Como Evitar Hackeos

Cómo descubrir si un intruso ha usado tu ordenador

Por Fabrizio Ferri-Benedetti el día 15 febrero, 2013

Cuando alguien entra en el sistema sin tu permiso y abre tus archivos, las consecuencias pueden ser catastróficas para tu privacidad. Y es que tu ordenador contiene casi toda tu vida: documentos, fotos, contraseñas...

Tanto si sospechas que un intruso ha entrado en tu ordenador como si ya lo sabes y deseas saber qué ha visto, borrado o modificado, tranquilízate: hay muchas maneras gratuitas de averiguar qué ha pasado.

Voy a enseñarte los métodos de investigación forense más sencillos y fiables para recabar información que te permita establecer si alguien entró en tu máquina y qué hizo con tus archivos.

¿Cómo puede alguien entrar en tu ordenador sin permiso?

Debes imaginar tu PC o Mac como una casa con muchas puertas. Algunas son evidentes, otras no tanto. Algunas son remotas y requieren que tu equipo esté conectado a Internet, y otras son las mismas que usas para entrar todos los días.

El acceso físico, esto es, tener el PC delante, es la forma de intrusión más común y eficaz, sobre todo si olvidas bloquear el acceso. A menos que cifres tu disco con Truecrypt o una aplicación similar, el atacante físico solo necesitará tiempo y herramientas adecuadas.

Por desgracia, el ataque físico no es la única forma de que alguien entre en tu máquina: puede que una intrusión se efectúe mientras tu equipo está encendido y conectado a una red de área local o a Internet. En ese caso se habla de una intrusión remota.

¿Qué puede hacer un intruso con tus datos?

Depende de las intenciones del intruso y de su "estilo de trabajo". En la mayoría de los casos, solo querrá robar o consultar información sin dejar huellas. En otros casos, su motivación puede ser destructiva (borrar datos o huellas). Los intrusos también pueden querer modificar datos ya existentes.

Dos ejemplos típicos de intrusión para alterar datos existentes (data tampering): el estudiante que intenta acceder al PC de la escuela para cambiar sus notas o el empleado que desea eliminar correos comprometidos. Estas intervenciones no-destructivas equivalen en cierto modo a "cambiar la historia".

Las acciones más comunes que puede llevar a cabo un intruso, en resumen, son:

• Sustraer / copiar datos confidenciales (contraseñas, documentos)

• Borrar archivos, datos específicos o huellas dejadas previamente

• Alterar datos existentes (claves, bases de datos)

• Instalar un programa (keylogger, control remoto)

La buena noticia es que casi todas las intrusiones pueden detectarse a posteriori si han sido efectuadas por alguien inexperto. Incluso las más discretas dejan huellas que, en ocasiones, se pueden reconducir al intruso.

En caso de intrusión, ¿es posible saber qué ha pasado?

Sí, aunque la investigación puede ser más o menos complicada dependiendo de la habilidad del intruso. Si la intrusión ha sido discreta y el equipo no tiene programas de vigilancia instalados, puede que pasen semanas antes de que la víctima sospeche que ha pasado algo.

Hay toda una serie de lugares en los que buscar huellas dejadas por un intruso inexperto:

• Registro de eventos del sistema

• Registros de aplicaciones (antivirus, navegadores)

• Registros de red (p.ej., del router o de cortafuegos)

• Archivos de configuración globales

• Sistema de ficheros (fechas, particiones ocultas, datos borrados, etc.)

• Procesos en ejecución

Si el intruso ha sido particularmente cuidadoso, es posible que algunas o todas estas huellas no estén presentes. Para ocultar borrados, por ejemplo, se usan herramientas de borrado definitivo, que dificultan muchísimo la recuperación de archivos.

En este artículo presupongo que el intruso no es un experto en el uso de técnicas anti-forenses y que su intrusión ha sido casual, posiblemente facilitada por la falta de medidas de seguridad en el equipo afectado.

Cómo averiguar si alguien entró en tu ordenador

La mayoría de intrusiones dejan huellas en el sistema, especialmente si son casuales. Todos los sistemas operativos disponen de registros en los que se anotan los eventos más notables del sistema. Estos logs son los testigos principales de cualquier intrusión, y el primer lugar al que has de acudir si sospechas que hubo una visita no-deseada.

Analizar los registros de eventos y aplicaciones

La forma más sencilla de averiguar si alguien ha usado el sistema durante tu ausencia es recurrir a los registros de eventos, que no son más que archivos que contienen entradas ordenadas por orden cronológico que indican lo que ha ocurrido en el sistema mientras este se hallaba encendido.

En Windows, la forma más rápida de comprobar qué ha pasado es recurrir al Visor de Eventos (Log Viewer), que se encuentra en Panel de Control > Herramientas administrativas. Para abrirlo necesitarás permisos de Administrador. A la izquierda se muestras los tipos de eventos; a la derecha, las entradas.

El Visor de Eventos. El primer evento en Sistema es el ID 12, y corresponde al encendido del PC

En el Registro de aplicación puedes ver mensajes de error y acciones emprendidas por algunas aplicaciones; en el de seguridad, intentos de acceso fallidos y actividad del cortafuegos, y en el de sistema, los eventos de inicio y apagado. Para cada evento se muestran fecha y hora, usuario que efectuó el evento e información sobre el evento en sí, que no siempre es fácil de descifrar.

Windows Event Viewer+ es una práctica utilidad portable que permite ver todos los registros de eventos

Los registros se guardan como archivos ocultos en la carpeta C:\ProgramData\Microsoft\Event Viewer\ExternalLogs. Si el intruso ha sido lo bastante listo como para borrarlos, puedes intentar buscar sus restos usando un recuperador de archivos. La extensión de los eventos es .EVT, úsala para filtrar los resultados obtenidos con Recuva y aplicaciones similares.

En Linux hay muchos registros de

...