Hay virus que copian lo que tecleas, graban vídeo de la webcam o te escuchan a través del micrófono. Son los espías del PC. Te cuento cómo detectarlos, cómo prevenir sus ataques y cómo actuar en caso de infección.
El spyware es un tipo de virus informático que, en lugar de
eliminar archivos o clonarse, se dedica a sustraer información. Para
saltarse los controles de seguridad y los antivirus, los programas espía
se hacen pasar por aplicaciones legítimas y valiosas, y son controlados a distancia a través de Internet.
Lo que un ciberespía ve cuando activa la cámara web de un PC infectado (fuente)
Los falsos antivirus, también conocidos como rogueware,
son un ejemplo clásico de troyanos, pero también hay spyware que se
instala sin que la víctima lo sepa. Cuando estos virus los crean gobiernos y agencias de seguridad, se denominan govware. Según Ed Snowden, es la clase de utilidades que usa la NSA para espiar a los ciudadanos.
¿Qué hacen los programas espía?
La razón de ser de los programas espía es capturar información sin que la víctima lo sepa.
Por eso se ejecutan de manera invisible, intentando llamar la atención
lo menos posible. Otras veces, el spyware se hace pasar por una
aplicación legítima. Dependiendo del tipo de malware y de su
complejidad, un virus espía puede:
- Grabar todas las pulsaciones del teclado (keylogger)
- Tomar imágenes o vídeos desde la webcam del PC
- Sacar capturas de pantalla del Escritorio de Windows
- Grabar sonido desde el micrófono o tarjeta de sonido
- Ver la pantalla de la víctima (visionado remoto)
- Tomar el control total del ordenador (control remoto)
Todas estas operaciones tienen algo en común: necesitan una conexión a Internet para
llevarse a cabo; el spyware, sin Internet, se vuelve inútil. Ahora que
las conexiones de alta velocidad son más abundantes, el spyware se ha
hecho más dañino, pues puede robar y enviar un volumen de datos mucho
mayor que antes.
El virus Fun Manager permite hacer de todo en el PC de las víctimas (fuente)
¿Cómo se infecta un PC con un programa espía?
Generalmente, los programas espía se aprovechan de la confianza de las personas
para instalarse en el PC sin ser detectados y sin forzar las puertas de
entrada (como antivirus y cortafuegos). Para saltar las murallas de
Windows, usan un amplio abanico de estrategias:
- Se hacen pasar por aplicaciones legítimas o famosas
- Se ejecuta a partir de un archivo adjunto camuflado
- Se instala junto con programas pirateados (p.ej., juegos)
- Se convence a la víctima para que lo instale (ingeniería social)
En ocasiones, los intrusos usan aplicaciones de administración remota muy conocidas, aunque modificadas para evitar las alarmas. Otra veces, el spyware aprovecha vulnerabilidades del sistema, agujeros de seguridad por los que entran sin ser observados por los antivirus.
Un falso aviso de virus: el usuario hace clic y el PC se infecta (fuente)
¿Cómo se detecta un programa espía?
La respuesta rápida: con un buen antivirus. La respuesta larga: con mucha atención. A veces los antivirus fallan o no son capaces de identificar amenazas tan sutiles como los programas espía. Es por ello que muchas detecciones se efectúan a partir de “signos” específicos.
Un consumo de CPU inexplicable podría significa que hay malware actuando (fuente)
Por ejemplo, muchos troyanos de acceso remoto aumentan el consumo del procesador,
lo que se traduce en una mayor lentitud. Otros desactivan los temas
visuales para facilitar el visionado remoto. Y otros, finalmente,
interfieren con el hardware de tu equipo.
Cuando varios de los siguientes signos aparecen en tu PC, puede significar que hay una infección en curso:
- Los programas se han vuelto lentos o dejan de responder
- El puntero del ratón se mueve de manera errática
- La luz de tu cámara web se activa de manera intermitente
- Las ventanas de Windows pierden su transparencia
- Aparecen iconos extraños en la bandeja del sistema
- La velocidad de navegación se ha vuelto más lenta
- Se abren ventanas o se oyen sonidos imprevistos
Lo que algunos programas espía pueden llegar a hacer es tan espectacular que algunas víctimas llegan a pensar que su ordenador ha sido “poseído”.
Pero estos signos, por sí solos, no bastan para confirmar una infección
de spyware, pues podrían deberse a otras cosas, como fallos en el hardware o problemas en las aplicaciones.
Un proceso extraño en el Administrador de tareas es una pista de posible virus (fuente)
En algunos casos, quien controla remotamente el PC llega a poner mensajes o a contactar con la víctima para
divertirse a su costa o para chantajearla. En estos casos, la infección
queda patente y hay que tomar medidas inmediatas para desposeer al
atacante de control sobre el PC, lo que nos lleva a la siguiente
sección.
Al descubrir un programa espía: desconexión y denuncia
Si la sospecha de infección se ha vuelto fuerte o si tienes la certeza de que hay alguien espiando en tu PC, desconecta el equipo de Internet
para que la intrusión no pueda prolongarse. Lo mejor es la desconexión
física: quita el cable de red o apaga o desenchufa el adaptador de red
inalámbrica (WiFi).
En cuando detectes el espionaje, desconecta el PC de Internet
Acto seguido, recopila información sobre la intrusión. "Cuanta más, mejor", nos comentó Deepak Daswani, responsable de operaciones de la agencia INTECO.
Todo lo que puedas aportar es útil, desde capturas
de pantalla hasta mensajes de correo electrónico o archivos dejados por
los intrusos, pasando por signos de la intrusión. "En un caso ideal",
comenta Daswani, "adjuntar capturas de paquetes que evidencien el acceso
desde una IP externa al equipo infectado y que puedan corroborar o dar
indicios de un troyano o actividad maliciosa que pueda haber originado
el robo de esta información, o incluso ficheros de imágenes o vídeos
ocultos que se hayan podido generar en alguna ubicación oculta en su
equipo sería lo más recomendable", aunque también matiza que para poder
extraer esta información hay que recurrir a expertos en seguridad.
El teniente Ángel Flores, del Grupo de Delitos Tecnológicos
de la Guardia Civil española, recomienda llevar el PC a la comisaría
para que los agentes pueden certificar la autenticidad de los mensajes.
"Si se ha producido un intercambio de correos electrónicos con fines de
chantaje, es útil proporcionarlos con su cabecera. Y si la persona viene a la comisaría y abre el correo delante de nosotros en su PC, podemos constatar su autenticidad."
Los detectives informáticos trabajan sobre copias de los discos, nunca sobre el disco original
En caso de que optes por la denuncia, es posible que se envíe el PC a un equipo de informáticos forenses
para recabar datos sobre la intrusión, lo que impedirá el acceso a tu
PC durante un breve tiempo. "Se hace una copia de todo lo que hay en el
PC. Si tú me traes tu ordenador no puedo hacer el análisis con él,
porque podría modificar los datos", nos cuenta el teniente Flores, quien
invita a "no tocar ni borrar nada" y traer el PC tal cual está a las
autoridades.
Utilidades como OSForensics son usadas por las autoridades para clonar un PC investigado
Tras el copiado de datos, el PC es devuelto intacto al denunciante
en cuestión de un día o dos. Es un pequeño inconveniente, pero el
equipo es devuelto intacto a su dueño. "El problema es que la gente no
dice nada. Hay que denunciar. Si no, estemos causándole un beneficio al
delincuente. Si piensas 'no lo voy a llevar, porque a lo mejor me quedo
sin ordenador una semana'… entras en una dinámica negativa y acabas por
no hacer nada", concluye Flores.
El grupo de Cibercrimen de la agencia Europol coordina la investigación entre países de la UE
¿Y si el criminal está en el extranjero? No hay
problema: "Imagínate que una persona denuncia que le han grabado a
través de la webcam, y que a la hora de investigar vemos que el criminal
está en Italia. Habría que coordinar a través de canales europeos una
operación conjunta. No hay un protocolo establecido a nivel europeo de
cara a denunciar, pero la lógica de la investigación es similar".
Las infecciones por programas espía se pueden prevenir
A pesar de su peligrosidad, los programas espías se pueden evitar y detener fácilmente
si tomas precauciones y cuidas la seguridad de tu equipo y de tus
cuentas. Cuantas más medidas apliques, menos probable será que quedes a
la merced del ciberespía:
- Instala un antivirus de calidad y mantenlo actualizado
- Instala un buen cortafuegos para bloquear y vigilar conexiones
- Usa una cuenta de usuario normal en lugar de una de administrador
- Ten a mano antivirus portátiles para una “segunda opinión”
- No abras correos electrónicos y adjuntos sospechosos
- No instales extensiones en el navegador sin conocer su procedencia
Muchos de los consejos que hemos dado a los usuarios de Windows XP para mantener seguro su sistema tras el fin de soporte valen también para otras versiones de Windows. Se trata de blindar el PC contra todo tipo de intrusiones. Pero también está el sentido común:
- Ten cuidado al chatear con desconocidos; no aceptes sus archivos
- Comparte archivos con privacidad para no divulgar datos personales
- Fortalece la seguridad de tu red para evitar intrusiones vía WiFi
- Activa la verificación de dos pasos en todas tus cuentas
Considera la opción de usar un PC desconectado si este contiene
aplicaciones y documentos de importancia crítica. Por otro lado, si no vas a usar webcam y micrófono, puedes desactivarlos siguiendo las instrucciones de este vídeo:
Un consejo final: no te dejes llevar por el pánico
Los mirones y espías informáticos se hacen fuertes por la ignorancia y
miedo de sus víctimas. Si descubres que has sido víctima de espionaje
informático o ciberacoso debes mantener la calma por encima de todo: aunque
den muchísimo miedo, las amenazas de chantaje que esgrimen los
acosadores tienen un impacto real limitado o nulo. Ya lo sabes: si
alguna vez eres víctima de ciberespionaje, Desconecta, recopila Datos y Denuncia.
El autor agradece a INTECO y a la Guardia Civil española su colaboración.
Fabrizio Ferri-Benedetti
Tomado de http://articulos.softonic.com
No hay comentarios:
Publicar un comentario