y virus que copian lo que tecleas, graban vídeo de la webcam o te escuchan a través del micrófono. Son los espías del PC. Te cuento cómo detectarlos, cómo prevenir sus ataques y cómo actuar en caso de infección.

El spyware es un tipo de virus informático que, en lugar de eliminar archivos o clonarse, se dedica a sustraer información. Para saltarse los controles de seguridad y los antivirus, los programas espía se hacen pasar por aplicaciones legítimas y valiosas, y son controlados a distancia a través de Internet.

Lo que un ciberespía ve cuando activa la cámara web de un PC infectado (fuente)

Los falsos antivirus, también conocidos como rogueware, son un ejemplo clásico de troyanos, pero también hay spyware que se instala sin que la víctima lo sepa. Cuando estos virus los crean gobiernos y agencias de seguridad, se denominan govware. Según Ed Snowden, es la clase de utilidades que usa la NSA para espiar a los ciudadanos.

¿Qué hacen los programas espía?

La razón de ser de los programas espía es capturar información sin que la víctima lo sepa. Por eso se ejecutan de manera invisible, intentando llamar la atención lo menos posible. Otras veces, el spyware se hace pasar por una aplicación legítima. Dependiendo del tipo de malware y de su complejidad, un virus espía puede:

• Grabar todas las pulsaciones del teclado (keylogger)
• Tomar imágenes o vídeos desde la webcam del PC
• Sacar capturas de pantalla del Escritorio de Windows
• Grabar sonido desde el micrófono o tarjeta de sonido
• Ver la pantalla de la víctima (visionado remoto)
• Tomar el control total del ordenador (control remoto)

Todas estas operaciones tienen algo en común: necesitan una conexión a Internet para llevarse a cabo; el spyware, sin Internet, se vuelve inútil. Ahora que las conexiones de alta velocidad son más abundantes, el spyware se ha hecho más dañino, pues puede robar y enviar un volumen de datos mucho mayor que antes.

El virus Fun Manager permite hacer de todo en el PC de las víctimas (fuente)

¿Cómo se infecta un PC con un programa espía?

Generalmente, los programas espía se aprovechan de la confianza de las personas para instalarse en el PC sin ser detectados y sin forzar las puertas de entrada (como antivirus y cortafuegos). Para saltar las murallas de Windows, usan un amplio abanico de estrategias:

• Se hacen pasar por aplicaciones legítimas o famosas
• Se ejecuta a partir de un archivo adjunto camuflado
• Se instala junto con programas pirateados (p.ej., juegos)
• Se convence a la víctima para que lo instale (ingeniería social)

En ocasiones, los intrusos usan aplicaciones de administración remota muy conocidas, aunque modificadas para evitar las alarmas. Otra veces, el spyware aprovechavulnerabilidades del sistema, agujeros de seguridad por los que entran sin ser observados por los antivirus.

Un falso aviso de virus: el usuario hace clic y el PC se infecta (fuente)

¿Cómo se detecta un programa espía?

La respuesta rápida: con un buen antivirus. La respuesta larga: con mucha atención. A veces los antivirus fallan o no son capaces de identificar amenazas tan sutiles como los programas espía. Es por ello que muchas detecciones se efectúan a partir de “signos” específicos.

Un consumo de CPU inexplicable podría significa que hay malware actuando (fuente)

Por ejemplo, muchos troyanos de acceso remoto aumentan el consumo del procesador, lo que se traduce en una mayor lentitud. Otros desactivan los temas visuales para facilitar el visionado remoto. Y otros, finalmente, interfieren con el hardware de tu equipo.

Cuando varios de los siguientes signos aparecen en tu PC, puede significar que hay unainfección en curso:

• Los programas se han vuelto lentos o dejan de responder
• El puntero del ratón se mueve de manera errática
• La luz de tu cámara web se activa de manera intermitente
• Las ventanas de Windows pierden su transparencia
• Aparecen iconos extraños en la bandeja del sistema
• La velocidad de navegación se ha vuelto más lenta
• Se abren ventanas o se oyen sonidos imprevistos

Lo que algunos programas espía pueden llegar a hacer es tan espectacular que algunas víctimas llegan a pensar que su ordenador ha sido “poseído”. Pero estos signos, por sí solos, no bastan para confirmar una infección de spyware, pues podrían deberse a otras cosas, como fallos en el hardware o problemas en las aplicaciones.

Un proceso extraño en el Administrador de tareas es una pista de posible virus (fuente)

En algunos casos, quien controla remotamente el PC llega a poner mensajes o a contactar con la víctima para divertirse a su costa o para chantajearla. En estos casos, la infección queda patente y hay que tomar medidas inmediatas para desposeer al atacante de control sobre el PC, lo que nos lleva a la siguiente sección.

Al descubrir un programa espía: desconexión y denuncia

Si la sospecha de infección se ha vuelto fuerte o si tienes la certeza de que hay alguien espiando en tu PC, desconecta el equipo de Internet para que la intrusión no pueda prolongarse. Lo mejor es la desconexión física: quita el cable de red o apaga o desenchufa el adaptador de red inalámbrica (WiFi).

En cuando detectes el espionaje, desconecta el PC de Internet

Acto seguido, recopila información sobre la intrusión. "Cuanta más, mejor", nos comentó Deepak Daswani, responsable de operaciones de la agencia INTECO.

Todo lo que puedas aportar es útil, desde capturas de pantalla hasta mensajes de correo electrónico o archivos dejados por los intrusos, pasando por signos de la intrusión. "En un caso ideal", comenta Daswani, "adjuntar capturas de paquetes que evidencien el acceso desde una IP externa al equipo infectado y que puedan corroborar o dar indicios de un troyano o actividad maliciosa que pueda haber originado el robo de esta información, o incluso ficheros de imágenes o vídeos ocultos que se hayan podido generar en alguna ubicación oculta en su equipo sería lo más recomendable", aunque también matiza que para poder extraer esta información hay que recurrir a expertos en seguridad.

El teniente Ángel Flores, del Grupo de Delitos Tecnológicos de la Guardia Civil española, recomienda llevar el PC a la comisaría para que los agentes pueden certificar la autenticidad de los mensajes. "Si se ha producido un intercambio de correos electrónicos con fines de chantaje, es útil proporcionarlos con su cabecera. Y si la persona viene a la comisaría y abre el correo delante de nosotros en su PC, podemos constatar su autenticidad."

Los detectives informáticos trabajan sobre copias de los discos, nunca sobre el disco original

En caso de que optes por la denuncia, es posible que se envíe el PC a un equipo de informáticos forenses para recabar datos sobre la intrusión, lo que impedirá el acceso a tu PC durante un breve tiempo. "Se hace una copia de todo lo que hay en el PC. Si tú me traes tu ordenador no puedo hacer el análisis con él, porque podría modificar los datos", nos cuenta el teniente Flores, quien invita a "no tocar ni borrar nada" y traer el PC tal cual está a las autoridades.

Utilidades como OSForensics son usadas por las autoridades para clonar un PC investigado

Tras el copiado de datos, el PC es devuelto intacto al denunciante en cuestión de un día o dos. Es un pequeño inconveniente, pero el equipo es devuelto intacto a su dueño. "El problema es que la gente no dice nada. Hay que denunciar. Si no, estemos causándole un beneficio al delincuente. Si piensas 'no lo voy a llevar, porque a lo mejor me quedo sin ordenador una semana'… entras en una dinámica negativa y acabas por no hacer nada", concluye Flores.

El grupo de Cibercrimen de la agencia Europol coordina la investigación entre países de la UE

¿Y si el criminal está en el extranjero? No hay problema:  "Imagínate que una persona denuncia que le han grabado a través de la webcam, y que a la hora de investigar vemos que el criminal está en Italia. Habría que coordinar a través de canales europeos una operación conjunta. No hay un protocolo establecido a nivel europeo de cara a denunciar, pero la lógica de la investigación es similar".

Las infecciones por programas espía se pueden prevenir

A pesar de su peligrosidad, los programas espías se pueden evitar y detener fácilmente si tomas precauciones y cuidas la seguridad de tu equipo y de tus cuentas. Cuantas más medidas apliques, menos probable será que quedes a la merced del ciberespía:

• Instala un antivirus de calidad y mantenlo actualizado
• Instala un buen cortafuegos para bloquear y vigilar conexiones
• Usa una cuenta de usuario normal en lugar de una de administrador
• Ten a mano antivirus portátiles para una “segunda opinión”
• No abras correos electrónicos y adjuntos sospechosos
• No instales extensiones en el navegador sin conocer su procedencia

Muchos de los consejos que hemos dado a los usuarios de Windows XP para mantener seguro su sistema tras el fin de soporte valen también para otras versiones de Windows. Se trata de blindar el PC contra todo tipo de intrusiones. Pero también está el sentido común:

• Ten cuidado al chatear con desconocidos; no aceptes sus archivos
• Comparte archivos con privacidad para no divulgar datos personales
• Fortalece la seguridad de tu red para evitar intrusiones vía WiFi
• Activa la verificación de dos pasos en todas tus cuentas

Considera la opción de usar un PC desconectado si este contiene aplicaciones y documentos de importancia crítica. Por otro lado, si no vas a usar webcam y micrófono, puedes desactivarlos siguiendo las instrucciones de este vídeo:

 

 

 

 

 

 

Un consejo final: no te dejes llevar por el pánico

Los mirones y espías informáticos se hacen fuertes por la ignorancia y miedo de sus víctimas. Si descubres que has sido víctima de espionaje informático o ciberacoso debes mantener la calma por encima de todo: aunque den muchísimo miedo, las amenazas de chantaje que esgrimen los acosadores tienen un impacto real limitado o nulo. Ya lo sabes: si alguna vez eres víctima de ciberespionaje, Desconecta, recopila Datos y Denuncia.

El autor agradece a INTECO y a la Guardia Civil española su colaboración.

¿Te han espiado alguna vez en el PC? Sígueme en Twitter y cuéntame:@remoquete

para adamara en particular....