páginas falsas que se hacen pasar por webs oficiales.

Los navegadores modernos como Chrome, Firefox, Edge o Safari muestran alertas claras cuando algo chirría en el certificado de un sitio: mensajes de «Conexión no privada», «Certificado no válido» o iconos de candado roto o tachado en la barra de direcciones. También pueden fallar formularios de inicio de sesión, dejar de cargar imágenes o scripts, o aparecer errores de nombre común cuando el certificado no coincide con el dominio.

Además de la navegación web, en el terreno de los trámites administrativos y la firma electrónica es crucial revisar el estado del certificado digital personal. Plataformas como la FNMT ofrecen servicios de verificación para saber si tu certificado está válido o revocado. Si intentas presentar una solicitud y tu certificado está caducado, revocado o mal instalado, el sistema puede bloquearte el acceso o no dejarte firmar.

La comprobación periódica también es importante en empresas y administraciones, donde hay decenas de certificados distintos con fechas de caducidad, permisos y usos variados. Si no se controlan adecuadamente, es fácil que un certificado crítico caduque y deje de funcionar un servicio, o que se use un certificado donde no corresponde, con consecuencias legales y de seguridad.

Por si fuera poco, Windows y la propia infraestructura PKI pueden fallar puntualmente: hay escenarios en los que certificados raíz válidos distribuidos por directiva de grupo aparecen de repente como «no de confianza», causando errores intermitentes en aplicaciones como RDS, Citrix, Skype o navegadores. Esto suele deberse a cómo se actualiza el registro y a la sincronización de CryptoAPI con las nuevas entradas del almacén raíz.

Cómo saber si tu PC tiene un certificado raíz malicioso o incorrecto

Una de las formas más prácticas de revisar certificados raíz en Windows es usar herramientas especializadas. Entre ellas destaca Sigcheck, de la suite Sysinternals, que permite listar y analizar los certificados del sistema desde la línea de comandos para detectar entradas problemáticas.

El procedimiento general consiste en descargar Sigcheck desde la web oficial de Microsoft, descomprimir el archivo en una ruta cómoda (por ejemplo, en C: o en el Escritorio) y abrir una ventana del símbolo del sistema. Desde ahí, usando el comando CD, te sitúas en la carpeta donde dejaste la herramienta para poder ejecutarla sin complicación.

Una vez en la carpeta adecuada, basta con lanzar el comando sigcheck -tv para que la utilidad revise todos los certificados instalados en tu ordenador. Esta comprobación examina tanto certificados del usuario como del equipo y, si encuentra algo sospechoso, lo marca claramente para que puedas investigarlo. Si todo está limpio, Sigcheck te indicará que no se han detectado certificados incorrectos en el sistema.

Cuando aparezca alguna entrada marcada como potencialmente peligrosa, conviene no precipitarse. Es fundamental verificar que no se trata de un certificado que pertenezca al sistema operativo, a tu antivirus, a una VPN corporativa o a otra aplicación legítima. Sólo cuando tengas claro que es un certificado falso, inseguro o innecesario, tiene sentido plantearse su eliminación.

Para borrar un certificado raíz en Windows, puedes buscar «certificados» en el menú Inicio o en el cuadro de búsqueda y abrir la consola de Administrar certificados de equipo. Dentro del almacén correspondiente, la mayoría de certificados de confianza se encuentran en la rama «Entidades de certificación raíz de confianza > Certificados». Allí podrás localizar los certificados concretos que te haya señalado Sigcheck y eliminarlos con cuidado.

Ver y gestionar certificados instalados en Windows, Mac y navegadores

Más allá de detectar certificados maliciosos, es útil saber en todo momento qué certificados tienes instalados, dónde están y cuándo caducan. Esto se puede hacer desde el propio sistema operativo o desde cada navegador, con ligeras diferencias según la plataforma que utilices.

En Windows, la forma más directa de ver todos tus certificados es abrir el menú de Inicio y escribir certmgr.msc. Esta consola muestra las carpetas de certificados organizadas en función de su uso: personales, entidades emisoras intermedias, entidades de certificación raíz de confianza, etc. La carpeta «Personal» suele contener tus certificados de usuario, mientras que las demás agrupan CAs, certificados de servidor y otras entidades de confianza.

Al hacer doble clic en cualquier certificado, se abre una ventana con datos de titular, emisor, fechas de validez, ruta de certificación y detalles técnicos de la clave. Esta información te permite comprobar si un certificado ha caducado, quién lo firma y a qué cadena pertenece, además de ver para qué usos está habilitado (firma, cifrado, autenticación de cliente, etc.).

En MacOS, el equivalente es la aplicación Acceso a Llaveros. Puedes localizarla en la carpeta «Otros» de Launchpad o buscando su nombre en Spotlight. Desde ahí seleccionas el llavero adecuado (inicio de sesión, sistema, iCloud, etc.) y la categoría «Mis certificados» o «Certificados» para ver las entradas disponibles, sus fechas de expiración y su configuración de confianza.

Tanto en Windows como en Mac, la vista de certificados del sistema se completa con la gestión integrada en los navegadores. Chrome, Edge y Firefox permiten ver e incluso exportar e importar certificados desde sus menús de configuración, normalmente bajo las secciones de Privacidad y seguridad o directamente bajo «Certificados» o «Seguridad».

Cómo comprobar el certificado de una web en Chrome y Firefox

Si lo que quieres es saber si el certificado de una web concreta está bien instalado, el propio navegador ofrece todo lo necesario. En Google Chrome (tanto en Windows, Linux como Mac), basta con entrar en la página HTTPS que te interese y hacer clic en el candado situado a la izquierda de la barra de direcciones. Desde ahí verás opciones como «Certificado» o «La conexión es segura».

Al abrir los detalles aparecen campos como el sujeto (Common Name), los nombres alternativos (SAN), la entidad emisora y las fechas de validez. Es importante comprobar que el nombre de dominio al que te conectas aparece en el SAN o en el CN, que la fecha de caducidad no ha pasado y que la ruta de certificación muestra una cadena completa hasta un certificado raíz de confianza reconocido por el sistema.

Un problema muy común es que el servidor no envíe el certificado intermedio necesario para completar la cadena. En ese caso, aunque el certificado raíz sea confiable, Chrome puede mostrar advertencias o no enseñar el candado. Desde la pestaña de detalles de la ventana de certificado, revisa la ruta de certificación para ver si aparecen todos los niveles (servidor, intermedio, raíz) o falta alguno.

Otro aspecto clave es la revocación. Chrome suele comprobar si un certificado ha sido revocado mediante OCSP o listas de revocación (CRL). Si el servidor del emisor no responde adecuadamente o hay problemas de conexión, puedes recibir errores. Probar en modo incógnito o desactivando extensiones ayuda a descartar interferencias externas, y en sitios que usan HSTS no se permite añadir excepciones de seguridad: si el certificado falla, el acceso queda bloqueado por diseño.

En Mozilla Firefox el enfoque es similar, pero con una particularidad importante: Firefox mantiene su propio almacén de certificados, independiente del sistema operativo. Para ver el certificado de un sitio, haz clic en el candado, luego en «Más información» y después en «Ver certificado». Desde ahí revisarás sujeto, emisor y ruta de certificación, con posibilidad de exportar el certificado para análisis avanzados.

Certificados de cliente, FNMT y sedes electrónicas

Cuando realizas trámites online con la Administración, lo habitual es que se use un certificado de ciudadano, de empresa o de empleado público emitido por entidades como la FNMT o por otras autoridades admitidas en la plataforma @firma. Estos certificados pueden estar instalados en el navegador, en el almacén del sistema, en el DNIe o en dispositivos criptográficos externos.

Antes de presentar una solicitud, conviene comprobar que tu certificado está operativo. La FNMT pone a disposición de los usuarios un servicio de verificación de certificados que permite saber si el certificado está correctamente instalado y si se encuentra vigente o revocado. Para usarlo, accedes a la sección de verificación en su web, pulsas en «Solicitar verificación» y el sistema examina los certificados presentes en tu navegador.

El navegador mostrará una lista con los certificados disponibles y podrás seleccionar el que quieras comprobar. Tras ello, se presentan los datos del certificado: estado (válido, caducado o revocado), titular, emisor y fechas de vigencia. Es una forma rápida de asegurarte de que tu certificado funciona antes de meterte en un trámite largo.

En paralelo, puedes verificar la instalación desde el propio navegador. En Chrome o Edge, por ejemplo, entras en el menú de tres puntos, vas a «Ajustes», accedes a «Privacidad y seguridad» (o «Privacidad, búsqueda y servicios» en Edge) y, dentro del apartado de seguridad, abres la ventana de «Certificados». En la pestaña de «Personal» o «Persona» verás los certificados de usuario instalados en el navegador o en el almacén del sistema.

Al hacer doble clic sobre el certificado verás quién lo ha emitido, para qué usos está autorizado y hasta qué fecha es válido. Si no aparece ningún certificado, puedes volver a importarlo desde la opción de «Importar» en esa ventana, seleccionando el fichero con extensión .pfx o .p12 y proporcionando la contraseña asociada. Es recomendable marcar la opción de incluir todas las propiedades extendidas para no perder capacidades de firma o cifrado.

En España, muchas sedes electrónicas dependen de configuraciones específicas de sistemas operativos, navegadores y versiones de Java. Hay portales que aún indican compatibilidad con Internet Explorer o con versiones concretas de Firefox y Chrome, y que requieren añadir la URL de la sede entre los «sitios de confianza» del navegador. En algunos casos hay que instalar certificados intermedios adicionales, como el certificado de Red.es, o módulos criptográficos para el DNIe.

Herramientas avanzadas: OpenSSL, certutil y registro de Windows

Para diagnósticos más profundos, sobre todo en entornos corporativos, es útil ir más allá del navegador. OpenSSL, por ejemplo, permite conectarse a un servidor y ver todos los certificados que envía, incluidos intermedios. Un comando típico sería:

openssl s_client -connect ejemplo.com:443 -showcerts -servername ejemplo.com

Con este comando puedes revisar si el servidor entrega la cadena completa y analizar fechas, sujeto y emisor de cada certificado. Si quieres verificar una cadena concreta usando un archivo de CA locales, añades la opción -CAfile ruta/al/archivo.pem. Esta comprobación resulta muy útil cuando una web funciona bien en unos navegadores y mal en otros, o cuando sospechas que hay un proxy interceptando tráfico SSL.

En Windows, además de certmgr.msc, tienes a tu disposición la herramienta de línea de comandos certutil, que permite agregar certificados raíz al almacén adecuado o listarlos de forma detallada. Un ejemplo sencillo para añadir un certificado raíz desde un archivo sería:

certutil -addstore root c:\tmp\rootca.cer

Este tipo de comandos viene muy bien cuando se necesita distribuir un certificado de CA interna en muchos equipos sin depender de la consola gráfica. Microsoft también describe métodos para publicar certificados raíz a través de preferencias de directiva de grupo, escribiendo directamente en la ruta de registro HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates en lugar de usar la directiva específica de «Certificación raíz de confianza», que puede causar problemas intermitentes de confianza en algunos escenarios.

De hecho, se han documentado casos donde certificados raíz válidos distribuidos mediante GPO aparecen periódicamente como «no confiables», con errores como CERT_E_UNTRUSTEDROOT (0x800b0109). La causa suele estar en que el contenido de HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\Certificates se borra y reescribe durante el procesamiento de la directiva, y algunas aplicaciones no llegan a recibir la lista completa de raíces actualizada a tiempo. En estos casos, distribuir el certificado raíz mediante otros métodos (certutil, consola certlm.msc, preferencias de GPO) suele ser una solución efectiva.

Detección de procesos maliciosos relacionados y refuerzo de la seguridad

Un certificado raíz malicioso rara vez llega solo: muchas veces forma parte de una infección o de la instalación de algún software dudoso, incluso desde un USB; conviene analizar un USB antes de abrir archivos. Por eso, además de revisar certificados, es buena idea monitorizar procesos activos que puedan estar manipulando el almacén de certificados o interceptando tráfico cifrado.

En Windows, el Administrador de tareas te ayuda a identificar procesos que consumen recursos de forma anómala. Desde él puedes listar las aplicaciones en ejecución, revisar el porcentaje de CPU, memoria y red, y hacer clic derecho en cualquier proceso para ver sus propiedades. Si detectas un nombre raro, consumo exagerado o una ruta de instalación sospechosa, puedes buscar información en servicios como File.net o en bases de datos de malware.

Si confirmas que un proceso es malicioso o no deseado, puedes finalizar la tarea desde el propio Administrador de tareas. Aun así, esto sólo detiene el síntoma: conviene pasar cuanto antes un análisis completo con tu antivirus o con una herramienta antimalware especializada para eliminar el origen de la infección y cualquier certificado que haya podido instalar.

En Mac, el Monitor de Actividad cumple una función similar. Desde él puedes ver todos los procesos en segundo plano, comprobar consumo de recursos y, si algo no cuadra, obtener información detallada pulsando en el icono de información. Si detectas actividades sospechosas, puedes forzar su cierre con el icono de la cruz o lanzar diagnósticos adicionales y, posteriormente, pasar un escaneo con un software de seguridad fiable.

En todos los casos, mantener el sistema actualizado, usar soluciones antimalware al día, incluidas funciones como Windows Defender SmartScreen, y limitar la instalación de programas de fuentes dudosas reduce mucho la probabilidad de que aparezcan certificados raíz maliciosos. Aun así, conviene revisar de vez en cuando el almacén de certificados, especialmente después de haber sufrido infecciones o de haber instalado software extraño.

Gestión centralizada de certificados en entornos profesionales

Mientras que en un equipo doméstico bastan las herramientas del sistema y el navegador para controlar certificados, en empresas y organismos la cosa se complica. Es habitual tener docenas o cientos de certificados distintos: de persona física, de representación, de sello electrónico, de servidores internos, VPN, proxies de seguridad, etc., utilizados por múltiples usuarios y desde diferentes ubicaciones.

En este escenario, gestionar todo a mano resulta poco realista. Es fácil que alguien pierda la pista de cuándo caduca un certificado crítico, que se reutilicen certificados en contextos para los que no estaban pensados o que un empleado mantenga copias locales en dispositivos personales, con el consiguiente riesgo de fuga o uso indebido.

Por eso existen gestores centralizados de certificados digitales que permiten emitir, almacenar y usar certificados en la nube, bajo políticas de acceso bien definidas. La idea es que los certificados no tengan que instalarse en cada equipo físico, sino que se utilicen desde una plataforma segura que registra quién los usa, cuándo y para qué.

Con soluciones de este tipo se pueden establecer políticas de usuario personalizadas, diferenciar qué empleado puede firmar qué tipo de documento, generar auditorías cuando sea necesario, controlar de forma centralizada las fechas de caducidad y automatizar la renovación e instalación de nuevos certificados sin ir ordenador por ordenador.

Además, este enfoque facilita el trabajo remoto y el acceso desde distintos dispositivos, ya que los certificados no dependen del navegador concreto o del PC local, sino de una infraestructura cloud segura. Bien configurado, este modelo reduce tener certificados duplicados, evita instalaciones incorrectas y simplifica el cumplimiento normativo en materia de firma electrónica y protección de datos.

Controlar qué certificados se usan, dónde están almacenados, quién puede emplearlos y cómo se revocan cuando ya no son necesarios es tan importante como detectar certificados maliciosos. Una mala gestión puede dejarnos con certificados caducados, raíces no controladas o usos ilegítimos que, en la práctica, abren la puerta a problemas de seguridad igual de serios que una infección de malware.

Mirar de vez en cuando la lista de certificados instalados, usar herramientas como Sigcheck, certutil u OpenSSL para investigar comportamientos raros, confiar en servicios de verificación oficiales como los de FNMT y apoyarse en gestores centralizados cuando la escala lo requiere son pasos sencillos que reducen mucho el riesgo de que tu PC acabe confiando, sin que te des cuenta, en un certificado raíz malicioso o mal configurado que ponga en jaque la seguridad de todas tus comunicaciones.