¿Te gustaría saber con qué equipos y servicios se conecta tu PC en tiempo real sin complicarte la vida con comandos? Windows tiene una utilidad ligera y muy potente que lo pone fácil: se llama TCPView y pertenece a la familia Sysinternals de Microsoft.
Creada por el equipo de Sysinternals (Mark Russinovich firma su publicación más reciente), TCPView muestra los puntos finales TCP y UDP activos de tu sistema con todo lujo de detalles. Vas a ver direcciones locales y remotas, estados de las conexiones y, lo más útil, qué proceso es el dueño de cada socket. Además, la descarga incluye Tcpvcon, su versión de línea de comandos con la misma funcionalidad.
Qué es TCPView y para qué sirve
TCPView es una aplicación para Windows que lista en tiempo real todos los endpoints de red de tu equipo. Muestra conexiones TCP y UDP, resuelve nombres de dominio a partir de IP y asocia cada conexión a su proceso y servicio (cuando existe servicio). Su objetivo es ofrecer una visión más clara y práctica que la clásica herramienta Netstat, que aunque completa, no resulta tan cómoda para un vistazo rápido.
En otras palabras, se trata de un visor interactivo del tráfico TCP/IP local: con columnas ordenables y filtros visuales, ayuda a identificar conexiones sospechosas, apps que consumen red o servicios que están a la escucha en puertos concretos. La ventaja frente a Netstat es su interfaz gráfica, su refresco constante y las acciones rápidas sobre cada conexión.
La publicación más reciente de Microsoft sitúa la descarga en torno a 1,5 MB y señala que se puede ejecutar al instante desde Sysinternals Live, sin instalación. Históricamente el paquete fue muy pequeño (del orden de cientos de KB), pero hoy sigue siendo un descargable diminuto que viene en ZIP con dos ejecutables: Tcpview.exe (GUI) y Tcpvcon.exe (CLI).
Para quienes prefieran consola, la descarga incluye Tcpvcon, que replica la funcionalidad de TCPView en línea de comandos. Así puedes integrar la inspección de conexiones en scripts, exportar a CSV o filtrar por proceso o PID sin abrir la interfaz gráfica.
Características clave y cómo funciona
Al abrirlo, TCPView enumera al instante los puntos finales TCP y UDP activos. Por defecto resuelve las direcciones IP para mostrar sus nombres de dominio, pero puedes alternar entre nombre y formato numérico con un botón de la barra o desde el menú. Esta alternancia facilita reconocer al vuelo servicios conocidos o ver la IP sin traducción cuando hace falta precisión.
La aplicación refresca la lista cada segundo de manera predeterminada. Si necesitas más o menos ritmo, entra en Opciones → Frecuencia de actualización. Las entradas cambian de color para que, de un vistazo, identifiques novedades, bajas o cambios: verde para nuevas conexiones, amarillo cuando varían de estado y rojo al cerrarse.
En las columnas verás datos como proceso, PID, dirección local y remota, puerto, protocolo y estado de la conexión. Entre los estados típicos están Listening, Established, Close Wait o Time Wait, de gran ayuda para diagnosticar servicios en escucha o conexiones persistentes.
Otra ventaja práctica: TCPView permite actuar sobre las conexiones sin salir de la herramienta. Con una conexión TCP en estado ESTABLISHED seleccionada, puedes cerrarla desde Archivo → Cerrar conexiones o con el botón derecho → Cerrar conexiones. Úsalo con cuidado, porque terminarás la comunicación de la app propietaria.
Si quieres conservar una instantánea de lo que estás viendo, utiliza Archivo → Guardar para volcar la ventana a un archivo. Es útil para auditorías, informes o comparativas antes/después de aplicar cambios.
Interfaz y lectura de estados
La interfaz está organizada por columnas ordenables, lo que facilita agrupar por proceso o por puerto con un clic en el encabezado. Ordenar por Estado permite, por ejemplo, separar Listening de Established y concentrarte en lo relevante. También puedes ordenar por la columna Remota para agrupar conexiones a un mismo destino.
Los estados coloreados te orientan en caliente: verde (nuevo), amarillo (cambio) y rojo (cerrado). Este código de color convierte la lista en una especie de timeline visual sin necesidad de analizar registros históricos, especialmente útil en ventanas de actividad breve.
Cuando un servicio aparece en Listening, sabrás que hay un puerto abierto esperando clientes. Con Established confirmas que se ha completado el three-way handshake y hay tráfico activo. Close Wait y Time Wait reflejan fases de cierre y temporización que te ayudan a entender si una app está cerrando bien sus sockets.
Además del nombre del proceso, TCPView suele mostrar el nombre del servicio asociado si aplica. Este detalle es oro cuando inspeccionas servicios del sistema o componentes que se ejecutan como servicio y no como aplicación interactiva.
Acciones rápidas: cerrar, guardar, investigar
Cerrar conexiones desde TCPView es inmediato, pero conviene saber cuándo hacerlo. Es ideal para cortar una sesión sospechosa o desbloquear un puerto atascado sin reiniciar un servicio, siempre valorando el impacto en la aplicación cliente.
Guardar la salida en un archivo crea un punto de referencia para auditorías y comparativas. Puedes tomar una captura antes de aplicar un parche o cambiar reglas del firewall y luego repetir la captura para demostrar el efecto.
La ventana de Propiedades del proceso aporta contexto: ruta del ejecutable, argumentos de inicio, etc. Si cruzas esa información con el PID y la firma de archivo, puedes separar rápidamente software confiable de binarios potencialmente maliciosos.
En caso de dudas con resoluciones DNS, alternar a no resolver direcciones acelera la actualización y evita latencias. La opción de no resolución también cuadra con exportaciones y correlaciones automáticas cuando trabajas con herramientas externas.
Tcpvcon: la versión en línea de comandos
Para automatización o trabajo remoto por consola, Tcpvcon ofrece la misma visión en formato texto. Su sintaxis es muy parecida a Netstat, con opciones claras para listar todo, evitar resolución y exportar.
Puedes invocarlo así: tcpvcon . Si añades un nombre de proceso o un PID, filtras la salida a lo que realmente te interesa en ese momento.
| Parámetro | Descripción |
|---|---|
| -a | Muestra todos los endpoints; por defecto, solo conexiones TCP en estado ESTABLISHED. |
| -c | Imprime la salida en formato CSV, perfecto para hojas de cálculo o ingesta en SIEM. |
| -n | No resuelve direcciones; muestra IPs y puertos numéricos sin traducción DNS. |
Al combinar -c con un filtro de proceso, generas informes quirúrgicos que puedes versionar o comparar en el tiempo. Y si desactivas la resolución con -n, aceleras la ejecución y evitas dependencias de DNS, muy útil en redes restringidas.
La similitud con Netstat hace que el aprendizaje sea mínimo si ya lo usas. La diferencia está en la salida más rica y en la fácil asociación proceso↔conexión, que reduce pasos a la hora de diagnosticar.
Compatibilidad, descarga y ejecución sin instalar
TCPView funciona en clientes desde Windows 8.1 y en servidores desde Windows Server 2012. Esto cubre un espectro muy amplio de entornos actuales sin exigir dependencias adicionales.
La forma recomendada de obtenerlo es descargar el ZIP desde la web oficial de Sysinternals/Microsoft. La descarga ronda 1,5 MB, se descomprime y se ejecuta sin instalación. Dentro encontrarás Tcpview.exe (interfaz gráfica) y Tcpvcon.exe (consola).
Si no puedes descargar o instalar nada, tienes la opción de Sysinternals Live. “Ejecutar ahora” carga TCPView directamente desde los servidores de Microsoft, ideal para auditorías rápidas o entornos con políticas estrictas.
Al tratarse de una herramienta técnica, la interfaz está en inglés, aunque es muy intuitiva y directa. El consumo de recursos es ínfimo para lo que ofrece, de modo que puedes dejarla abierta mientras trabajas en otras tareas.
TCPView y su compañero Tcpvcon se han ganado un hueco en la caja de herramientas de administradores y analistas: permiten ver lo invisible de manera inmediata, actuar con criterio y dejar constancia. Con una interfaz clara, refresco en vivo, colores informativos, cierre selectivo de conexiones y exportación sencilla, cubren desde el diagnóstico de “¿qué se está conectando?” hasta usos avanzados en seguridad y automatización.
