NorfiPC
NorfiPC » Como lo Hago » Intrusiones de red

Detectar intrusos en mi computadora y conexiones sin autorizar

Como conocer si alguien se conecta a tu equipo a través de internet, conocer las conexiones entrantes y salientes establecidas de una conexión de red, saber que puertos están abiertos y como cerrarlos, peligros del archivo hosts.
Como detectar las intrusiones de red en el equipo, consejos para neutralizarlas

¿Tienes alguna duda o sospecha que cuando estas conectado a Internet algún intruso penetra por la conexión de red a tu PC?
¿Crees que sea posible que aunque tengas un software antivirus instalado puedan espiarte y acceder a tus documentos y archivos personales?
¿Crees que alguien te pueda robar a través de la red tus contraseñas y datos más secretos?
Puede que no sea una idea tan descabellada después de todo, al estar conectado a una red estamos expuestos a un inmenso tráfico de aplicaciones diseñadas para penetrar a un equipo por cualquiera de los puertos abiertos.


Peligros de las intrusiones de red


El objetivo de las aplicaciones conocidas como malware es violentar la seguridad de cualquier equipo Algunas espían las pulsaciones del teclado y así detectan los nombres de usuario y las contraseñas introducidas, posteriormente esta misma aplicación (conocidas como Spyware) establece una conexión con el sitio web del atacante y envía la información.
El objetivo de otras (Troyanos) es realizar acciones para facilitar el acceso remoto de un usuario no autorizado al equipo.
En ocasiones estas pequeñas aplicaciones vienen en el interior de archivos que descargamos de la red, como documentos, juegos, programas gratis, al estar inertes y comprimidas, los antivirus pueden no detectarlas, pero en todos los casos podemos conocer de su actividad, cuando establecen la conexión con el sitio externo.
Para eso puedes hacer algunas sencillas pruebas, es el propósito de este artículo, no hace falta ningún conocimiento avanzado para eso, ni instalar ninguna aplicación, Windows incluye las herramientas necesarias para ello.


¿Cómo diagnosticar y conocer las conexiones entrantes en el equipo?


Para conocer las conexiones establecidas actualmente solo haz lo siguiente:
• Cierra todos los programas y conexiones a la red.
• Abre una ventana del símbolo del sistema, para eso solo escribe en el cuadro de Inicio: CMD y presiona la tecla Enter.
• En la ventana de la consola de CMD o MSDOS que se abre, ingresa tal como está aquí escrito: NETSTAT -n 10
Lo que se muestra en la pantalla negra de la consola, es una tabla con 4 columnas y diversas filas que contiene la siguiente información:
Proto: Nos indica el protocolo utilizado para la comunicación por cada una de las conexiones activas (La que te interesa es TCP).
Dirección Local: Nos indica la dirección origen de la conexión y después de los dos puntos: el puerto.
Dirección Remota: Nos indica la dirección de destino, su IP y el puerto.
Estado: Nos indica el estado de dicha conexión en cada momento.

Los estados posibles son:

LISTENING: El puerto está escuchando en espera de una conexión.
ESTABLISHED: La conexión ha sido establecida.
CLOSE_WAIT: La conexión sigue abierta, pero el otro extremo nos comunica que no va a enviar nada más.
TIME_WAIT: La conexión ha sido cerrada, pero no se elimina de la tabla de conexión por si hay algo pendiente de recibir.
LAST_ACK: La conexión se está cerrando.
CLOSED: La conexión ha sido cerrada definitivamente.
• En la columna Dirección local la IP 127.0.0.1 es propia del sistema, si tienes alguna red de área local tiene el formato 192.168.*.*.
• El numero 10 después del comando NETSTAT significa el intervalo en segundos en que se va a actualizar la pantalla, puedes aumentarlo o disminuirlo.
Después que te familiarices con la información de la ventana entonces conéctate a la red que utilizas y comienza a realizar lo que haces normalmente siempre monitoreando la pantalla de NETSTAT.

¿Cómo verificar e identificar la dirección IP de un sitio web?

Cualquier conexión establecida extraña que veas y no se corresponde con nada de lo que haces, puedes verificar la IP que aparece en la columna de "Conexión remota" en el siguiente servicio web: https://whois.domaintools.com/
Esto puede ser muy útil para detectar la actividad de troyanos, spam y otras intrusiones en nuestra PC, también indispensable para poder diagnosticar cualquier conflicto de redes.


Detectar las conexiones ocultas del equipo con el exterior


El comando NETSAT utilizado anteriormente permite diferentes opciones.
Para detectar si alguna aplicación en tu computadora está realizando conexiones con el exterior, puedes usar la opción: NETSTAT -b, de ser así identificará y mostrará los datos de la aplicación.
Como estos tipos de conexiones suelen ser aleatorias y breves, lo ideal es chequear la conexión cada cierto intervalo de tiempo.
Lo ideal en este caso es configurar NETSTAT para que haga el chequeo de forma automática y el resultado lo vaya escribiendo en un archivo, se puede lograr fácilmente con la siguiente instrucción:
NETSTAT -B 10>>%userprofile%\Desktop\Conexiones_establecidas.txt
De esta forma NETSTAT chequeará cada 10 segundos las conexiones al exterior y escribirá el resultado en un archivo de texto que creará en el escritorio.
El archivo creado será nombrado "Conexiones_establecidas.txt", el que podrás revisar y leer periódicamente.

Más informacion sobre el uso de NETSTAT

Todas las opciones que permite el comando NETSTAT, están documentadas en la siguiente página de este sitio, en ella podrás también descargar de forma gratis, varias aplicaciones para hacer más fácil la tarea: Ver, conocer, e identificar con NETSTAT las conexiones activas establecidas en el equipo
También tienes la opción de cargar una infografía que muestra de forma visual el uso elemental y sencillo de NETSTAT, para los que no tienen conocimientos en lo absoluto de los comandos.
Ver Infografía: Como usar NETSTAT para conocer las conexiones establecidas en tu equipo


¿Cómo conocer los puertos abiertos por Windows en el equipo?


Los puertos de comunicaciones del sistema, son algo parecido a las ventanas y puerta de una casa, a través de ellos se establecen las conexiones y funciona internet, pero también penetra el malware y se comunica con el sitio de su propietario.
Puedes conocer fácilmente los puertos abiertos en tu sistema en este momento y a la escucha.
Para saber que puertos tienes abiertos de una forma sencilla, escribe en la ventana de la consola de SND lo siguiente como lo ves aquí y presiona la tecla Enter:
NETSTAT -an |find /i "listening"
Se mostrará el listado de los puertos que tienes abiertos en este momento.
Antes de seguir debes tener presente algunos conceptos:
Un puerto abierto no es necesariamente peligroso, estas en riesgo solo si el programa que usa el puerto tiene códigos dañinos.
Un puerto no es abierto por el sistema operativo, es abierto por un programa específico queriendo usarlo.
Para cerrar un puerto, usualmente solo es necesario cerrar el programa ó servicio que mantiene dicho puerto abierto.
Así que no hay razón para cerrar todos los puertos en tu sistema. En realidad, sin tener puertos abiertos, no funcionaría internet!

Puertos mas usados

Hay puertos que usas para tu comunicación y servicios de internet y no constituyen ningún peligro como por ejemplo:
21 Puerto de FTP. Te permite descargar archivos que se encuentran en servidores FTP
25 SMTP Puerto de email. Uso del correo electrónico
80 Puerto del HTTP. A traves de el se realiza toda la comunicacion necesaria para el funcionamiento de las páginas web.
110 POP3 Puerto de email. Uso del correo electrónico
531 Puerto IRC. Funcionamiento del chat

¿Cuáles son y como cerrar los puertos peligrosos?

Puerto 135
El puerto 135 lo comparten el DCOM, programador de tareas y MSDTC, si se tiene cualquiera de esos servicios el puerto permanece abierto y aceptando conexiones entrantes
Ciérralo deteniendo los servicios anteriores o modificando la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
En EnableDCOM, cambiar el parametro Y por N
Puertos 137,138,139 y 445
Si el equipo tiene NetBios habilitado, "escucha" en los puertos UDP 137 y 138, y en los TCP 139 y 445. Si NetBios está deshabilitado, sólo escuchará mediante el puerto 445.
Para deshabilitar NetBios, en propiedades de Protocolo de internet 4(TCP/IPv4) >Opciones avanzadas >WINS selecciona Deshabilitar NetBios a través de TCP/IP.
Para desactivar completamente NetBios a través del registro modificar la siguiente clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
renombrar TransportBindName a TransportBindNameBAK
Puertos 5000 y 1900 (uPnP)
Deshabilitando el Servicio de descubrimientos SSDP, cierras las conexiones al puerto 1900 UDP, y el 5000 TCP


Herramienta para conocer y configurar los puertos abiertos


Una medida básica de seguridad es conocer que puertos tenemos, cuales están abiertos, quien mandó a abrirlos, que programa o aplicación se comunica a través de ellos, con quien se comunica, cual es la dirección IP con la que establecen conexión.
Para eso te ofrezco una alternativa más avanzada, es una diminuta aplicación llamada Current Ports, no es necesario instalar, solo ejecútala y te mostrará en una lista todos los puertos abiertos por conexiones TCP/IP y UDP.
Por cada puerto abierto en la lista te muestra información como: el nombre del proceso, dirección IP remota, la ruta de la aplicación que lo crea, cuando fue creado, etc.
Adicionalmente permite cerrar las conexiones indeseadas, cerrar los procesos, y guardar toda la información en un archivo.
La aplicación también marca con un color rosado los puertos sospechosos abiertos por conexiones sin identificar.
Descarga gratis CurrPorts desde https://www.nirsoft.net/utils/cports.html
Toda la información sobre el uso y funcionamiento de los puertos, además varias aplicaciones gratis para facilitar las tareas relacionadas puedes encontrarla en la siguiente página de este sitio: Conocer los puertos abiertos en la computadora, como cerrarlos


Precauciones adicionales para impedir las intrusiones en el equipo


Deshabilitar Reproducción Automática de Medios Extraíbles

Una recomendación, si a menudo en tu PC se conectan memorias flash, pendrives, tarjetas de memoria o discos duros externos desactiva la reproducción automática de los medios extraíbles, eso te asegurará que no entre de forma automática ningún virus en tu sistema ya que esta es la forma más común de transmisión de ellos.
Para eso lee la siguiente página:
Configurar el autorun o reproducción automática en las unidades.

Revisar regularmente el Archivo Hosts

El siguiente paso es revisar el estado de tu archivo hosts.
¿Que es el archivo host?, ¿cuál es su función?
El archivo hosts es un archivo de texto que se encuentra en la siguiente ruta: C:\Windows\System32\drivers\etc\hosts.
Su función en los sistemas operativos anteriores era la de listar los nombres de dominio con sus respectivas direcciones IP.
Ya no tiene esta función debido al crecimiento desmesurado de Internet, en la actualidad es más factible buscar esa relación en un servidor de nombre de dominio DNS , pero todavía Windows antes de buscar información externa en un servidor DNS para resolver la IP de una página solicitada busca primero en el archivo hosts.
De forma predeterminada, después de instalar Windows, la única línea que contiene el archivo host es la dirección: localhost, o sea la dirección del propio equipo cuya IP es 127.0.0.1.
Se aconseja revisar este archivo, porque existen virus que entre las acciones que realizan, una de ellas es escribir en el archivo host, las URL o direcciones de actualización de los principales programas antivirus, por lo que en caso de tratar de actualizar el antivirus instalado o inclusive acceder a foros populares relacionados con este tema en busca de ayuda, seas redireccionado a tu misma dirección IP.
Si al revisar el archivo hosts encuentras alguna línea que no sea localhost elimínala con confianza.
En Windows 8 el archivo hosts se encuentra en la siguiente ubicación: "C:\Windows\System32\Drivers\etc"


El poder y la importancia del archivo hosts en Windows.

Haz la siguiente prueba, es inofensiva pero te demostrará como una simple línea de código que esté en un archivo que ejecutes puede transformar el destino de tu conexión.
➔ Crea un archivo batch que solo contenga esta línea:
echo 194.224.58.10 google.com >> c:\windows\system32\drivers\etc\hosts
Si no sabes cómo es sencillo: copia la línea en el bloc de notas de Windows y guárdalo con cualquier nombre pero que tenga la extensión .cmd, asegúrate que en la pestaña Tipo aparezca: Todos los archivos (*.*).
➔ A continuación ejecuta el batch que guardaste.
➔ Abre el navegador web e ingresa la conocida dirección google.com, pero para tu gran sorpresa la página que cargaras será la de Movistar en http://www.movistar.es/on/.
La explicación como ya supondrás es que la línea de código lo que hizo fue transformar tu archivo hosts y estableció que la dirección IP de google.com es 194.224.58.10 cuando en realidad no es cierto.
Te darás cuenta que con solo una línea de código que pongan por ejemplo en una aplicación freeware que descargues, de forma malintencionada pueden hacer que tu inconscientemente accedas a sitios que ni te imaginas con la mayor confianza del mundo.
De esa forma pueden desviar la ruta de los servidores de actualización de tu antivirus, enviarte a sitios de suplantación de identidad (pishing), etc.
Cuando termines la pequeña prueba accede a tu archivo hosts y borra la entrada que añadiste.

Crear un archivo host nuevo

Usa el siguiente código para crear un archivo batch que reemplaza el archivo hosts existente por uno nuevo, con el formato predeterminado de Windows.
Si tienes dudas lee el siguiente artículo que explica cómo crearlo: Qué son los archivos BATCH o BAT, usos prácticos y como crearlos
@Echo off
pushd "%systemroot%\system32\Drivers\etc"
attrib -h -s -r hosts
echo 127.0.0.1 localhost>hosts

popd
PAUSE
Para más seguridad, en el espacio vacio en la cuarta línea puedes agregar la siguiente instrucción para protegerlo como archivo de solo lectura y archivo de sistema.
attrib +r +s hosts


Consejos sobre la seguridad en un equipo


Los mejores consejos para cuestiones de seguridad:

Ningún sistema es completamente seguro, el único sistema seguro es aquel que está apagado y desconectado de internet.
La precaución puede llegar a ser el truco más efectivo contra las intrusiones no deseadas.


Algunas de las precauciones que se deben tener en cuenta

• Tener activado el firewall de Windows
• Usar software de protección antivirus
• Instalar regularmente los últimos parches de seguridad activando las actualizaciones automáticas.
• Evitar la instalación innecesaria de software gratuito (no confundir con programas de código abierto del proyecto GNU). La mayor parte del spyware se instala a través del software gratuito que puedas descargar, creado precisamente para eso, aunque a veces la infección de spyware se contrae simplemente visitando un sitio web.
• Utilizar Mozilla Firefox, ya que hasta el momento no existe otro navegador que supere los mecanismos de seguridad de Mozilla.
• Verificar que los ficheros adjuntos que descarguemos no tenga doble extensión, por ejemplo: (fichero.mp3.exe). Para eso es imprescindible en Opciones de carpeta >Ver, desmarcar la casilla Ocultar las extensiones de archivos.
• Utilizar una cuenta de usuario estándar. Aunque la cuenta de usuario de administrador ofrece un control completo sobre un equipo, el uso de una cuenta estándar puede ayudar que el equipo sea más seguro. De este modo, si otras personas obtienen acceso al equipo mientras haya iniciado la sesión, no pueden alterar la configuración de seguridad del equipo ni cambiar otras cuentas de usuario.

De acuerdo al uso que se le dé al equipo, hay algunas opciones de Windows que se pueden deshabilitar completamente, lo que hará nuestro sistema mucho más seguro.
• Acceso remoto en: Mi PC >Propiedades del sistema >Configuración avanzada >Acceso remoto.
• Entra a Conexiones de red, ve a las propiedades de la conexión que utilices y en Funciones de red desmarca las casillas (no las desinstales) todas excepto: Protocolo de internet 4(TCP/IPv4).
• Panel de control >Herramientas administrativas >Servicios >Registro remoto Deshabilitarlo.
• Panel de control >Herramientas administrativas >Servicios >Servicio Informe de errores de Windows Deshabilitarlo.

Otras páginas relacionadas