Si te conectas de forma habitual al ordenador del trabajo desde tu casa, entonces probablemente estés familiarizado con la magia del acceso remoto. Cuando está habilitado, un técnico o cualquier persona autorizada puede abrir documentos, descargar e instalar software o incluso mover el cursor por la pantalla en tiempo real.
Un RAT (Remote Administration Tool) es un tipo de malware muy similar a los programas legítimos de acceso remoto, también llamados herramientas administrativas.
La principal diferencia es que un RAT es malicioso, y se instala sin el consentimiento ni el conocimiento del usuario.
Y no está pensado precisamente para dar soporte técnico, trabajar desde casa, ni para compartir archivos.
Su objetivo es robar datos, secuestrar una máquina, o tomar el control de un dispositivo para todo tipo de fines maliciosos.
Un RAT se compone de dos partes: un cliente y un servidor.
- El cliente: es el programa instalado en la máquina del villano. Acostumbra a tener una interfaz gráfica de usuario con distintas opciones de control.
- El servidor: es el programa instalado en la máquina de la víctima, está oculto y no tiene interfaz gráfica.
Por ejemplo, el troyano de acceso remoto NonEuclid, desarrollado en C#, es un malware altamente sofisticado que ofrece acceso remoto no autorizado con técnicas de evasión avanzadas.
Es tan versatil, que incluso tiene la capacidad de cifrar archivos con ciertos tipos de extensión (por ejemplo, .CSV, .TXT y .PHP) lo que lo convierte en ransomware.
Como la mayoría de programas maliciosos, los RAT pueden enmascararse como archivos legítimos.
Los delincuentes pueden camuflar un RAT en un archivo adjunto a un correo electrónico (los sospechosos habituales) como por ejemplo una factura.
Tambien explotan las vulnerabilidades no corregidas del sistema oparativo y las aplicaciones.
Como saber si mi dispositivo ha sido infectado
Igual que pasa con otro tipo de software malicioso, puede ser difícil saber si hemos sido infectados por este tipo de troyano.
Un RAT no ralentizará nuestro sistema, y los piratas informáticos no se delatarán eliminando archivos, ni haciendo cosas como mover el cursor por la pantalla.
En algunos casos, es posible estar infectado durante años sin notar nada.
Por regla general, el malware es más efectivo y funciona mejor cuando pasa desapercibido
Para intentar detectar la actividad este tipo de troyano, se puede utilizar una herramienta de detección y prevención de intrusiones en redes como por ejemplo Snort, Zeek o Suricata.
Pero el uso de estas herramientas es bastante complicado y requiere de ciertos conocimientos técnicos, y francamente, no tienen mucho sentido en una pequeña red doméstica.
Que puede hacer un RAT
Cada tipo de malware está diseñado para un propósito en concreto.
Los registradores de teclas graban automáticamente todo lo que escribimos, el ransomware restringe el acceso al ordenador o a sus archivos hasta que paguemos un rescate, y el adware muestra publicidad para obtener ganancias.
Pero los RAT son especiales.
Le dan a los ciberdelincuentes un control completo y anónimo sobre el sistema infectado.
Como podéis imaginar, un pirata informático mediante un RAT puede hacer cosas bastante desagradables.
Entre otras acciones, pueden robar los archivos de un dispositivo infectado, sustraer información confidencial, activar discretamente la webcam, capturar las pulsaciones del teclado, hacerse con información bancaria junto con las contraseñas asociadas, y espiar conversaciones privadas.
Y aún hay más.
Dado que los RAT otorgan a los piratas informáticos acceso con privilegios, son libres de alterar o eliminar cualquier archivo, borrar el disco duro, instalar malware, o descargar e implementar funciones adicionales sobre la marcha, para lograr sus objetivos.
Los villanos también pueden utilizar una pequeña red doméstica como servidor proxy para cometer delitos de forma anónima, como por ejemplo realizar ataques DDOS, o enviar spam.
Mediante un RAT avanzado, un ciberdelincuente puede incluso llegar a controlar centrales eléctricas, cadenas de suministro, instalaciones nucleares, gasoductos y otras infraestructuras críticas.
Por lo tanto, no solo representan un riesgo para la seguridad de las redes corporativas y domésticas.
Algunos países han llegado a apreciar el poder de los RAT y las han integrado en su arsenal militar.
Pero no te preocupes: en el ámbito de los usuarios domésticos, los RAT conocidos se pueden tratar de evitar e incluso eliminar
El software RAT solo se puede identificar una vez que está funcionando en el sistema, por lo tanto, la mejor manera de gestionar el problema es la prevención.
- No abras archivos adjuntos a los correos electrónicos procedentes de extraños, y sospecha de los conocidos.
- Mantén actualizado el software instalado en tu PC, sobre todo el sistema operativo, con los últimos parches de seguridad.
- Ten cuidado con los procesos desconocidos o «exóticos» que se están ejecutando en el sistema.
- Verifica de vez en cuando si hay cambios en los archivos.
- Utiliza la cuenta de Administrador de Windows solo para casos puntuales.
- Si no usas la opción de escritorio remoto en Windows: desactívala.
Busca comportamientos anormales: los RAT son troyanos que se hacen pasar por aplicaciones legítimas y pueden estar agregando funciones maliciosas a una aplicación real. Por ejemplo, el blog de notas no tiene por qué estar generando tráfico de red.
Lleva a reparar tu ordenador u otros dispositivos a un sitio de confianza: para un desaprensivo es muy fácil instalar un troyano mientras no estás delante.
Detectar y eliminar RAT
Los sistemas antivirus no acostumbran a funcionar muy bien contra los RAT más complejos, ya que los métodos de ofuscación que emplean los hacen muy difíciles de detectar.
Los RAT de última generación, que todavía no están en las bases de datos de las distintas compañías que fabrican soluciones de seguridad, requieren muchos conocimientos, tiempo y esfuerzo para su desarrollo, y generalmente están reservados para su uso contra grandes corporaciones.
Estas últimas acostumbran usar sistemas de detección de intrusos que puede estar basados en host o en red.
Pero dado que la mayoría de los piratas informáticos utilizan RAT conocidos (es más fácil y barato que desarrollar los suyos propios) las redes domésticas y las de pequeñas empresas pueden beneficiarse del software antimalware para encontrar y eliminar este tipo de amenaza.
Los fabricantes de software de seguridad tienen una extensa base de datos de RAT que se actualiza constantemente.
Los RAT conocidos generalmente se pueden eliminar una vez que se detectan, sin embargo, a veces es necesario tener que llevar a cabo una instalación nueva de Windows para acabar con ellos por completo.