Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1024

Persistencia por clave Run del registro

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Persistencia por clave Run del registro?

Persistencia por clave Run del registroTécnica clásica de persistencia en Windows que añade una entrada en una clave Run o RunOnce del registro para ejecutar un binario o script cada vez que el usuario inicia sesión.


La persistencia por claves Run (MITRE ATT&CK T1547.001) usa ubicaciones de autoinicio bien conocidas: HKCU\Software\Microsoft\Windows\CurrentVersion\Run, el equivalente en HKLM, RunOnce y las claves de accesos directos de la carpeta Inicio. Cuando el usuario inicia sesión, userinit o explorer leen los valores y ejecutan cada comando. Es simple, no requiere admin para HKCU y sigue siendo efectiva incluso en hosts monitorizados porque dichas claves alojan numerosos actualizadores legítimos. Las variantes incluyen RunOnceEx, nombres binarios largos y claves oscuras como StartupApproved. La detección se centra en Sysmon evento 13, baseline con Autoruns y alertas para valores que apuntan a rutas escribibles por el usuario.

Ejemplos

  1. 01

    Un atacante escribe "Updater" = "%AppData%\loader.exe" en HKCU\Software\Microsoft\Windows\CurrentVersion\Run.

  2. 02

    Usar RunOnce para ejecutar un instalador único que crea un servicio para persistencia a largo plazo.

Preguntas frecuentes

¿Qué es Persistencia por clave Run del registro?

Técnica clásica de persistencia en Windows que añade una entrada en una clave Run o RunOnce del registro para ejecutar un binario o script cada vez que el usuario inicia sesión. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.

¿Qué significa Persistencia por clave Run del registro?

Técnica clásica de persistencia en Windows que añade una entrada en una clave Run o RunOnce del registro para ejecutar un binario o script cada vez que el usuario inicia sesión.

¿Cómo defenderse de Persistencia por clave Run del registro?

Las defensas contra Persistencia por clave Run del registro combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Persistencia por clave Run del registro?

Nombres alternativos comunes: Persistencia por Run, Persistencia por clave autorun.

Términos relacionados

Véase también