Como detectar las intrusiones de red en el equipo, consejos para neutralizarlas

Como conocer si alguien se conecta a tu equipo a travs de internet, conocer las conexiones entrantes y salientes establecidas de una conexin de red, saber que puertos estn abiertos y como cerrarlos, peligros del archivo hosts.

Tienes alguna duda o sospecha que cuando estas conectado a Internet alg n intruso penetra por la conexin de red a tu !C" Crees que sea posible que aunque tengas un so#t$are antivirus instalado puedan espiarte y acceder a tus documentos y archivos personales" Crees que alguien te pueda robar a travs de la red tus contrase%as y datos ms secretos" !uede que no sea una idea tan descabellada despus de todo, al estar conectado a una red estamos expuestos a un inmenso tr#ico de aplicaciones dise%adas para penetrar a un equipo por cualquiera de los puertos abiertos.

Peligros de las intrusiones de red

&l ob'etivo de las aplicaciones conocidas como malware es violentar la seguridad de cualquier equipo (lgunas esp)an las pulsaciones del teclado y as) detectan los nombres de usuario y las contrase%as introducidas, posteriormente esta misma aplicacin *conocidas como +py$are, establece una conexin con el sitio $eb del atacante y env)a la in#ormacin. &l ob'etivo de otras *Troyanos, es reali-ar acciones para #acilitar el acceso remoto de un usuario no autori-ado al equipo. &n ocasiones estas peque%as aplicaciones vienen en el interior de archivos que descargamos de la red, como documentos, 'uegos, programas gratis, al estar inertes y

comprimidas, los antivirus pueden no detectarlas, pero en todos los casos podemos conocer de su actividad, cuando establecen la conexin con el sitio externo. !ara eso puedes hacer algunas sencillas pruebas, es el propsito de este art)culo, no hace #alta ning n conocimiento avan-ado para eso, ni instalar ninguna aplicacin, .indo$s incluye las herramientas necesarias para ello.

Cmo diagnosticar y conocer las conexiones entrantes en el equipo?

!ara conocer las conexiones establecidas actualmente solo ha- lo siguiente/ 0 Cierra todos los programas y conexiones a la red. 0 (bre una ventana del s)mbolo del sistema, para eso solo escribe en el cuadro de Inicio/ CMD y presiona la tecla &nter. 0 &n la ventana de la consola de C12 o 1+23+ que se abre, ingresa tal como est aqu) escrito/ NE ! " #n $% +i se te hace di#)cil descarga el archivo batch en el lin4 mas aba'o, descompr)melo y e'ec talo.

(rchivo batch para e'ecutar 5&T+T(T 6o que se muestra en la pantalla negra de la consola, es una tabla con 7 columnas y diversas #ilas que contiene la siguiente in#ormacin/ Proto/ 5os indica el protocolo utili-ado para la comunicacin por cada una de las conexiones activas *6a que te interesa es TC!,. Direccin &ocal/ 5os indica la direccin origen de la conexin y despus de los dos puntos/ el puerto. Direccin 'emota/ 5os indica la direccin de destino, su I! y el puerto. Estado/ 5os indica el estado de dicha conexin en cada momento. 6os estados posibles son/ &(! EN(N)/ &l puerto est escuchando en espera de una conexin. E! "*&(!+ED/ 6a conexin ha sido establecida. C&,!E-."( / 6a conexin sigue abierta, pero el otro extremo nos comunica que no va a enviar nada ms. (ME-."( / 6a conexin ha sido cerrada, pero no se elimina de la tabla de conexin por si hay algo pendiente de recibir. &"! -"C// 6a conexin se est cerrando. C&,!ED/ 6a conexin ha sido cerrada de#initivamente. 0 &n la columna 2ireccin local la I! 127.0.0.1 es propia del sistema, si tienes alguna red de rea local tiene el #ormato 192.168.*.*. 0 &l numero 89 despus del comando NETSTAT signi#ica el intervalo en segundos en que se va a actuali-ar la pantalla, puedes aumentarlo o disminuirlo. 2espus que te #amiliarices con la in#ormacin de la ventana entonces conctate a la red que utili-as y comien-a a reali-ar lo que haces normalmente siempre monitoreando la pantalla de NETSTAT. Cmo 0eri1icar e identi1icar la direccin (P de un sitio 2e3?

Cualquiera conexin establecida extra%a que veas y no se corresponde con nada de lo que haces, puedes veri#icar la I! que aparece en la columna de Conexin remota en el siguiente #ormulario, introduce la direccin o arrastrala del navegador. &sto puede ser muy til para detectar la actividad de troyanos, spam y otras intrusiones en nuestra !C, tambin indispensable para poder diagnosticar cualquier con#licto de redes.

Detectar las conexiones ocultas del equipo con el exterior

&l comando 5&T+(T utili-ado anteriormente permite di#erentes opciones. !ara detectar si alguna aplicacin en tu computadora est reali-ando conexiones con el exterior, puedes usar la opcin/ 5&T+T(T :b, de ser as) identi#icar y mostrar los datos de la aplicacin. Como estos tipos de conexiones suelen ser aleatorias y breves, lo ideal es chequear la conexin cada cierto intervalo de tiempo. 6o ideal en este caso es con#igurar 5&T+T(T para que haga el chequeo de #orma automtica y el resultado lo vaya escribiendo en un archivo, se puede lograr #cilmente con la siguiente instruccin/

5&T+T(T :; 89<<=userpro#ile=>2es4top>Conexiones?establecidas.txt
2e esta #orma 5&T+T(T chequear cada 89 segundos las conexiones al exterior y escribir el resultado en un archivo de texto que crear en el escritorio. &l archivo creado ser nombrado @Conexiones?establecidas.txt@, el que podrs revisar y leer peridicamente. Todas las opciones que permite el comando NETSTAT, estn documentadas en la siguiente pgina de este sitio, en ella podrs tambin descargar de forma gratis, varias aplicaciones para hacer ms fcil la tarea. er, conocer, e identificar con NETSTAT las cone!iones activas establecidas en el equipo Tambin tienes la opci"n de cargar una infograf#a que muestra de forma visual el uso elemental $ sencillo de NETSTAT, para los que no tienen conocimientos en lo absoluto de los comandos. er %nfograf#a& 'omo usar NETSTAT para conocer las cone!iones establecidas en tu equipo

Cmo conocer los puertos a3iertos por .indo2s en el equipo?

6os puertos de comunicaciones del sistema, son algo parecido a las ventanas y puerta de una casa, a travs de ellos se establecen las conexiones y #unciona internet, pero tambin penetra el mal$are y se comunica con el sitio de su propietario. !uedes conocer #cilmente los puertos abiertos en tu sistema en este momento y a la escucha.

!ara saber que puertos tienes abiertos de una #orma sencilla, escribe en la ventana de la consola de +52 lo siguiente como lo ves aqu) y presiona la tecla &nter/

5&T+T(T :an A#ind Bi @listening@

+e mostrar el listado de los puertos que tienes abiertos en este momento. Ceri#ica que puertos tienes abiertos en este momento desde aqu), *solo Internet &xplorer, 5o cierres la ventana y sigue leyendo para que sepas el uso de cada uno de ellos. !ero antes de seguir debes tener presente algunos conceptos/
(n puerto abierto no es necesariamente peligroso, estas en riesgo solo si el programa que usa el puerto tiene c"digos da)inos. (n puerto no es abierto por el sistema operativo, es abierto por un programa espec#fico queriendo usarlo. *ara cerrar un puerto, usualmente solo es necesario cerrar el programa " servicio que mantiene dicho puerto abierto. As# que no ha$ ra+"n para cerrar todos los puertos en tu sistema. En realidad, sin tener puertos abiertos, no funcionar#a internet,

Day puertos que usas para tu comunicacin y servicios de internet y no constituyen ning n peligro como por e'emplo/ 4$ Puerto de 5 P. Te permite descargar archivos que se encuentran en servidores ET! 46 !M P Puerto de email. Fso del correo electrnico 7% Puerto del + P. ( traves de el se reali-a toda la comunicacion necesaria para el #uncionamiento de las pginas $eb. $$% P,P8 Puerto de email. Fso del correo electrnico 68$ Puerto ('C. Euncionamiento del chat Cu9les son y como cerrar los puertos peligrosos? Puerto $86 &l puerto 8GH lo comparten el 2C31, programador de tareas y 1+2TC, si se tiene cualquiera de esos servicios el puerto permanece abierto y aceptando conexiones entrantes Cirralo deteniendo los servicios anteriores o modi#icando la siguiente clave del registro/
HKEY_LOCAL_MACHINE\SOFTWARE\Micro o!"\O#$

&n &nable2C31, cambiar el parametro I por 5 Puertos $8:,$87,$8; y <<6 +i el equipo tiene 5et;ios habilitado, @escucha@ en los puertos F2! 8GJ y 8GK, y en los TC! 8GL y 77H. +i 5et;ios est deshabilitado, slo escuchar mediante el puerto 77H. !ara deshabilitar 5et;ios, en propiedades de !rotocolo de internet 7*TC!BI!v7, <3pciones avan-adas <.I5+ selecciona -eshabilitar Net.ios a travs de T'*/%*. !ara desactivar completamente 5et;ios a travs del registro modi#icar la siguiente clave/
HKEY_LOCAL_MACHINE\SYSTEM\C%rr$&"Co&"ro#S$"\S$r'ic$ \N$"(T\)*r*+$"$r

renombrar Transport;ind5ame a Transport;ind5ame;(M Puertos 6%%% y $;%% =uPnP> 2eshabilitando el +ervicio de descubrimientos ++2!, cierras las conexiones al puerto 8L99 F2!, y el H999 TC!

+erramienta para conocer y con1igurar los puertos a3iertos

Fna medida bsica de seguridad es conocer que puertos tenemos, cuales estn abiertos, quien mand a abrirlos, que programa o aplicacin se comunica a travs de ellos, con quien se comunica, cual es la direccin I! con la que establecen conexin. !ara eso te o#re-co una alternativa ms avan-ada, es una diminuta aplicacin llamada 'urrent *orts, no es necesario instalar, solo e'ec tala y te mostrar en una lista todos los puertos abiertos por conexiones TC!BI! y F2!. !or cada puerto abierto en la lista te muestra in#ormacin como/ el nombre del proceso, direccin I! remota, la ruta de la aplicacin que lo crea, cuando #ue creado, etc. (dicionalmente permite cerrar las conexiones indeseadas, cerrar los procesos, y guardar toda la in#ormacin en un archivo. 6a aplicacin tambin marca con un color rosado los puertos sospechosos abiertos por conexiones sin identi#icar. 2escargar Current !orts &sta es la versin 8.JH traducida al espa%ol por m), para veri#icar si hay disponible una versin ms reciente, puedes acceder a la $eb de su autor/ http/BB$$$.nirso#t.net Toda la in#ormacin sobre el uso y #uncionamiento de los puertos, adems varias aplicaciones gratis para #acilitar las tareas relacionadas puedes encontrarla en la siguiente pgina de este sitio/ Conocer los puertos abiertos en la computadora, como cerrarlos

Precauciones adicionales para impedir las intrusiones en el equipo

Des?a3ilitar 'eproduccin "utom9tica de Medios Extra@3les Fna recomendacin, si a menudo en tu !C se conectan memorias #lash, pendrives, tar'etas de memoria o discos duros externos desactiva la reproduccin automtica de los medios extra)bles, eso te asegurar que no entre de #orma automtica ning n virus en tu sistema ya que esta es la #orma ms com n de transmisin de ellos. !ara eso lee la siguiente pgina/ Con#igurar el autorun o reproduccin automtica en las unidades. 'e0isar regularmente el "rc?i0o +osts &l siguiente paso es revisar el estado de tu archivo hosts. Aue es el arc?i0o ?ost?, cu9l es su 1uncin? &l archivo hosts es un archivo de texto que se encuentra en la siguiente ruta/ '&01indows0S$stem230drivers0etc0hosts. +u #uncin en los sistemas operativos anteriores era la de listar los nombres de dominio con sus respectivas direcciones I!. Ia no tiene esta #uncin debido al crecimiento desmesurado de Internet, en la actualidad es ms #actible buscar esa relacin en un servidor de nombre de dominio 25+ , pero todav)a .indo$s antes de buscar in#ormacin externa en un servidor 25+ para resolver la I! de una pgina solicitada busca primero en el archivo hosts.

2e #orma predeterminada, despus de instalar .indo$s, la nica l)nea que contiene el archivo host es la direccin/ localhost, o sea la direccin del propio equipo cuya I! es 8NJ.9.9.8. +e aconse'a revisar este archivo, porque existen virus que entre las acciones que reali-an, una de ellas es escribir en el archivo host, las FO6 o direcciones de actuali-acin de los principales programas antivirus, por lo que en caso de tratar de actuali-ar el antivirus instalado o inclusive acceder a #oros populares relacionados con este tema en busca de ayuda, seas redireccionado a tu misma direccin I!. +i al revisar el archivo hosts encuentras alguna l)nea que no sea localhost elim)nala con con#ian-a.
&n .indo$s K el archivo hosts se encuentra en la siguiente ubicacin/ @C/>.indo$s>+ystemGN>2rivers>etc@

El poder y la importancia del arc?i0o ?osts en .indo2sB

Da- la siguiente prueba, es ino#ensiva pero te demostrar como una simple l)nea de cdigo que est en un archivo que e'ecutes puede trans#ormar el destino de tu conexin.
Crea un archivo batch que solo contenga esta l)nea/ echo 194.224.58.10 google.com >> c:\windows\system32\drivers\etc\hosts +i no sabes cmo es sencillo/ copia la l)nea en el bloc de notas de .indo$s y gurdalo con cualquier nombre pero que tenga la extensin .cmd, aseg rate que en la pesta%a Tipo apare-ca/ Todos los archivos 45.56. ( continuacin e'ecuta el batch que guardaste. (bre el navegador $eb e ingresa la conocida direccin google.com, pero para tu gran sorpresa la pgina que cargaras ser la de 1ovistar en http://www.movist r.es/on/.

6a explicacin como ya supondrs es que la l)nea de cdigo lo que hi-o #ue trans#ormar tu archivo hosts y estableci que la direccin I! de google.com es 8L7.NN7.HK.89 cuando en realidad no es cierto. Te dars cuenta que con solo una l)nea de cdigo que pongan por e'emplo en una aplicacin #ree$are que descargues, de #orma malintencionada pueden hacer que tu inconscientemente accedas a sitios que ni te imaginas con la mayor con#ian-a del mundo. 2e esa #orma pueden desviar la ruta de los servidores de actuali-acin de tu antivirus, enviarte a sitios de suplantacin de identidad *pishing,, etc. Cuando termines la peque%a prueba accede a tu archivo hosts y borra la entrada que a%adiste.

2escarga dos aplicaciones tiles para guardar una copia o reempla-ar un archivo hosts corrupto por virus.

Consejos so3re la seguridad en un equipo

6os me'ores conse'os para cuestiones de seguridad/ Ning7n sistema es completamente seguro, el 7nico sistema seguro es aquel que est apagado $ desconectado de internet.

8a precauci"n puede llegar a ser el truco ms efectivo contra las intrusiones no deseadas. "lgunas de las precauciones que se de3en tener en cuenta 0 Tener activado el #ire$all de .indo$s 0 Fsar so#t$are de proteccin antivirus 0 Instalar regularmente los ltimos parches de seguridad activando las actuali-aciones automticas. 0 &vitar la instalacin innecesaria de so#t$are gratuito *no con#undir con programas de cdigo abierto del proyecto P5F,. 6a mayor parte del spy$are se instala a travs del so#t$are gratuito que puedas descargar, creado precisamente para eso, aunque a veces la in#eccin de spy$are se contrae simplemente visitando un sitio $eb. 0 Ftili-ar 1o-illa Eire#ox, ya que hasta el momento no existe otro navegador que supere los mecanismos de seguridad de 1o-illa. 0 Ceri#icar que los #icheros ad'untos que descarguemos no tenga doble extensin, por e'emplo/ *#ichero.mpG.exe,. !ara eso es imprescindible en 3pciones de carpeta <Cer, desmarcar la casilla 9cultar las e!tensiones de archivos. 0 Ftili-ar una cuenta de usuario estndar. (unque la cuenta de usuario de administrador o#rece un control completo sobre un equipo, el uso de una cuenta estndar puede ayudar que el equipo sea ms seguro. 2e este modo, si otras personas obtienen acceso al equipo mientras haya iniciado la sesin, no pueden alterar la con#iguracin de seguridad del equipo ni cambiar otras cuentas de usuario. 2e acuerdo al uso que se le d al equipo, hay algunas opciones de .indo$s que se pueden deshabilitar completamente, lo que har nuestro sistema mucho ms seguro. 0 (cceso remoto en/ 1i !C <!ropiedades del sistema <Con#iguracin avan-ada <(cceso remoto. 0 &ntra a Conexiones de red, ve a las propiedades de la conexin que utilices y en Eunciones de red desmarca las casillas *no las desinstales, todas excepto/ !rotocolo de internet 7*TC!BI!v7,. 0 !anel de control <Derramientas administrativas <+ervicios <Oegistro remoto 2eshabilitarlo. 0 !anel de control <Derramientas administrativas <+ervicios <+ervicio In#orme de errores de .indo$s 2eshabilitarlo.