Cómo encontrar consumidores ocultos de ancho de banda en macOS

Sales de cada app. Cierras cada pestaña del navegador. El icono Wi-Fi es lo único en tu barra de menú que debería estar moviéndose. Y aun así tu router muestra una subida sostenida de 8 Mbps, hora tras hora. En algún sitio de tu Mac, algo está hablando, y ninguno de los sospechosos habituales está abierto. Cazar los devoradores de ancho de banda que macOS esconde bajo el capó es un tipo distinto de depuración que rastrear infractores obvios.

Las apps visibles en tu Dock rara vez son el problema real. Las ocultas sí: procesos auxiliares, daemons del sistema, utilidades solo de fondo y agentes lanzados al inicio que no tienen interfaz en absoluto. Este artículo recorre cómo encontrarlos, nombrarlos y decidir qué hacer con ellos.

Por qué los peores devoradores de ancho de banda en macOS están ocultos

Cuando la gente dice que una Mac tiene devoradores ocultos de ancho de banda, normalmente se refiere a una de cuatro categorías:

1. Procesos auxiliares — Chrome Helper, Slack Helper, etc. Tienen apps padre que reconoces, pero el tráfico aparece bajo PIDs no familiares.
2. Daemons del sistema — cloudd, mediaanalysisd, nsurlsessiond, mDNSResponder, apsd. Son parte de macOS y hacen trabajo real, pero sus nombres son inescrutables.
3. Apps solo de fondo — agentes de copia de seguridad, antivirus, daemons de iluminación RGB, clientes de sincronización en la nube sin icono en el Dock.
4. LaunchAgents y LaunchDaemons — pequeños programas persistentes registrados con launchd que se autoinician y nunca aparecen en el conmutador Cmd+Tab.

Cada uno de estos es invisible de una manera distinta, y cada uno requiere un enfoque ligeramente distinto para atribuir el tráfico correctamente.

Encontrar procesos auxiliares y agruparlos bajo su padre

Esta es la fuente más común de confusión. Abre Monitor de Actividad → Red y verás algo como:

Google Chrome Helper (Renderer)   45,2 MB enviados
Google Chrome Helper (GPU)         0,8 MB enviados
Google Chrome Helper (Plugin)      2,1 MB enviados
Google Chrome Helper              18,4 MB enviados
Google Chrome Helper              22,7 MB enviados
Google Chrome Helper               9,0 MB enviados
Google Chrome                      0,3 MB enviados

Siete filas, ninguna individualmente aterradora, totalizando unos 100 MB. Slack, Discord, Telegram, Teams, VS Code, Notion y la mayoría de las apps basadas en Electron siguen el mismo patrón.

Para atribuir el tráfico de auxiliares correctamente, necesitas o sumar las filas a mano o usar una herramienta que lo haga por ti.

ova hace esta agrupación automáticamente. También algunas otras herramientas. El punto es: cualquier vista por app que no agrupe auxiliares subestimará cuánto están usando realmente tus grandes apps Electron.

Decodificar los daemons del sistema más comunes

Estos son los que verás en cualquier lista de procesos que incluya trabajo de fondo. Una guía corta de campo:

cloudd

Daemon de la nube de Apple. Maneja iCloud Drive, subidas de Fotos en iCloud y tráfico CloudKit para cualquier app que use iCloud como backend de sincronización. Picos grandes aquí normalmente significan que Photos está enviando originales o una app de terceros (una app de notas, una sincronización de marcadores) está reconciliando.

nsurlsessiond

Un servicio del sistema que ejecuta sesiones URL en segundo plano en nombre de otras apps, especialmente cuando la Mac está conectada a corriente y Wi-Fi. Las actualizaciones de App Store, podcasts descargándose en segundo plano y subidas de iCloud todas pueden aparecer aquí. La app que origina suele estar oculta una capa más abajo.

mediaanalysisd

Análisis local de medios (reconocimiento de caras/objetos para Photos, análisis de escenas). Mayormente CPU y disco, pero dispara cloudd cuando los resultados necesitan sincronizar a otros dispositivos. Si mediaanalysisd está ocupado y cloudd está subiendo, esos dos suelen estar trabajando juntos.

softwareupdated

Descargador de actualizaciones del sistema. Si esto está ocupado, macOS está tirando una actualización, que puede ser de 4 a 15 GB.

mDNSResponder

Bonjour / multicast DNS. Debería ser cerca de cero en el lado WAN. Tráfico pesado de mDNSResponder en LAN normalmente significa que una app malconfigurada está broadcasting demasiado agresivamente, pero no debería comerse tu plan de internet.

apsd

Apple Push Notification daemon. Mantiene una conexión persistente a los servidores de Apple para notificaciones push. Siempre activo, muy bajo ancho de banda, básicamente gratis.

bird

Daemon de proveedor de archivos de iCloud Drive. Picos grandes significan que iCloud Drive está moviendo datos.

assetsd

Gestión de activos de la biblioteca de Photos. A menudo encadenado con cloudd y photoanalysisd.

Apps solo de fondo que olvidaste

Una clase distinta de proceso oculto: aplicaciones completas que intencionalmente se esconden de tu Dock. Comunes:

• Clientes de copia de seguridad — Backblaze, Arq, Carbonite, iDrive
• Antivirus y EDR — Sophos, CrowdStrike, SentinelOne, Malwarebytes
• Almacenamiento en la nube — Dropbox, Google Drive, OneDrive, Box, Sync.com
• Utilidades de hardware — Logitech G Hub, Razer Synapse, software de OWC, herramientas de calibración de monitores
• Utilidades de productividad — Bartender, Hazel, Alfred (poco tráfico pero existen)
• Herramientas de desarrollo — Docker Desktop, Colima, JetBrains Toolbox, Tailscale, ngrok

Las primeras cuatro categorías son las que mueven ancho de banda real. Las copias de seguridad y antivirus en particular pueden mover decenas de gigabytes al día si están haciendo sincronizaciones iniciales o escaneando una unidad grande.

Cómo enumerarlos

Tres lugares para mirar:

1. Ajustes del Sistema → General → Ítems de Inicio y Extensiones. Lista todo lo que se autolanza. Algunos corren en segundo plano sin interfaz.
2. Monitor de Actividad → Todos los Procesos (menú Visualización). Esto muestra la lista completa, no solo apps de cara al usuario.
3. Terminal: launchctl list | grep -v com.apple — muestra trabajos launchd de terceros.

Cualquier cosa en esas listas que no reconozcas vale la pena una investigación de cinco minutos.

Fijar el tráfico a un proceso oculto

Una vez tienes una vista por app o por proceso del ancho de banda, el flujo para atribución es:

1. Detecta el pico. O en vivo (la barra de menú muestra 30 Mbps ahora) o histórico (ayer a las 2 PM, algo usó 5 GB).
2. Encuentra el proceso top durante el pico. Un monitor con historial hace esto trivial; sin uno, necesitas estar mirando en el momento que pasa.
3. Busca el nombre del proceso. Si es un auxiliar, encuentra al padre. Si es un daemon, usa la tabla de arriba.
4. Confirma saliendo o pausando. Si pausar al sospechoso hace que el tráfico pare, tienes tu respuesta.

Ve ova en acción

Un monitor de ancho de banda en la barra de menú visible de un vistazo: local, firmado, ~3 MB.

Descargar para macOS

Qué hacer cuando el culpable es un daemon del sistema

Este es el caso más complicado. No puedes salir de cloudd o nsurlsessiond: simplemente respawnearán, y desactivarlos rompe partes de macOS. El movimiento correcto es encontrar la app que origina y pausarla.

Un ejemplo trabajado: cloudd está subiendo 200 Mbps durante una hora tras importar un teléfono lleno de vídeo 4K. La causa es Fotos en iCloud empujando originales. La solución es o:

• Pausar la sincronización de Fotos en iCloud (abre Photos, baja al fondo, haz clic en pausa)
• Cambiar a Modo de Datos Reducidos en la red actual temporalmente
• Esperar: la subida termina una vez los nuevos originales están en iCloud

Para nsurlsessiond, los pasos son similares: averigua qué app programó la sesión de fondo. Originadores comunes son App Store / Mac App Store, Música (descargando música comprada), Podcasts, y apps de terceros usando URLSession con la configuración de fondo.

Construir una línea base

Los devoradores ocultos de ancho de banda son más fáciles de detectar cuando sabes cómo se ve "lo normal". Tras un arranque fresco, en reposo:

• El rendimiento total debería ser un goteo: kilobits por segundo, no megabits
• apsd, mDNSResponder y unos pocos pequeños procesos del sistema tictacearán suavemente
• Cualquier cosa sostenida por encima de 1 Mbps en reposo vale la pena investigar

Ejecuta un monitor por app como ova durante unos días durante uso normal y rápidamente reconocerás el ritmo cardiaco en reposo de tu Mac. Cualquier cosa fuera de ese patrón es candidata para la lista corta de devoradores de ancho de banda en macOS.

Una auditoría práctica de devoradores ocultos

Repasa esto una vez y tendrás una vista más afilada de tu Mac que la mayoría de la gente jamás se molesta en desarrollar:

1. Reinicia. Espera dos minutos.
2. Abre ova (o tu monitor por app). Anota la línea base en reposo: ¿qué procesos tienen tráfico no-cero?
3. Abre Ajustes del Sistema → General → Ítems de Inicio y Extensiones. Cruza referencias con lo que viste corriendo.
4. Monitor de Actividad → Visualización → Todos los Procesos → pestaña Red. Ordena por Bytes Enviados. Identifica cualquier cosa que no reconozcas y búscala.
5. Para cada daemon no familiar, decide: conocido-bueno (apsd, mDNSResponder, cloudd si usas iCloud) o vale la pena investigar.
6. Para cada app solo-de-fondo: decide si la sigues queriendo. Desinstala las que no.

La mayoría de los usuarios encuentran una o dos sorpresas en esta auditoría: un cliente de copia de seguridad que olvidaron, una utilidad de hardware de un periférico que devolvieron, una sincronización en la nube que pretendieron desactivar hace meses.

Qué hacer después

Si no estás corriendo un monitor de ancho de banda por app en absoluto, ese es el cambio con la mayor recompensa. Sin uno, los devoradores ocultos se quedan ocultos: la pestaña Red del Monitor de Actividad es demasiado engorrosa para vivir en ella.

Pasos concretos siguientes:

1. Instala ova u otro monitor de ancho de banda por app.
2. Ejecuta la auditoría de arriba.
3. Marca esta página o captura la tabla de daemons: es molesto volver a buscar nsurlsessiond cada vez.
4. Vuelve a comprobar mensualmente. Las cosas cambian; nuevos ítems de inicio se añaden.

Los procesos ocultos en macOS no son maliciosos por defecto. Están haciendo trabajo que tú (o alguna app) pediste. La habilidad de encontrar los devoradores de ancho de banda que macOS expone es poder verlos, nombrarlos y decidir si aún quieres que ese trabajo pase.