Cómo Detectar Software de Monitoreo o Espionaje de Computadoras y Correos Electrónicos

Como profesional de TI, rutinariamente monitoreo las computadoras y correos electrónicos de los empleados. Es esencial en un entorno de trabajo para fines administrativos, así como para la seguridad. La supervisión del correo electrónico, por ejemplo, permite bloquear los archivos adjuntos que podrían contener un virus o un programa espía. La única vez que tengo que conectarme al ordenador de un usuario y trabajar directamente en su ordenador es para solucionar un problema.

Sin embargo, si crees que te están vigilando cuando no deberías, hay algunos pequeños trucos que puedes utilizar para determinar si tienes razón. En primer lugar, vigilar el ordenador de alguien significa que puede ver todo lo que estás haciendo en tu ordenador en tiempo real. Bloquear los sitios porno, eliminar los archivos adjuntos o bloquear el spam antes de que llegue a su bandeja de entrada, etc no es realmente la supervisión, sino más bien el filtrado.

El único gran problema que quiero enfatizar antes de continuar es que si usted está en un entorno corporativo y cree que está siendo monitoreado, debe asumir que pueden ver TODO lo que hace en la computadora. Además, asume que no podrás encontrar el software que está grabando todo. En los entornos corporativos, los ordenadores están tan personalizados y reconfigurados que es casi imposible detectar nada a menos que seas un hacker. Este artículo está más orientado a los usuarios domésticos que piensan que un amigo o familiar está tratando de vigilarlos.

Monitoreo de computadoras

Así que ahora, si todavía crees que alguien te está espiando, ¡esto es lo que puedes hacer! La forma más fácil y sencilla de que alguien pueda entrar en tu ordenador es utilizando el escritorio remoto. Lo bueno es que Windows no soporta múltiples conexiones concurrentes mientras alguien está conectado a la consola (hay un hack para esto, pero yo no me preocuparía). Lo que esto significa es que si estás conectado a tu ordenador con XP, 7 o Windows 8 y alguien se conectara a él utilizando la función BUILTIN REMOTE DESKTOP de Windows, tu pantalla se bloquearía y te diría quién está conectado.

¿Y por qué es útil? Es útil porque significa que para que alguien se conecte a TU sesión sin que te des cuenta o sin que tu pantalla sea tomada, tiene que usar un software de terceros. Sin embargo, en 2014, nadie va a ser tan obvio y es mucho más difícil detectar el software de ocultación de terceros.

Si buscamos un software de terceros, que suele denominarse software de control remoto o software de computación en red virtual (VNC), tenemos que empezar desde cero. Normalmente, cuando alguien instala este tipo de software en tu ordenador, tiene que hacerlo mientras tú no estás y tiene que reiniciar tu ordenador. Así que la primera cosa que podría darte una pista es si tu ordenador se ha reiniciado y no recuerdas haberlo hecho.

En segundo lugar, deberías comprobar en tu Menú de Inicio – Todos los Programas y ver si algo como VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, etc está instalado. Muchas veces la gente es descuidada y piensa que un usuario normal no sabrá lo que es un software y simplemente lo ignorará. Si cualquiera de esos programas está instalado, entonces alguien puede conectarse a su ordenador sin que usted lo sepa siempre que el programa se esté ejecutando en segundo plano como un servicio de Windows.

Eso nos lleva al tercer punto. Normalmente, si uno de los programas de la lista anterior está instalado, habrá un icono para él en la barra de tareas porque necesita estar constantemente en ejecución para funcionar.

Comprueba todos tus iconos (incluso los ocultos) y mira qué se está ejecutando. Si encuentras algo que no conoces, haz una búsqueda rápida en Google para ver qué aparece. Es bastante fácil para el software de monitorización ocultar el icono de la barra de tareas, así que si no ves nada inusual allí, no significa que no tengas software de monitorización instalado.

Así que si no aparece nada en los lugares obvios, pasemos a las cosas más complicadas.

Comprueba los puertos del cortafuegos

De nuevo, debido a que estas son aplicaciones de terceros, tienen que conectarse a Windows en diferentes puertos de comunicación. Los puertos son simplemente una conexión de datos virtual mediante la cual los ordenadores comparten información directamente. Como ya sabrás, Windows viene con un firewall incorporado que bloquea muchos de los puertos entrantes por razones de seguridad. Si no estás ejecutando un sitio FTP, ¿por qué debería estar abierto el puerto 23?

Así que para que estas aplicaciones de terceros se conecten a tu ordenador, deben venir a través de un puerto, que tiene que estar abierto en tu ordenador. Puedes comprobar todos los puertos abiertos yendo a Inicio, Panel de control y Firewall de Windows. A continuación, haga clic en Permitir un programa o función a través del Firewall de Windows en el lado izquierdo.

Aquí verá una lista de programas con casillas de verificación junto a ellos. Los que están marcados están «abiertos» y los que no están marcados o no aparecen en la lista están «cerrados». Revisa la lista y mira si hay algún programa con el que no estés familiarizado o que coincida con VNC, control remoto, etc. Si es así, ¡puedes bloquear el programa desmarcando la casilla correspondiente!

Comprobar las conexiones salientes

Desgraciadamente, es un poco más complicado que esto. En algunos casos, puede haber una conexión entrante, pero en muchos casos, el software instalado en su ordenador sólo tendrá una conexión saliente a un servidor. En Windows, todas las conexiones salientes están permitidas, lo que significa que no se bloquea nada. Si todo lo que hace el software de espionaje es grabar datos y enviarlos a un servidor, entonces sólo utiliza una conexión saliente y, por lo tanto, no aparecerá en esa lista del cortafuegos.

Para poder atrapar un programa así, tenemos que ver las conexiones salientes de nuestro ordenador a los servidores. Hay una gran cantidad de maneras que podemos hacer esto y voy a hablar de uno o dos aquí. Como dije antes, ahora se complica un poco porque estamos tratando con un software realmente sigiloso y no lo vas a encontrar fácilmente.

TCPView

En primer lugar, descarga un programa llamado TCPView de Microsoft. Es un archivo muy pequeño y ni siquiera tienes que instalarlo, sólo tienes que descomprimirlo y hacer doble clic en Tcpview. La ventana principal se verá así y probablemente no tenga sentido.

Básicamente, te muestra todas las conexiones de tu ordenador con otros ordenadores. En el lado izquierdo está el nombre del proceso, que serán los programas que se están ejecutando, es decir, Chrome, Dropbox, etc. Las únicas otras columnas que necesitamos mirar son Dirección Remota y Estado. Siga adelante y ordene por la columna de Estado y mire todos los procesos listados bajo ESTABLISHED. Establecido significa que actualmente hay una conexión abierta. Tenga en cuenta que el software de espionaje no siempre puede estar conectado al servidor remoto, por lo que es una buena idea para dejar este programa abierto y monitorear para cualquier nuevo proceso que puede aparecer bajo el estado establecido.

Lo que quieres hacer es filtrar esa lista a los procesos cuyo nombre no reconoce. Chrome y Dropbox están bien y no son motivo de alarma, pero ¿qué son openvpn.exe y rubyw.exe? Bueno, en mi caso, uso una VPN para conectarme a Internet, así que esos procesos son para mi servicio de VPN. Sin embargo, puedes buscar en Google esos servicios y descubrirlo rápidamente por ti mismo. El software VPN no es un software de espionaje, así que no te preocupes por eso. Cuando busques un proceso, podrás saber al instante si es seguro o no con sólo mirar los resultados de la búsqueda.

Otra cosa que querrás comprobar son las columnas de la derecha llamadas Paquetes Enviados, Bytes Enviados, etc. Ordena por Bytes Enviados y podrás ver instantáneamente qué proceso está enviando la mayor cantidad de datos desde tu ordenador. Si alguien está monitorizando tu ordenador, tiene que estar enviando los datos a algún sitio, así que a menos que el proceso esté extremadamente bien escondido, deberías verlo aquí.

Explorador de Procesos

Otro programa que puedes usar para encontrar todos los procesos que se están ejecutando en tu ordenador es Process Explorer de Microsoft. Cuando lo ejecutes, verás un montón de información sobre cada uno de los procesos e incluso los procesos hijos que se ejecutan dentro de los procesos padres.

El Explorador de Procesos es bastante impresionante porque se conecta con VirusTotal y puede decirte al instante si un proceso ha sido detectado como malware o no. Para ello, haz clic en Opciones, VirusTotal.com y luego en Comprobar VirusTotal.com. Te llevará a su sitio web para que leas las condiciones de servicio, simplemente cierra eso y haz clic en Sí en el diálogo del programa.

Una vez que hagas eso, verás una nueva columna que muestra la tasa de detección del último escaneo para muchos de los procesos. No podrá obtener el valor para todos los procesos, pero es mejor que nada. Para los que no tienen una puntuación, siga adelante y busque manualmente esos procesos en Google. Para los que tienen puntuación, quieres que diga más o menos 0/XX. Si no es 0, sigue adelante y busca el proceso en Google o haz clic en los números para que te lleven a la página web de VirusTotal para ese proceso.

También suelo ordenar la lista por Nombre de la empresa y cualquier proceso que no tenga una empresa en la lista, lo busco en Google para comprobarlo. Sin embargo, incluso con estos programas es posible que no vea todos los procesos.

Rootkits

También hay una clase de programas furtivos llamados rootkits, que los dos programas anteriores ni siquiera podrán ver. En este caso, si no has encontrado nada sospechoso al comprobar todos los procesos anteriores, tendrás que probar con herramientas aún más robustas. Otra buena herramienta de Microsoft es Rootkit Revealer, sin embargo es muy antigua.

Otras buenas herramientas anti-rootkit son Malwarebytes Anti-Rootkit Beta, que recomendaría encarecidamente ya que su herramienta anti-malware fue clasificada como la número 1 en 2014. Otra popular es GMER.

Te sugiero que instales estas herramientas y las ejecutes. Si encuentran algo, elimina o borra lo que te sugieran. Además, deberías instalar un software antimalware y antivirus. Muchos de estos programas ocultos que la gente utiliza se consideran malware/virus, por lo que se eliminarán si se ejecuta el software adecuado. Si se detecta algo, asegúrese de buscarlo en Google para saber si se trata de un software de monitorización o no.

Correo electrónico &Monitorización de sitios web

Comprobar si su correo electrónico está siendo monitorizado también es complicado, pero nos quedaremos con lo más fácil para este artículo. Cada vez que envías un correo electrónico desde Outlook o algún cliente de correo electrónico en tu ordenador, siempre tiene que conectarse a un servidor de correo electrónico. Ahora bien, puede conectarse directamente o puede conectarse a través de lo que se llama un servidor proxy, que toma una solicitud, la altera o la comprueba, y la reenvía a otro servidor.

Si vas a través de un servidor proxy para el correo electrónico o la navegación web, entonces los sitios web a los que accedes o los correos electrónicos que escribes se pueden guardar y ver más tarde. Puedes comprobar ambas cosas y aquí te decimos cómo. En el caso de IE, ve a Herramientas y luego a Opciones de Internet. Haga clic en la pestaña Conexiones y elija Configuración de LAN.

Si la casilla Servidor Proxy está marcada y tiene una dirección IP local con un número de puerto, significa que pasa primero por un servidor local antes de llegar al servidor web. Esto significa que cualquier sitio web que visite primero pasa por otro servidor que ejecuta algún tipo de software que bloquea la dirección o simplemente la registra. La única vez que estarías algo seguro es si el sitio que estás visitando utiliza SSL (HTTPS en la barra de direcciones), lo que significa que todo lo que se envía desde tu ordenador al servidor remoto está encriptado. Incluso si su empresa capturara los datos en el medio, estarían encriptados. Digo algo seguro porque si hay un software de espionaje instalado en tu ordenador, puede capturar las pulsaciones del teclado y por lo tanto capturar lo que escribas en esos sitios seguros.

Para tu correo electrónico corporativo, estás comprobando lo mismo, una dirección IP local para los servidores de correo POP y SMTP. Para comprobarlo en Outlook, ve a Herramientas, Cuentas de correo electrónico, y haz clic en Cambiar o Propiedades, y busca los valores para el servidor POP y SMTP. Desgraciadamente, en los entornos corporativos, el servidor de correo electrónico es probablemente local y, por lo tanto, lo más seguro es que te estén vigilando, aunque no sea a través de un proxy.

Siempre debes tener cuidado al escribir correos electrónicos o navegar por sitios web mientras estás en la oficina. Tratar de romper la seguridad también podría meterte en problemas si descubren que te has saltado sus sistemas. A los informáticos no les gusta eso, te lo digo por experiencia. Sin embargo, si quieres asegurar tu navegación por la web y tu actividad de correo electrónico, tu mejor opción es utilizar una VPN como Acceso Privado a Internet.

Esto requiere la instalación de un software en el ordenador, que puede que no seas capaz de hacer en primer lugar. ¡Sin embargo, si usted puede, usted puede estar bastante seguro de que nadie es capaz de ver lo que está haciendo en su navegador, siempre y cuando su es ningún software de espionaje local instalado! No hay nada que pueda ocultar tus actividades del software de espionaje instalado localmente porque puede registrar las pulsaciones de las teclas, etc., así que haz lo posible por seguir mis instrucciones anteriores y desactivar el programa de vigilancia. Si usted tiene alguna pregunta o preocupación, no dude en comentar. Disfrute!

Deja una respuesta

Tu dirección de correo electrónico no será publicada.