Cómo saber si un hacker ha invadido el sistema
¿Cómo comprobar si, efectivamente, se ha producido un ataque informático? Veamos algunas de las manifestaciones más comunes.
Pongámonos en el peor de los casos: usted tiene la intuición de que le han hackeado pero no está seguro de qué pasos dar. Si usted es como la mayoría de las personas dedicadas a las TI, no siempre sabrá necesariamente dónde revisar en busca de pruebas de un ataque a los sistemas de cómputo. Por tanto, ¿cómo podemos comprobar si, efectivamente, se ha producido un ataque informático? Veamos algunas de las manifestaciones más comunes que pueden encontrarse tras una invasión del sistema.
Para empezar, las cuentas de usuario con apariencia sospechosa (aquellas que carezcan de las características o convenciones que deberían estar generalmente presentes en las cuentas de usuario válidas) han de desactivarse e investigarse para determinar quién las creó y por qué. Si existe un sistema adecuado de auditoría de archivos, ello nos permitirá examinar los archivos de registro e investigar quién abrió las cuentas. Si podemos establecer la fecha y la hora en que se constituyó la cuenta y resulta que es falsa, dispondremos de una referencia temporal para investigar los logs de otros eventos que hayan podido suceder en relación con esa cuenta.
Para averiguar si hay alguna aplicación pirata que está escuchando las conexiones entrantes, lo que podría ser aprovechado por el hacker para entrar por una puerta trasera, emplee herramientas como TCPView, de Microsoft Windows Sysinternals, o Fpipe, de Foundstone, una división de McAfee. Estas utilidades Windows muestran qué aplicaciones están usando puertos abiertos en su sistema. Para sistemas Unix, puede utilizar netstat o lsof, herramientas ya incorporadas en el sistema operativo. Cabe la posibilidad de que un hacker avispado sustituya los programas netstat o lsof con versiones troyanas (que no muestren los puertos abiertos por el hacker), por lo que es mejor escanear el sistema atacado desde otra computadora usando el escáner de puertos Nmap, que no cuesta nada. Esto ofrecerá dos perspectivas distintas de los puertos abiertos del sistema.
Un hacker que ataque un servidor Windows puede añadir o sustituir los programas lanzados a través del registro desde las siguientes áreas:
- KLM > Software > Microsoft > Windows > CurrentVersion> Run
- KCU > Software > Microsoft > Windows > CurrentVersion> Run
También se puede ejecutar software malicioso desde el administrador de tareas del sistema operativo. Para ver qué tareas están programadas para ser ejecutadas en un sistema Windows, vaya a símbolos del sistema (command prompt) y escriba AT. En los sistemas Unix, use los comandos cron o crontab para ver la lista de tareas a ejecutar.
Si el sistema atacado es Unix, es posible que los hackers hayan utilizado un rootkit, un programa que les ayuda a acceder al nivel raíz explotando la vulnerabilidad del sistema operativo o de las aplicaciones instaladas. Como los hackers tienen acceso a numerosos rootkits, puede resultar complejo determinar cuáles son los archivos que se han modificado. Hay programas, como chrootkit, que pueden ayudarlo en esta tarea. El hacker dispone de innumerables herramientas para ocultar sus huellas, pero lo que se ha explicado arriba es un buen comienzo para empezar a determinar si hemos sufrido un ataque informático.
Acerca del autor: Vernon Habersetzer es presidente de la compañía i.e.security, especializada en consultoría y seminarios sobre seguridad. Habersetzer tiene siete años de experiencia en las trincheras de la seguridad, en entornos relacionados con la sanidad y el consumo.
