Como detectar las intrusiones de red en el equipo, consejos para neutralizarlas

Diagnosticar conexiones entrantes | Verificar direccin IP | Analizar puertos abiertos | Cerrar puertos peligrosos | Deshabilitar reproduccin automtica | El archivo hosts | El poder del archivo hosts

Como conocer si alguien se conecta a tu equipo a travs de internet, conocer las conexiones entrantes y salientes establecidas de una conexin de red, saber que puertos estn abiertos y como cerrarlos, peligros del archivo hosts.

Tienes alguna duda o sospecha que cuando estas conectado a Internet algn intruso penetra por la conexin de red a tu PC? Crees que sea posible que aunque tengas un software antivirus instalado puedan espiarte y acceder a tus documentos y archivos personales? Crees que alguien te pueda robar a travs de la red tus contraseas y datos ms secretos? Puede que no sea una idea tan descabellada despus de todo, al estar conectado a una red estamos expuestos a un inmenso trfico de aplicaciones diseadas para penetrar a un equipo por cualquiera de los puertos abiertos.

Peligros de las intrusiones de red

El objetivo de las aplicaciones conocidas como malware es violentar la seguridad de cualquier equipo Algunas espan las pulsaciones del teclado y as detectan los nombres de usuario y las contraseas introducidas, posteriormente esta misma aplicacin (conocidas como Spyware) establece una conexin con el sitio web del atacante y enva la informacin. El objetivo de otras (Troyanos) es realizar acciones para facilitar el acceso remoto de un usuario no autorizado al equipo. En ocasiones estas pequeas aplicaciones vienen en el interior de archivos que descargamos de la red, como documentos, juegos, programas gratis, al estar inertes y comprimidas, los antivirus pueden no detectarlas, pero en todos los casos podemos conocer de su actividad, cuando establecen la conexin con el sitio externo. Para eso puedes hacer algunas sencillas pruebas, es el propsito de este artculo, no hace falta ningn conocimiento avanzado para eso, ni instalar ninguna aplicacin, Windows incluye las herramientas necesarias para ello.

Cmo diagnosticar y conocer las conexiones entrantes en el equipo?

Para conocer las conexiones establecidas actualmente solo haz lo siguiente: Cierra todos los programas y conexiones a la red. Abre una ventana del smbolo del sistema, para eso solo escribe en el cuadro de Inicio: CMD y presiona la tecla Enter. En la ventana de la consola de CMD o MSDOS que se abre, ingresa tal como est aqu escrito: NETSTAT -n 10 Si se te hace difcil descarga el archivo batch en el link mas abajo, descomprmelo y ejectalo.

Archivo batch para ejecutar NETSTAT

Lo que se muestra en la pantalla negra de la consola, es una tabla con 4 columnas y diversas filas que contiene la siguiente informacin: Proto: Nos indica el protocolo utilizado para la comunicacin por cada una de las conexiones activas (La que te interesa es TCP). Direccin Local: Nos indica la direccin origen de la conexin y despus de los dos puntos: el puerto. Direccin Remota: Nos indica la direccin de destino, su IP y el puerto. Estado: Nos indica el estado de dicha conexin en cada momento. Los estados posibles son: LISTENING: El puerto est escuchando en espera de una conexin. ESTABLISHED: La conexin ha sido establecida. CLOSE_WAIT: La conexin sigue abierta, pero el otro extremo nos comunica que no va a enviar nada ms. TIME_WAIT: La conexin ha sido cerrada, pero no se elimina de la tabla de conexin por si hay algo pendiente de recibir. LAST_ACK: La conexin se est cerrando. CLOSED: La conexin ha sido cerrada definitivamente. En la columna Direccin local la IP 127.0.0.1 es propia del sistema, si tienes alguna red de rea local tiene el formato 192.168.*.*. El numero 10 despus del comando NETSTAT significa el intervalo en segundos en que se va a actualizar la pantalla, puedes aumentarlo o disminuirlo. Despus que te familiarices con la informacin de la ventana entonces conctate a la red que utilizas y comienza a realizar lo que haces normalmente siempre monitoreando la pantalla de NETSTAT. Si utilizas el navegador Internet Explorer puedes verificar las conexiones establecidas en este mismo momento desde aqu, utilizando el siguiente botn:

Cmo verificar e identificar la direccin IP de un sitio web?

Cualquiera conexin establecida extraa que veas y no se corresponde con nada de lo que haces, puedes verificar la IP que aparece en la

columna de Conexin remota en el siguiente formulario, introduce la direccin o arrastrala del navegador.

Verificar Direccin

Aclarar

Esto puede ser muy til para detectar la actividad de troyanos, spam y otras intrusiones en nuestra PC, tambin indispensable para poder diagnosticar cualquier conflicto de redes.

Detectar las conexiones ocultas del equipo con el exterior

El comando NETSAT utilizado anteriormente permite diferentes opciones. Para detectar si alguna aplicacin en tu computadora est realizando conexiones con el exterior, puedes usar la opcin: NETSTAT -b, de ser as identificar y mostrar los datos de la aplicacin. Como estos tipos de conexiones suelen ser aleatorias y breves, lo ideal es chequear la conexin cada cierto intervalo de tiempo. Lo ideal en este caso es configurar NETSTAT para que haga el chequeo de forma automtica y el resultado lo vaya escribiendo en un archivo, se puede lograr fcilmente con la siguiente instruccin:

NETSTAT -B 10>>%userprofile%\Desktop\Conexiones_establecidas.txt
De esta forma NETSTAT chequear cada 10 segundos las conexiones al exterior y escribir el resultado en un archivo de texto que crear en el escritorio. El archivo creado ser nombrado "Conexiones_establecidas.txt", el que podrs revisar y leer peridicamente. Todas las opciones que permite el comando NETSTAT, estn documentadas en la siguiente pgina de este sitio, en ella podrs tambin descargar de forma gratis, varias aplicaciones para hacer ms fcil la tarea. Ver, conocer, e identificar con NETSTAT las conexiones activas establecidas en el equipo

Tambin tienes la opcin de cargar una infografa que muestra de forma visual el uso elemental y sencillo de NETSTAT, para los que no tienen conocimientos en lo absoluto de los comandos. Ver Infografa: Como usar NETSTAT para conocer las conexiones establecidas en tu equipo

Cmo conocer los puertos abiertos por Windows en el equipo?

Los puertos de comunicaciones del sistema, son algo parecido a las ventanas y puerta de una casa, a travs de ellos se establecen las conexiones y funciona internet, pero tambin penetra el malware y se comunica con el sitio de su propietario. Puedes conocer fcilmente los puertos abiertos en tu sistema en este momento y a la escucha. Para saber que puertos tienes abiertos de una forma sencilla, escribe en la ventana de la consola de SND lo siguiente como lo ves aqu y presiona la tecla Enter:

NETSTAT -an |find /i "listening"

Se mostrar el listado de los puertos que tienes abiertos en este momento. Verifica que puertos tienes abiertos en este momento desde aqu, (solo Internet Explorer) No cierres la ventana y sigue leyendo para que sepas el uso de cada uno de ellos. Pero antes de seguir debes tener presente algunos conceptos:
Un puerto abierto no es necesariamente peligroso, estas en riesgo solo si el programa que usa el puerto tiene cdigos dainos. Un puerto no es abierto por el sistema operativo, es abierto por un programa especfico queriendo usarlo. Para cerrar un puerto, usualmente solo es necesario cerrar el programa servicio que mantiene dicho puerto abierto. As que no hay razn para cerrar todos los puertos en tu sistema. En realidad, sin tener puertos abiertos, no funcionara internet!

Hay puertos que usas para tu comunicacin y servicios de internet y no constituyen ningn peligro como por ejemplo: 21 Puerto de FTP. Te permite descargar archivos que se encuentran en servidores FTP 25 SMTP Puerto de email. Uso del correo electrnico 80 Puerto del HTTP. A traves de el se realiza toda la comunicacion necesaria para el funcionamiento de las pginas web. 110 POP3 Puerto de email. Uso del correo electrnico 531 Puerto IRC. Funcionamiento del chat

Cules son y como cerrar los puertos peligrosos?

Puerto 135 El puerto 135 lo comparten el DCOM, programador de tareas y MSDTC, si se tiene cualquiera de esos servicios el puerto permanece abierto y aceptando conexiones entrantes Cirralo deteniendo los servicios anteriores o modificando la siguiente clave del registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

En EnableDCOM, cambiar el parametro Y por N Puertos 137,138,139 y 445 Si el equipo tiene NetBios habilitado, "escucha" en los puertos UDP 137 y 138, y en los TCP 139 y 445. Si NetBios est deshabilitado, slo escuchar mediante el puerto 445. Para deshabilitar NetBios, en propiedades de Protocolo de internet 4(TCP/IPv4) >Opciones avanzadas >WINS selecciona Deshabilitar NetBios a travs de TCP/IP. Para desactivar completamente NetBios a travs del registro modificar la siguiente clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

renombrar TransportBindName a TransportBindNameBAK Puertos 5000 y 1900 (uPnP) Deshabilitando el Servicio de descubrimientos SSDP, cierras las conexiones al puerto 1900 UDP, y el 5000 TCP

Herramienta para conocer y configurar los puertos abiertos

Una medida bsica de seguridad es conocer que puertos tenemos, cuales estn abiertos, quien mand a abrirlos, que programa o aplicacin se comunica a travs de ellos, con quien se comunica, cual es la direccin IP con la que establecen conexin. Para eso te ofrezco una alternativa ms avanzada, es una diminuta aplicacin llamada Current Ports, no es necesario instalar, solo ejectala y te mostrar en una lista todos los puertos abiertos por conexiones TCP/IP y UDP. Por cada puerto abierto en la lista te muestra informacin como: el nombre del proceso, direccin IP remota, la ruta de la aplicacin que lo crea, cuando fue creado, etc. Adicionalmente permite cerrar las conexiones indeseadas, cerrar los procesos, y guardar toda la informacin en un archivo. La aplicacin tambin marca con un color rosado los puertos sospechosos abiertos por conexiones sin identificar. Descargar Current Ports Esta es la versin 1.75 traducida al espaol por m, para verificar si hay disponible una versin ms reciente, puedes acceder a la web de su autor: http://www.nirsoft.net Toda la informacin sobre el uso y funcionamiento de los puertos, adems varias aplicaciones gratis para facilitar las tareas relacionadas puedes encontrarla en la siguiente pgina de este sitio: Conocer los puertos abiertos en la computadora, como cerrarlos

Precauciones adicionales para impedir las intrusiones en el equipo

Deshabilitar Reproduccin Automtica de Medios Extrables

Una recomendacin, si a menudo en tu PC se conectan memorias flash, pendrives, tarjetas de memoria o discos duros externos desactiva la reproduccin automtica de los medios extrables, eso te asegurar que

no entre de forma automtica ningn virus en tu sistema ya que esta es la forma ms comn de transmisin de ellos. Para eso lee la siguiente pgina: Configurar el autorun o reproduccin automtica en las unidades.
Revisar regularmente el Archivo Hosts

El siguiente paso es revisar el estado de tu archivo hosts. Que es el archivo host?, cul es su funcin? El archivo hosts es un archivo de texto que se encuentra en la siguiente ruta: C:\Windows\System32\drivers\etc\hosts. Su funcin en los sistemas operativos anteriores era la de listar los nombres de dominio con sus respectivas direcciones IP. Ya no tiene esta funcin debido al crecimiento desmesurado de Internet, en la actualidad es ms factible buscar esa relacin en un servidor de nombre de dominio DNS , pero todava Windows antes de buscar informacin externa en un servidor DNS para resolver la IP de una pgina solicitada busca primero en el archivo hosts. De forma predeterminada, despus de instalar Windows, la nica lnea que contiene el archivo host es la direccin: localhost, o sea la direccin del propio equipo cuya IP es 127.0.0.1. Se aconseja revisar este archivo, porque existen virus que entre las acciones que realizan, una de ellas es escribir en el archivo host, las URL o direcciones de actualizacin de los principales programas antivirus, por lo que en caso de tratar de actualizar el antivirus instalado o inclusive acceder a foros populares relacionados con este tema en busca de ayuda, seas redireccionado a tu misma direccin IP. Si al revisar el archivo hosts encuentras alguna lnea que no sea localhost elimnala con confianza.
En Windows 8 el archivo hosts se encuentra en la siguiente ubicacin: "C:\Windows\System32\Drivers\etc"

El poder y la importancia del archivo hosts en Windows.

Haz la siguiente prueba, es inofensiva pero te demostrar como una simple lnea de cdigo que est en un archivo que ejecutes puede transformar el destino de tu conexin.

 Crea un archivo batch que solo contenga esta lnea:

echo 194.224.58.10 google.com >> c:\windows\system32\drivers\etc\hosts

Si no sabes cmo es sencillo: copia la lnea en el bloc de notas de Windows y gurdalo con cualquier nombre pero que tenga la extensin .cmd, asegrate que en la pestaa Tipo aparezca: Todos los archivos (*.*). A continuacin ejecuta el batch que guardaste. Abre el navegador web e ingresa la conocida direccin google.com, pero para tu gran sorpresa la pgina que cargaras ser la de Movistar en http://www.movistar.es/on/.

La explicacin como ya supondrs es que la lnea de cdigo lo que hizo fue transformar tu archivo hosts y estableci que la direccin IP de google.com es 194.224.58.10 cuando en realidad no es cierto. Te dars cuenta que con solo una lnea de cdigo que pongan por ejemplo en una aplicacin freeware que descargues, de forma malintencionada pueden hacer que tu inconscientemente accedas a sitios que ni te imaginas con la mayor confianza del mundo. De esa forma pueden desviar la ruta de los servidores de actualizacin de tu antivirus, enviarte a sitios de suplantacin de identidad (pishing), etc. Cuando termines la pequea prueba accede a tu archivo hosts y borra la entrada que aadiste.

Descarga dos aplicaciones tiles para guardar una copia o reemplazar un archivo hosts corrupto por virus.

Archivo batch para restaurar una copia guardada del archivo hosts.

Archivo batch para eliminar el archivo hosts y crear uno con el formato predeterminado de Windows.

Consejos sobre la seguridad en un equipo

Los mejores consejos para cuestiones de seguridad: Ningn sistema es completamente seguro, el nico sistema seguro es aquel que est apagado y desconectado de internet.

La precaucin puede llegar a ser el truco ms efectivo contra las intrusiones no deseadas.
Algunas de las precauciones que se deben tener en cuenta

Tener activado el firewall de Windows Usar software de proteccin antivirus Instalar regularmente los ltimos parches de seguridad activando las actualizaciones automticas. Evitar la instalacin innecesaria de software gratuito (no confundir con programas de cdigo abierto del proyecto GNU). La mayor parte del spyware se instala a travs del software gratuito que puedas descargar, creado precisamente para eso, aunque a veces la infeccin de spyware se contrae simplemente visitando un sitio web. Utilizar Mozilla Firefox, ya que hasta el momento no existe otro navegador que supere los mecanismos de seguridad de Mozilla. Verificar que los ficheros adjuntos que descarguemos no tenga doble extensin, por ejemplo: (fichero.mp3.exe). Para eso es imprescindible en Opciones de carpeta >Ver, desmarcar la casilla Ocultar las extensiones de archivos. Utilizar una cuenta de usuario estndar. Aunque la cuenta de usuario de administrador ofrece un control completo sobre un equipo, el uso de una cuenta estndar puede ayudar que el equipo sea ms seguro. De este modo, si otras personas obtienen acceso al equipo mientras haya iniciado la sesin, no pueden alterar la configuracin de seguridad del equipo ni cambiar otras cuentas de usuario. De acuerdo al uso que se le d al equipo, hay algunas opciones de Windows que se pueden deshabilitar completamente, lo que har nuestro sistema mucho ms seguro. Acceso remoto en: Mi PC >Propiedades del sistema >Configuracin avanzada >Acceso remoto. Entra a Conexiones de red, ve a las propiedades de la conexin que utilices y en Funciones de red desmarca las casillas (no las desinstales) todas excepto: Protocolo de internet 4(TCP/IPv4). Panel de control >Herramientas administrativas >Servicios >Registro remoto Deshabilitarlo.

 Panel de control >Herramientas administrativas >Servicios >Servicio Informe de errores de Windows Deshabilitarlo.