Blog

mi ordenador ha sido pirateado

Cómo intentar saber si mi ordenador ha sido pirateado

El número de ciberataques y violaciones de datos se ha disparado en los últimos años, tanto en tamaño como en alcance. Existen formas de explotar de forma automática y silenciosa las vulnerabilidades en los dispositivos de las víctimas sin tener apenas conocimientos técnicos.

Hay quien se dedica a la creación, venta o alquiler de malware (Malware-as-a-Service) listo para ser usado por parte de personas y organizaciones sin conocimientos en este sentido, que pretenden realizar un ciberataque.

Cualquier aspirante a delincuente puede usar exploits previamente empaquetados, malware y otros servicios como alquiler de botnets para lanzar incluso ataques sofisticados.

A este tipo de gente se les denomina lammers o script kiddies (los chicos que ejecutan scripts) sin tener ni idea de lo que realmente hacen.

Y debido a que el software malicioso actúa de forma silenciosa (ningún villano que se precie, se va a dedicar a hacer gilipolleces como mover el cursor del ratón por la pantalla), a veces, el usuario tarda mucho tiempo en darse cuenta de que su sistema está comprometido.

Por no hablar de que los ciberdelincuentes experimentados mediante diversas técnicas como la mutación o el enmascaramiento de código o tecnologías de rootkit, intentarán asegurarse de que sus creaciones eludan cualquier software antivirus que se esté ejecutando en el sistema de la víctima.

Pero mediante un poco de investigación podemos intentar averiguar si existe algúna actividad inusual en nuestro PC provocada por la presencia de malware.

Hay que entender que muchas veces solo obtendremos pistas, y no indicadores claros de que nuestro dispositivo se ha visto comprometido.

Muchos acontecimientos adversos pueden darse por diversos motivos, y no necesariamente debido a una actividad maliciosa.

Observar la actividad de los programas en la red

Por lo general, el malware siempre intentará comunicarse con el mundo exterior, ya sea para recibir instrucciones de su perpetrador o enviar la información robada de forma remota.

El problema es que una gran cantidad de software legítimo también se comunica con sus servidores entre otras cosas para recibir actualizaciones, y gracias a la fibra óptica, la merma en la velocidad de conexión es imperceptible.

Por lo tanto, necesitaremos ver la actividad de la red y saber cómo extraer el contenido que nos interesa.

Para ello, podemos instalar TcpView y ejecutarlo para observar los programas que se comunican con el exterior.

 TcpView

Es un programa de MIcrosoft Windows que informa al usuario de la lista de conexiones establecidas o que se encuentran a la escucha, y también permite identificar el programa que hace uso de ellas.

Si no sabes porque un programa determinado (o que ni siquiera sabías que existía) necesita acceso a Internet, es recomendable bloquearle el acceso mediante el cortafuegos.

Si después de investigar por internet descubres que es légitimo, siempre puedes volver a darle permiso para acceder a la red.

Esto requiere bastante paciencia pero merece la pena dedicarle un tiempo.

Observar el historial de archivos descargados y los programas instalados

Si eres el único usuario del dispositivo y te das cuenta de que se instalaron nuevos programas sin tu conocimiento ni consentimiento (muchas veces vienen de propina al instalar software gratuito) es posible que tengas un problema.

Por lo tanto nunca está de más comprobar de vez en cuando los programas instalados.

Si detectas un programa sospechoso, no lo elimines de inmediato (podría ser legítimo), abre un navegador web e investiga su reputación.

Si se trata de software potencialmente no deseado, (también llamado crapware) seguramente ha sido reportado en foros y páginas web.

Observa los procesos

Esta es una forma relativamente sencilla, para ver los programas que se ejecutan en el ordenador en un momento dado.

El administrador de tareas predeterminado que viene con Windows es suficiente en la mayoría de los casos, pero existen administradores de tareas avanzados como Process Hacker una herramienta gratuita y potente que te ayuda a supervisar los recursos del sistema, depurar software y detectar malware.

Process Hacker

Proporciona una visualización gráfica más agradable, e incluso información más detallada sobre cada proceso.

Entre otras opciones, podrás ver que programas tienen conexiones de red activas y cerrarlas si es necesario.

Algunas aplicaciones antimalware activan alertas al descargar esta aplicación pero se trata de falsos positivos.

Afortunadamente, muchas soluciones de seguridad incorporan el sistema de prevención de intrusiones basado en el Host (HIPS) que monitorea la actividad del sistema y emplea un conjunto de reglas predefinidas con el fin de reconocer un comportamiento sospechoso por parte de las aplicaciones.

En esta Página web puedes encontrar las descripciones de más de 20 mil procesos de Windows, e incluso saber si alguno es malicioso.

Comprueba los programas que se inician junto al sistema operativo

Al malware le gusta iniciarse cada vez que encendemos el ordenador (al mismo tiempo que el sistema operativo e incluso antes) y en ocasiones es capaz de engañar al antivirus residente.

La razón es obvia: así puede continuar perpetrando sus fechorías.

En la carpeta Inicio de Windows 10 hay accesos directos a los programas  más comunes que deseamos que se inicien (o no) de forma automática.

La forma más rápida y sencilla de ver los programas que se inician cuando encendemos el ordenador es abrir el administrador de tareas de Windows (combinación de teclas Ctrl + Alt + Supr) y pulsar en la pestaña Inicio.

Comprueba los programas que se inician junto al sistema operativo

Otra manera de hacerlo es escribir en el buscador Aplicaciones de inicio.

Selecciona la aplicación (o aplicaciones) que no quieres que se inicie junto al sistema operativo y selecciona Deshabilitar.

Pero también hay otros archivos que están integrados en el sistema operativo y en el registro de Windows que cuentan con una característica de inicio automático.

La mayoría del malware hace uso de esta característica para infiltrarse en estos puntos del registro, con el objetivo de ejecutarse automáticamente (en segundo plano sin ser detectado) cada vez que el usuario inicia el sistema operativo.

Autoruns

Autoruns es una herramienta gratuita de Sysinternals de Microsoft que enumera todos los programas que se inician automáticamente en una máquina con Windows.

Entre otras opciones, permite acceder directamente a su clave correspondiente en el Registro, buscar información en Google y, por supuesto, desactivarlos para que no vuelvan a ejecutarse automáticamente.

El programa proporciona información sobre la seguridad de los programas y su reputación mediante Virus Total, pero antes de realizar cualquier acción, se recomienda buscar en alguna base de datos para comprobar si un programa sospechoso es algun tipo de malware conocido o no necesita iniciarse automáticamente.

Existen tutoriales en línea para poder manejar este software.

En cualquier caso, cuando ejecutas Windows 10 en un equipo que admite Unified Extensible Firmware Interface (UEFI), la característica de arranque seguro protege tu PC contra el malware desde el momento en que lo enciendes hasta que se inicia el software de seguridad.

La mayoría de antivirus, también permiten programar un análisis durante el arranque y de esta forma pueden detectar los tipos conocidos de malware y eliminar las amenazas antes de que el sistema operativo y otros servicios se ejecuten.

Controla tu correo electrónico

Cuando se toma el control de una cuenta de correo electrónico, el atacante suele utilizarla para difundir spam y malware.

Si tus amigos y contactos están cabreados porque reciben basura y publicidad procedente de tu dirección de correo electrónico, puede que esta se encuentre comprometida..

Inicia sesión en tu cuenta y cambia la contraseña.

Las direcciones de correo electrónico también se pueden falsificar sin necesidad de piratear la cuenta.

El envío de un correo electrónico a través de SMTP no garantiza la autenticidad del remitente.

Todo lo que necesita un villano es un servidor de Protocolo Simple de Transferencia de Correo (SMTP), es decir, un servidor que pueda enviar correos electrónicos, y un cliente de correo como por ejemplo Outlook. 

Si después de cambiar la contraseña tus amigos continúan recibiendo correos electrónicos que tu no has enviado, es probable que alguien esté falsificando tu dirección de correo.

Y ante esto ultimo, a parte de avisar a tus contactos, poco más puedes hacer.

Redireccionamiento del navegador

¿Alguna vez has escrito una URL, o hecho clic en un resultado de búsqueda, y has sido dirigido a un sitio web que no tiene nada que ver con la página que pretendías ver?

La mayoría de las veces, estos redireccionamientos son causados ​​por secuestradores del navegador, un tipo de malware que puede modificar el comportamiento de este software sin tu permiso.

Las inutiles e insidiosas barras de herramientas que se instalan en los navegadores al descargar ciertos programas que contienen adware son los sospechosos habituales.

Redireccionamiento del navegador

En el mejor de los casos, acostumbran a redirigirnos a páginas con contenido publicitario, pero también a sitios web de phishing o que pueden descargar de forma automática software malicioso en nuestro dispositivo.

También es posible que tu ordenador esté limpio de malware y te infectes al visitar una página web legítima a la que se le ha inyectado algún tipo de código malicioso sin en conocimiento de su propietario.

Asegurate de que el software de seguridad está habilitado

En equipos que cuenten con la actualización KB4052623 instalada, Microsoft ha eliminado la capacidad de deshabilitar Microsoft Defender y el software de seguridad de terceros modificando el Registro de Windows.

Pero cierto tipo de malware como los rootkits o el ransomware todavía pueden hacerlo mediante otros métodos.

El software de protección deshabilitado (salvo incompatibilidades, errores en el programa o en el sistema operativo) es una señal bastante clara de que algo no está bien y deberás tomar medidas para volver a un entorno seguro.

Si después de intentar activar la protección antivirus, o reiniciar el equipo el problema persiste, la solución, muchas veces pasa por utilizar un disco de rescate: una herramienta gratuita proporcionada por la mayoría de fabricantes de programas de seguridad que sirve para examinar tu ordenador sin necesidad de iniciar Microsoft Windows.

Los discos de rescate evitan que los archivos infectados se carguen en la memoria por lo que es mucho más fácil eliminarlos.

El malware también puede usar certificados para deshabilitar la instalación de soluciones de seguridad en tu ordenador alterando el Control de cuentas de usuario en Windows.

  1. Presiona la tecla de Windows + R y escribe certmgr.msc.
  2. Expande el árbol Certificados que no son de confianza y luego abre la subcarpeta Certificados.
  3. Aquí,estarán presentes la mayoría de los certificados AV que posiblemente estan bloqueando el software antivirus.
  4. Elimina todos los certificados de esta carpeta.
  5. Reinstala tu antivirus.

Estabilidad del sistema operativo

El malware se ha vuelto más sofisticado pero todo el software es susceptible de tener errores de programación, incluso el malicioso.

Si nuestro PC sufre fallos de forma reiterada como por ejemplo el famoso pantallazo azul de Windows (Blue Screen Of Death) o reinicios inesperados, puede deberse a la presencia de software malicioso diseñado por un chapucero.

Pero también a algún problema en la memoria RAM, en los drivers del sistema o por culpa de un periférico como una webcam, un teclado, un ratón, un pendrive etc.

Por lo tanto, toca investigar para ver que está pasando.

Los que todavía utilizan Windows 7 tienen que tener en cuenta que la falta de actualizaciones de seguridad periódicas para corregir posibles vulnerabilidades, ha convertido esta versión de Windows en un objetivo prioritario de los ciberdelincuentes.

Revisa la carpeta Temp

La carpeta Temp se usa para almacenar ciertas configuraciones de inicio y datos en caché para todas las aplicaciones instaladas en el ordenador.

Ciertos datos son almacenados en caché por el sistema operativo, lo que ayuda a reducir los tiempos de carga y proporciona una experiencia más fluida, estos datos luego se almacenan en la carpeta Temp.

Y en circunstancias normales, los archivos temporales no suponen ningún riesgo.

Pero a veces pueden contener algo más, como por ejemplo datos que el malware necesita recordar para realizar el ataque, o información robada para ser enviada más tarde.

Si observas un archivo sospechoso en esta carpeta, elimínalo.

También puedes vaciar de vez en cuando toda la carpeta Temp, son archivos que no sirven para nada y ocupan espacio en nuestro sistema.

Basta con abrir el Explorador de archivos de Windows (con permisos de administrador) y acceder a la carpeta c:\windows\temp.

Dos tercios del malware es invisible

Los tiempos en que el software malicioso ralentizaba nuestra conexión a internet, colapsaba el sistema operativo o inundaba nuestra pantalla con ventanas emergentes es cosa del pasado.

Los villanos utilizan técnicas para camuflar archivos maliciosos en el sistema, utilizando métodos de ocultación y evasión.

El malware más sofisticado es prácticamente invisible y los cortafuegos tradicionales y las soluciones de seguridad basadas en firmas de virus muchas veces se ven impotentes ante las amenazas de nueva generación.

Los delincuentes también prefieren utilizan tácticas de ingeniería social porque normalmente es mucho más fácil engañar a alguien para que les facilite su contraseña de una red social o de su banca online, que intentar instalar un troyano en su dispositivo.

Avisos de seguridad

Hosting Optimizado: Tu web más rápida y segura que nunca.