🗂️ Archivo HOSTS Windows: Qué es, riesgos, cómo restaurarlo y protegerlo (Guía completa 2026)
El archivo HOSTS Windows es uno de los componentes más silenciosos y poderosos del sistema operativo: controla cómo tu PC resuelve los nombres de dominio antes de consultar cualquier servidor externo. En Seguridad en mi PC vemos a diario cómo su modificación maliciosa redirige bancos a páginas falsas, bloquea antivirus y deshabilita Windows Update sin ningún aviso visible — y sin que el usuario lo detecte hasta que el daño ya está hecho.
💡 Resumen rápido
🗂️ Archivo HOSTS Windows: qué es, riesgos, cómo restaurarlo y protegerlo
El archivo HOSTS Windows es un fichero de texto en C:\Windows\System32\drivers\etc\hosts que asocia nombres de dominio con IPs de forma local, con prioridad sobre cualquier DNS externo. El malware lo modifica para redirigir bancos a páginas falsas, bloquear antivirus y deshabilitar Windows Update sin ningún aviso visible.
- ✅ Cómo verificar si ha sido comprometido con PowerShell
- ✅ 2 métodos para restaurarlo: PowerShell y Bloc de notas
- ✅ Cómo protegerlo con permisos ACL para que el malware no pueda modificarlo
- ✅ Ataques documentados por CISA: pharming, bypass de antivirus y deshabilitación de MFA
- ✅ Buenas prácticas para mantenerlo seguro a largo plazo
📅 2026 · 🕐 8 minutos de lectura
C:\Windows\System32\drivers\etc\hosts que asocia nombres de dominio con direcciones IP de forma local. Tiene prioridad sobre cualquier servidor DNS externo y afecta a todos los navegadores y aplicaciones del sistema simultáneamente. Necesita permisos de administrador para editarlo.El archivo HOSTS Windows es un fichero de texto local que asocia nombres de dominio con direcciones IP sin consultar servidores DNS externos. Windows lo consulta antes que cualquier DNS configurado, por lo que su modificación maliciosa tiene efecto inmediato y total sobre la navegación del equipo. En esta guía aprenderás qué es, cómo funciona, cómo detectar si ha sido comprometido, restaurarlo a su estado original y protegerlo frente a futuras modificaciones.
Esta guía complementa el endurecimiento de Windows 11 y nuestra sección sobre malware y virus informáticos.
📌 ¿Qué es el archivo HOSTS Windows?
Es un fichero de texto plano presente en todos los sistemas Windows desde sus primeras versiones. Su función es mapear nombres de dominio a direcciones IP de forma local, actuando como un DNS privado instalado directamente en tu equipo.
- 📍 Ubicación:
C:\Windows\System32\drivers\etc\hosts - 🔑 Prioridad: Se consulta antes que cualquier servidor DNS configurado
- ⚠️ Riesgo: Su modificación afecta a toda la navegación sin ningún aviso visible
- 🛠️ Requisito: Necesitas permisos de administrador para editarlo
⚙️ ¿Cómo funciona?
Cuando escribes una URL en tu navegador, Windows sigue un orden estricto de resolución de nombres. El archivo HOSTS Windows ocupa el segundo lugar, justo después de la caché local del sistema y antes de cualquier servidor DNS externo.
| Paso | Mecanismo | Prioridad |
|---|---|---|
| 1 | Caché DNS local del sistema | Máxima |
| 2 | Archivo HOSTS Windows | Muy alta |
| 3 | Servidor DNS del router / ISP | Media |
| 4 | DNS externo (Google, Cloudflare...) | Baja |
www.tubanco.com apuntando a una IP maliciosa, tu navegador irá a esa IP aunque el DNS oficial diga otra cosa — sin ningún aviso visible en el navegador.✅ Usos legítimos del archivo HOSTS
No es solo un objetivo de ataque — también es una herramienta de seguridad muy eficaz cuando se usa correctamente:
- 🔒 Bloquear dominios maliciosos: Redirigir dominios de malware, adware o phishing conocidos a
0.0.0.0 - 🚫 Filtrar publicidad a nivel de sistema: Afecta a todos los navegadores y apps simultáneamente
- 🌐 Desarrollo web local: Apuntar dominios de prueba a
127.0.0.1sin DNS real - ⚡ Acelerar la resolución: Definir IPs fijas para servidores internos de empresa
- 🧪 Pruebas de migración: Simular que un dominio apunta a un nuevo servidor antes de cambiar el DNS real
⚠️ Riesgos: ¿Por qué el malware ataca el archivo HOSTS?
| Señal de alerta | Qué indica | Técnica MITRE | Urgencia |
|---|---|---|---|
| Redirección a webs falsas | Phishing mediante HOSTS manipulado | T1565.001 | 🔴 Urgente |
| Antivirus sin actualizaciones | Dominios de actualización bloqueados | T1562.001 | 🔴 Urgente |
| Windows Update no funciona | Microsoft.com redirigido a 127.0.0.1 | T1562.001 | 🔴 Urgente |
| MFA que deja de funcionar | Servidor MFA redirigido a localhost | T1565.001 | 🔴 Crítico |
| Navegación anómala general | Múltiples entradas maliciosas en HOSTS | T1071 | 🟠 Alto |
Tipos de ataques documentados:
- 🦠 Malware que modifica HOSTS: Troyanos bancarios como Zeus que redirigen a páginas falsas del banco
- 🎣 Pharming local: Redirección de dominios legítimos a páginas de phishing
- 🔇 Bloqueo de actualizaciones: Entradas para que
update.microsoft.comno resuelva - 👁️ Bypass de antivirus: Bloquear dominios de actualización de firmas
- 🔐 Deshabilitar MFA: Redirigir servidores de autenticación a localhost
Si sospechas que el archivo HOSTS está siendo explotado junto con otro malware activo, consulta nuestra guía sobre cómo detectar y eliminar malware en Windows para actuar de forma combinada.
🔍 ¿Cómo verificar si ha sido comprometido?
Get-Content "C:\Windows\System32\drivers\etc\hosts" | Where-Object { $_.Trim() -ne "" -and $_ -notmatch "^#" } Si devuelve resultados distintos a 127.0.0.1 localhost → archivo HOSTS Windows comprometido.Señales de que necesitas restaurarlo:
- ❌ No puedes acceder a páginas de seguridad o Windows Update
- ❌ Tu antivirus no descarga actualizaciones
- ❌ Eres redirigido a webs desconocidas al escribir URLs correctas
- ❌ El navegador muestra advertencias de certificado en sitios habituales
- ❌ El antivirus detectó malware pero sigue habiendo comportamiento anómalo
127.0.0.1 localhost. Cualquier otra línea activa que no hayas añadido tú es potencialmente maliciosa.🔐 Cómo restaurar el archivo HOSTS
💻 Método 1: Restaurar con PowerShell (recomendado)
# ============================================================ # RESTAURAR ARCHIVO HOSTS WINDOWS - Script PowerShell # Ejecutar como Administrador # ============================================================ $hostsPath = "C:\Windows\System32\drivers\etc\hosts" # Paso 1: Eliminar atributos de solo lectura si el malware los activó Set-ItemProperty -Path $hostsPath -Name IsReadOnly -Value $false # Paso 2: Restaurar contenido original del archivo HOSTS Windows $contenidoOriginal = @" # Copyright (c) 1993-2009 Microsoft Corp. 127.0.0.1 localhost ::1 localhost "@ Set-Content -Path $hostsPath -Value $contenidoOriginal -Encoding ASCII # Paso 3: Limpiar caché DNS ipconfig /flushdns Write-Host "Archivo HOSTS Windows restaurado correctamente." -ForegroundColor Green
✏️ Método 2: Restaurar manualmente con el Bloc de notas
- Pulsa Windows + S, escribe Bloc de notas, clic derecho → Ejecutar como administrador
- Archivo → Abrir → navega a
C:\Windows\System32\drivers\etc\ - Selecciona Todos los archivos y abre el fichero hosts
- Elimina todas las líneas sin
#al inicio que no reconozcas - Deja únicamente:
127.0.0.1 localhosty::1 localhost - Guarda con Ctrl + S y ejecuta
ipconfig /flushdns
🛡️ Cómo protegerlo tras restaurarlo
# PROTEGER ARCHIVO HOSTS WINDOWS - Script PowerShell
$hostsPath = "C:\Windows\System32\drivers\etc\hosts"
# Establecer como solo lectura
Set-ItemProperty -Path $hostsPath -Name IsReadOnly -Value $true
# Restringir permisos ACL (solo SYSTEM puede modificar)
$acl = Get-Acl $hostsPath
$acl.SetAccessRuleProtection($true, $false)
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("SYSTEM","FullControl","Allow")
$acl.SetAccessRule($rule)
Set-Acl $hostsPath $acl
Write-Host "Archivo HOSTS Windows protegido correctamente." -ForegroundColor GreenComplementa esta protección con el hardening de cuentas Windows y las capacidades de detección de Windows Defender.
🆚 Archivo HOSTS Windows comprometido vs restaurado y protegido
| Característica | HOSTS comprometido | Archivo HOSTS Windows protegido |
|---|---|---|
| Navegación web | 🔴 Redirigida a webs falsas | 🟢 DNS estándar sin manipulación |
| Antivirus | 🔴 Sin actualizaciones (bloqueado) | 🟢 Actualizado correctamente |
| Windows Update | 🔴 Bloqueado por redirección | 🟢 Funcionando con normalidad |
| Autenticación MFA | 🔴 Puede estar deshabilitado | 🟢 Funcionando correctamente |
| Riesgo de phishing | 🔴 Alto | 🟢 Bajo |
| Permisos ACL | 🔴 Sin restricciones | 🟢 Solo SYSTEM puede modificarlo |
| Recomendado | ❌ | ✅ |
🧠 Buenas prácticas para mantenerlo seguro
- 🛡️ Mantén Windows Defender activo — detecta intentos de modificación del archivo HOSTS Windows en tiempo real
- 🔄 Aplica las actualizaciones de Windows — cierran vulnerabilidades que el malware explota para acceder al sistema
- 🚫 No ejecutes archivos de fuentes desconocidas — el HOSTS se modifica siempre tras ejecutar malware
- 🔍 Revísalo mensualmente con el comando de verificación PowerShell de esta guía
- 🔒 Aplica la protección ACL tras cada restauración para bloquear futuros intentos
- 📋 Usa listas de bloqueo como StevenBlack/hosts para bloquear dominios maliciosos de forma proactiva
🏁 Conclusión
El archivo HOSTS Windows es una herramienta de doble filo: en manos del usuario, es una capa de seguridad gratuita y efectiva. En manos de un atacante, se convierte en un vector silencioso de pharming, phishing y bloqueo de actualizaciones — como documentó la CISA en casos reales que llegaron a deshabilitar el MFA corporativo entero.
Restaurarlo y protegerlo con permisos ACL restrictivos cierra este vector de ataque de forma definitiva. Combinado con el endurecimiento de Windows y un antivirus actualizado, convierte tu sistema en un objetivo mucho más difícil para cualquier atacante.
- 🔒 Verifica el archivo HOSTS mensualmente con el comando PowerShell de esta guía
- 🔒 Restaura con el script ante cualquier comportamiento anómalo de red o antivirus
- 🔒 Aplica siempre la protección ACL tras restaurar — es la defensa definitiva
- 🔒 Nunca ejecutes software de fuentes desconocidas: es el vector de modificación más habitual
- 🔒 Combina esta medida con endurecimiento de Windows para una protección completa
¿Has detectado entradas sospechosas en tu archivo HOSTS? Aplica el script de restauración de esta guía o contáctanos para una revisión. Tu seguridad digital es nuestra prioridad.
Comparte este artículo con quien trabaje en remoto o gestione equipos corporativos. Un archivo HOSTS comprometido puede deshabilitar el MFA de toda una organización en segundos.
❓ Preguntas frecuentes sobre el archivo HOSTS Windows
¿Dónde está el archivo HOSTS Windows?
Siempre en C:\Windows\System32\drivers\etc\hosts. Es un archivo de texto sin extensión visible que puedes abrir con el Bloc de notas ejecutado como administrador.
¿Qué debe contener el original?
Según Microsoft Support, el archivo HOSTS Windows original solo debe contener comentarios (líneas con #) y la entrada 127.0.0.1 localhost. Cualquier otra línea activa que no hayas añadido tú es potencialmente maliciosa.
¿Es peligroso que el malware lo modifique?
Sí, es uno de los ataques más efectivos y silenciosos. El malware puede redirigir tu banco a una web falsa, bloquear tu antivirus, deshabilitar Windows Update e incluso anular el doble factor de autenticación, todo sin ningún cambio visible en el navegador.
¿Cómo restaurarlo rápidamente?
Con el script PowerShell de esta guía en tres pasos: elimina el atributo de solo lectura, escribe el contenido original y limpia la caché DNS con ipconfig /flushdns. El proceso completo tarda menos de un minuto.
¿Puedo borrarlo?
No es recomendable. Windows lo necesita para la resolución básica de localhost. Lo correcto es restaurarlo a su contenido original si ha sido comprometido.
¿Afecta a todos los navegadores?
Sí. Opera a nivel de sistema operativo, por lo que afecta a Chrome, Firefox, Edge y cualquier otra aplicación que use la resolución DNS de Windows, incluyendo clientes de correo y herramientas de desarrollo.
¿Cómo protegerlo tras restaurarlo?
Configurándolo como solo lectura y aplicando permisos ACL restrictivos para que solo el proceso SYSTEM pueda modificarlo. El script de protección de esta guía aplica ambas medidas automáticamente. Consulta también la guía de INCIBE sobre phishing para entender los ataques que el HOSTS facilita.
Deja una respuesta