El número de ciberataques y violaciones de datos se ha disparado en los últimos años, tanto en tamaño como en alcance. Existen diversas formas de explotar de forma silenciosa las vulnerabilidades en los dispositivos de las víctimas sin tener apenas conocimientos técnicos.
Hay quien se dedica a la creación, venta o alquiler de malware (malware como servicio) listo para ser usado por parte de personas y organizaciones sin conocimientos en este sentido, que pretenden realizar un ciberataque.
Cualquier aspirante a delincuente puede usar exploits previamente empaquetados, malware y otros servicios como alquiler de botnets para lanzar incluso ataques sofisticados.
Y debido a que el software malicioso actúa de forma silenciosa, a veces, el usuario tarda mucho tiempo en darse cuenta de que su sistema está comprometido.
Por no hablar de que los ciberdelincuentes más experimentados mediante diversas técnicas avanzadas como la mutación o el enmascaramiento de código o tecnologías de rootkit, intentarán asegurarse de que sus creaciones puedan eludir cualquier software antivirus que se esté ejecutando en el sistema de la víctima.
Pero mediante un poco de investigación y paciencia podemos intentar averiguar si existe alguna actividad inusual en nuestro dispositivo provocada por la presencia de malware.
- Observar la actividad de los programas en la red.
- Comprobar los programas instalados.
- Observar los procesos en ejecución.
- Comprobar los programas que se inician junto al sistema operativo.
- Controlar el correo electrónico.
- Comprobar las extensiones del navegador.
- Asegurarse de que el software de seguridad está habilitado.
- Estabilidad del sistema operativo.
Hay que entender que muchas veces solo obtendremos pistas, y no indicadores claros ni precisos, de que nuestro dispositivo se ha visto comprometido.
Muchos acontecimientos adversos pueden darse por diversos motivos, y no necesariamente debido a una actividad maliciosa.
Observar la actividad de los programas en la red
Por lo general, el malware siempre intentará comunicarse con el mundo exterior, ya sea para recibir instrucciones de su perpetrador o enviar la información robada de forma remota.
El problema es que una gran cantidad de software legítimo también se comunica con sus servidores, entre otras cosas, para poder recibir actualizaciones, y gracias a la fibra óptica (hoy en dia la hay incluso de hasta 1 Gb) la merma en la velocidad de conexión a internet es imperceptible.
Por lo tanto, necesitaremos ver la actividad de la red y saber cómo extraer el contenido que nos interesa.
Para ello, podemos instalar TcpView y ejecutarlo para observar los programas que se comunican con el exterior.
Es un programa de MIcrosoft Windows que informa al usuario de la lista de conexiones establecidas o que se encuentran a la escucha, así como la lista de aplicaciones que las utilizan.
Si no sabes porque un programa desconocido necesita acceso a Internet, es recomendable bloquearle el acceso haciendo clic con el botón derecho y seleccionando «Cerrar».
Si después de investigar descubres que es legítimo siempre puedes volver a otorgarle permiso.
Esto puede suponer bastante paciencia, y unas cuantas búsquedas en Google, pero merece la pena dedicarle un poco de tiempo.
Comprobar los programas instalados
Si eres el único usuario del dispositivo y te das cuenta de que se instalaron nuevos programas o aplicaciones sin tu conocimiento (muchas veces vienen de propina dentro de los instaladores de software gratuito) es posible que tengas un problema.
Por lo tanto nunca está de más comprobar de vez en cuando los programas instalados.
Si detectas un programa que te parece sospechoso, no lo elimines de inmediato: abre un navegador web e investiga su reputación.
Si se trata de software potencialmente no deseado, (también llamado crapware) seguramente ha sido reportado en foros y páginas web.
Observar los procesos en ejecución
Esta es una forma relativamente sencilla, para ver los programas que se ejecutan en el ordenador en un momento dado.
El administrador de tareas predeterminado que viene con Windows es suficiente en la mayoría de los casos.
Incluso puedes buscar información en línea sobre un elemento en concreto, pulsando sobre el con el botón derecho del ratón.
También existen administradores de tareas un poco más avanzados como Process Hacker una herramienta gratuita y potente que te ayuda a supervisar los recursos del sistema, depurar software y detectar malware.
En esta página web puedes encontrar una lista con la descripcion de más de 20 mil procesos de Windows, e incluso introducir en un buscador el que quieras, para saber si es malicioso.
Comprobar los programas que se inician junto al sistema operativo
Al malware más insidioso le gusta iniciarse cada vez que encendemos el ordenador (al mismo tiempo que el sistema operativo) y en ocasiones es capaz de engañar al antivirus residente, haciéndose pasar por un programa legítimo.
La razón es obvia: dificulta su detección por parte de los programas de seguridad y puede continuar perpetrando sus fechorías.
Lo más sencillo
En la carpeta Inicio de Windows 10 hay accesos directos a los programas más comunes que deseamos que se inicien (o no) de forma automática.
La forma más rápida y sencilla de ver los programas que se inician cuando encendemos el ordenador es abrir el administrador de tareas de Windows (combinación de teclas Ctrl + Alt + Supr) y pulsar en la pestaña Inicio.
Otra manera de hacerlo es escribir en el buscador Aplicaciones de inicio.
Selecciona la aplicación (o aplicaciones) que no quieres que se inicie junto al sistema operativo y selecciona Deshabilitar.
Ahora viene lo complicado
Pero también hay otros archivos que están integrados en el sistema operativo, en el registro de Windows y otras partes de las tripas de la máquina, que cuentan con característicad de inicio automático.
La mayoría del malware más insidioso hace uso de ello para ejecutarse automáticamente y en segundo plano cada vez que el usuario inicia el sistema operativo, por lo que el culpable no aparece en el Administrador de tareas.
Autoruns es una herramienta gratuita de Sysinternals de Microsoft que enumera todos los programas que se inician automáticamente en una máquina con Windows.
Básicamente Autoruns nos mostrará un listado con todos los programas que se ejecutan durante el inicio del sistema.
Desde este listado, podemos seleccionar uno a uno los programas que queremos auditar.
Este software también proporciona información sobre la seguridad de los programas y su reputación mediante Virus Total.
Pero antes de realizar cualquier acción, se recomienda buscar en alguna base de datos para comprobar si un programa sospechoso es algun tipo de malware conocido, o simplemente no, necesita iniciarse automáticamente.
Entre otras opciones, permite:
- Acceder directamente a su clave correspondiente en el Registro.
- Saber quien es el fabricante.
- Buscar información en Google.
- Desactivarlo para que no vuelva a ejecutarse automáticamente.
El hecho de deshabilitarlo no supone desinstalarlo del ordenador, por lo que tendrás que hacerlo de forma manual.
En cualquier caso, Windows 10 y 11 cuentan con una función llamada Unified Extensible Firmware Interface (UEFI).
Esta característica de arranque seguro protege tu PC contra el malware desde el momento en que lo enciendes hasta que se inicia el software de seguridad.
La mayoría de antivirus, también permiten programar un análisis durante el arranque y de esta forma pueden detectar los tipos conocidos de malware y eliminar las amenazas antes de que el sistema operativo y otros servicios se ejecuten.
Controlar el correo electrónico
Cuando se toma el control de una cuenta de correo electrónico, el atacante suele utilizarla para difundir spam y malware.
Si tus amigos y contactos están cabreados porque reciben basura y publicidad procedente de tu dirección de correo electrónico, puede que esta se encuentre comprometida.
Inicia sesión en tu cuenta y cambia la contraseña.
Las direcciones de correo electrónico también se pueden falsificar sin necesidad de piratear la cuenta.
El envío de un correo electrónico a través de SMTP no garantiza necesariamente la autenticidad del remitente lo que permite que un atacante pueda añadir la dirección de cualquier persona en un correo falsificado.
Todo lo que necesita un villano es un servidor de Protocolo Simple de Transferencia de Correo (SMTP), es decir, un servidor que pueda enviar correos electrónicos, y un cliente de correo como por ejemplo Thunderbird.
Si después de cambiar la contraseña tus amigos continúan recibiendo correos electrónicos que tu no has enviado, es probable que alguien esté falsificando tu dirección de correo.
Y ante esto ultimo, a parte de avisar a tus contactos, poco más puedes hacer.
Comprobar las extensiones del navegador
¿Alguna vez has escrito una URL, o hecho clic en un resultado de búsqueda, y has sido dirigido a un sitio web que no tiene nada que ver con la página que pretendías ver?
La mayoría de las veces, estos redireccionamientos son causados por secuestradores del navegador, un tipo de malware que puede modificar el comportamiento de este software sin tu permiso.
Las inutiles e insidiosas barras de herramientas que se instalan en los navegadores al descargar ciertos programas que contienen adware son los sospechosos habituales.
En el mejor de los casos, acostumbran a redirigirnos a páginas con contenido publicitario, pero también a sitios web de phishing o que pueden descargar de forma automática software malicioso en nuestro dispositivo.
Casi todos los navegadores actuales como por ejemplo Google Chrome, Safari, Opera Firefox, Microsoft Edge e Internet Explorer ofrecen la posibilidad de instalar complementos.
Esto hace que empaquetar malware dentro de las extensiones, resulte atractivo para los delincuentes.
Y por lo general, las extensiones no se consideran aplicaciones, por lo que suelen pasar desapercibidas para la mayoría de programas de seguridad.
Por lo tanto, verifica que extensiones están activas, y que sus desarrolladores tengan un sitio web o un perfil público a través del cual puedas verificar su identidad.
También es muy importante saber que permisos están ejecutando en nuestro navegador web.
Si una extensión solicita permisos que parecen inverosímiles, es mejor eliminarla.
Por ejemplo, una extensión de captura de pantalla no debería requerir permisos para acceder al correo electrónico.
Asegurarse de que el software de seguridad está habilitado
En equipos que cuenten con la actualización KB4052623 instalada, Microsoft ha eliminado la capacidad de deshabilitar Microsoft Defender y el software de seguridad de terceros modificando el Registro de Windows.
Pero cierto tipo de malware como los rootkits o el ransomware todavía pueden hacerlo mediante otros métodos.
El software de protección deshabilitado (salvo incompatibilidades, errores en el programa o en el sistema operativo) es una señal bastante clara de que algo no está bien y deberás tomar medidas para volver a un entorno seguro.
Si después de intentar activar la protección antivirus, o reiniciar el equipo el problema persiste, la solución, muchas veces pasa por utilizar un disco de rescate: una herramienta gratuita proporcionada por la mayoría de fabricantes de programas de seguridad que sirve para examinar tu ordenador sin necesidad de iniciar Microsoft Windows.
Los discos de rescate evitan que los archivos infectados se carguen en la memoria por lo que es mucho más fácil eliminarlos.
El malware también puede usar certificados para deshabilitar la instalación de soluciones de seguridad en tu ordenador alterando el Control de cuentas de usuario en Windows.
- Presiona la tecla de Windows + R y escribe certmgr.msc.
- Expande el árbol Certificados que no son de confianza y luego abre la subcarpeta Certificados.
- Aquí,estarán presentes la mayoría de los certificados AV que posiblemente están bloqueando la instalación del software antivirus.
- Elimina todos los certificados de esta carpeta.
- Reinstala tu antivirus.
Estabilidad del sistema operativo
El malware se ha vuelto más sofisticado pero todo el software es susceptible de tener errores de programación, incluso el malicioso.
Si nuestro PC sufre fallos de forma reiterada como por ejemplo el famoso pantallazo azul de Windows, o reinicios inesperados, puede deberse a la presencia de software malicioso diseñado por un chapucero.
Pero también a algún problema en la memoria RAM, en los drivers del sistema o por culpa de un periférico como una webcam, un teclado, un ratón, un pendrive etc.
Por lo tanto, toca investigar para ver que está pasando.
Los que todavía utilizan Windows 7 tienen que tener en cuenta que la falta de actualizaciones de seguridad periódicas para corregir posibles vulnerabilidades, ha convertido esta versión de Windows en un objetivo prioritario de los ciberdelincuentes.
Dos tercios del malware es invisible
Los tiempos en que el software malicioso ralentizaba nuestra conexión a internet, colapsaba el sistema operativo o inundaba nuestra pantalla con ventanas emergentes es cosa del pasado.
Los villanos utilizan técnicas para camuflar archivos maliciosos en el sistema, utilizando métodos de ocultación y evasión.
El malware más sofisticado es prácticamente invisible y los cortafuegos tradicionales y las soluciones de seguridad basadas en firmas de virus muchas veces se ven impotentes ante las amenazas de nueva generación.
Los delincuentes también prefieren utilizan tácticas de ingeniería social porque normalmente es mucho más fácil engañar a alguien para que les facilite su contraseña de una red social o de su banca online, que intentar instalar un troyano en su dispositivo.