Ayer se conocía el borrador del Código Procesal Penal, que
permite a las fuerzas y cuerpos de seguridad del Estado usar troyanos para
acceder a los datos en los equipos investigados.
Pero empecemos desde el principio: ¿qué es realmente un
troyano? ¿Qué puede hacer en un ordenador?
Los troyanos son un tipo de malware cuyo principal propósito
es dar acceso remoto a un sistema. Igual que el mítico caballo que usaron los
griegos para introducirse en Troya sin levantar sospechas, estos programas
tratan de pasar lo más desapercibidos que puedan, abriendo una puerta trasera
para que un atacante remoto se introduzca en el ordenador.
Normalmente, los troyanos hacen más que proporcionar una
puerta trasera: registran pulsaciones de teclas y páginas visitadas, transfieren
datos del ordenador, lo convierten en parte de una botnet… Sin embargo, en el
caso de los que usaría la policía lo más probable es que sólo proporcionasen un
registro de acciones del usuario y un acceso para que se pudiesen explorar los
contenidos del ordenador de forma remota.
Por otra parte, decíamos que el troyano trata de pasar
desapercibido, así que no sería extraño que viniese acompañado de un rootkit.
Este tipo de malware tiene como propósito ocultar procesos que puedan hacer
sospechar al usuario.
¿Cómo? Como su nombre indica, los rootkits se instalan en el
ordenador con permisos de administrador, superusuario o root. Al tener control
completo del sistema pueden ocultar ciertos procesos y archivos, evitar que los
antivirus hagan bien su trabajo, saltarse sistemas de cifrado… Así evitan que
detectes que ha habido un compromiso en tu sistema.
Los rootkits pueden instalarse a nivel de sistema operativo
(lo más normal), pero pueden llegar a reemplazar partes del núcleo o incluso
del arranque del ordenador: de esta forma pueden saltarse cualquier protección
que tengas (el rootkit controla todo el ordenador desde el momento en el que
arranca) y resultan muy difíciles de detectar y eliminar.
¿Cómo podemos
infectarnos?
Una vez que sabemos qué es un troyano, lo siguiente es saber
cómo pueden llegar al ordenador. Hay muchísimas formas, veamos algunas.
Puede ser por una vulnerabilidad en un programa que tengas
instalado (ejem, Flash, Java, Adobe Reader). Descargas un archivo especialmente
preparado para que, al abrirlo, se ejecute un código que instale el rootkit en
cuestión (vulnerabilidades por desbordamiento de búfer, en su mayoría).
También puede ser por fallos en el hardware y los
controladores. No sería la primera vez que alguien toma control de un ordenador
enviando unos paquetes especiales a la antena WiFi, o a la radio Bluetooth.
Además, si entran de esta forma conseguirían directamente privilegios de
administrador para hacer lo que quieran con el sistema.
No sería la primera vez que infectan a alguien enviando
datos a su antena WiFi.
Otra posible puerta: manipulación directa de los archivos
que te bajas. Un ataque MITM (Man In The Middle, hombre en el medio), poniendo
un software entre tu ordenador y el resto de Internet, modificaría un archivo
ejecutable que te bajes inyectando código para instalar un troyano. Así, tú
crees que estás instalando, por poner un ejemplo, Chrome, y en realidad estás
instalando Chrome con un regalito de parte de tu amigo el hacker.
Y no tenemos que irnos tan lejos. Alguien con acceso físico
a tu ordenador puede coger ratón y teclado e instalar el malware sin
vulnerabilidades ni complicaciones.
La moraleja es que si quieren ir a por ti, probablemente lo
consigan. Más tarde o más temprano, tu ordenador será vulnerable. Incluso aunque
tengas el sistema actualizado al segundo y con un antivirus analizando el
sistema continuamente, alguien encontrará una vulnerabilidad que no conozca el
fabricante y que podrá aprovechar para introducir su malware especialmente
creado para ser indetectable por el antivirus. Aun así, no es cuestión de poner
las cosas fáciles, así que veamos cómo protegernos.
Cómo proteger un
sistema frente a un troyano
Agenda de alta seguridad anti-hackers.
No vamos a repetir lo obvio: tener todas las aplicaciones
actualizadas, un antivirus bueno, no bajar archivos de sitios que no conozcas…
Tampoco que la única forma de estar 100% seguro es no usar ordenadores ni
conectarse a Internet. Estos son los consejos para usuarios normales, pero si
de verdad estás preocupado por tu seguridad tenemos algo más original.
Veamos medidas de este tipo, desde las menos intrusivas a
las que sean más propias de un verdadero paranoico de la seguridad.
Redes wifi abiertas no, gracias.
Primero de todo: nunca, jamás, en la vida, te conectes a una
red WiFi abierta si te preocupa mínimamente la seguridad. Pueden ver el tráfico
no cifrado, cualquiera puede ver qué puertos abiertos tienes en tu ordenador, e
incluso podrían entrar con un clic en tus cuentas de servicios que no usen
HTTPS.
También puedes asegurarte en tus conexiones a Internet
usando HTTPS siempre que sea posible, o conéctate a través de una VPN para
evitar ataques MITM. Si descargas algo, verifica que no se haya modificado por
el camino calculando su hash y comparando con el que te dan en la página de
descarga. Por supuesto súbelo a sitios como VirusTotal para comprobar que no es
un malware. Ah, y aunque no lo parezca, una descarga por BitTorrent es más
segura que una descarga directa.
Si está disponible, activa los controles de integridad de
los archivos de sistema en tu antivirus. De esta forma, el antivirus chequeará
que los archivos de sistema no han cambiado desde la última vez. Si han
cambiado y no sabes por qué, mala suerte.
Separar cuentas de usuario y administrador es una medida
sencilla y bastante efectiva.
Separar las cuentas de usuario y administrador también es
una medida muy sencilla y efectiva. No me refiero a cosas como el UAC de
Windows 8, que te pregunta si un programa quiere hacer cambios en el sistema, o
al sudo de Linux. No. Me refiero a que tengas dos usuarios distintos, uno para
administración y otro para tareas de usuarios. Si quieres instalar un programa,
sales de la cuenta de usuario y entras en la de administrador, y cuando acabes
vuelves a la de usuario. En Windows y Mac esto implica quitar privilegios de
administración de tu cuenta; en Linux, quitar tu usuario del archivo de sudoers
para que no puedas usar sudo sino que tengas que entrar con otro usuario (su
usuario).
Usar programas especializados para detectar posibles
intrusiones periódicamente es otra buena práctica. Puedes ir desde lo sencillo,
con anti-rootkits como el de Sophos hasta programas más avanzados, como
HijackThis o GMER.
Eso sí, ten en cuenta que cuanto más avanzado es el programa
más difícil de usar es. En lugar de hacerlo todo automáticamente, estos
programas te dan mucha información para que tú puedas decidir qué hacer. Hay
que saber muy bien qué significa cada aviso que te da y qué hace cada opción de
eliminación.
Otra medida bastante efectiva pero que fastidia mucho el uso
del ordenador: poner un firewall en modo estricto. Con eso me refiero a
bloquear todas las comunicaciones por defecto, y sólo permitir la conexión por
ciertos puertos a las aplicaciones que tú hayas definido explícitamente.
Básicamente, navegador, sistema de actualizaciones y poco más.
Cifrar nuestro sistema protegerá nuestros datos frente a
intrusiones. Si ciframos todo el disco (incluyendo el SO), necesitaremos una
contraseña para acceder al sistema, pero entonces todos los archivos aparecerán
sin cifrar a nuestros ojos (y a los de los programas que se ejecuten en el
sistema). Cifrar sólo ciertas carpetas o archivos es más recomendable si
únicamente queréis proteger datos confidenciales (almacén de contraseñas,
correos, agenda…). TrueCrypt es de los mejores programas para cifrar vuestro
disco o sistema.
Pónselo difícil al atacante: usa sistemas menos conocidos.
También podemos poner las cosas difíciles usando software
más minoritario. No uses Windows o Mac, usa Linux. Tampoco uses Android o iOS,
usa BlackBerry o Windows Phone (aunque si estás preocupado por la seguridad de
verdad no sé qué haces con un smartphone). No porque unos sean más seguros que
otros, sino porque si usas un sistema menos usado habrá menos herramientas y
recursos para atacarlo. Simple matemática: a menos usuarios, menos interés
tiene para los atacantes. Si además usas otra arquitectura de procesador (ARM
para escritorio, por ejemplo) conseguirás con muy alta probabilidad que el
malware que te envíen ni se ejecute en tu sistema.
¿Y si uso un móvil/tablet, cómo me protejo?
Con antivirus inútiles y sin sistemas adicionales de
protección, los móviles no son seguros.
La seguridad en el móvil o táblet es un asunto muy delicado.
Primero, porque hay menos software de protección. Hay antivirus sólo en
Android, pero como si no los hubiera, porque son bastante inútiles: fallan
estrepitosamente a la hora de detectar malware que haya sido transformado con
técnicas sencillas y conocidas.
Pero ese no es el problema real. Al fin y al cabo, puedes
evitar estos virus de móvil si tienes algo de cuidado. Pero frente a otro tipo
de vulnerabilidades estamos totalmente vendidos sin sistemas de detección como
los que pueda haber en un ordenador normal. Fallos en las aplicaciones, en el
propio sistema, a la hora de conectarse a redes WiFi que hayan sido suplantadas
(cosa no muy difícil de hacer)…
Lo mejor que puedes hacer es cifrar tus datos en el móvil
por si alguna vez se te pierde, pero de cualquiera de las formas asume que los
móviles y tablets, de momento y salvo que seas el Pentágono y tengas versiones
del sistema mejor protegidas, no son seguros.
Fuente
Entradas
