Cómo detectar software de monitoreo de computadora y correo electrónico o espionaje
Como profesional de TI, superviso rutinariamente las computadoras y los correos electrónicos de los empleados. Es esencial en un entorno de trabajo para fines administrativos y de seguridad. La supervisión del correo electrónico, por ejemplo, le permite bloquear archivos adjuntos que podrían contener un virus o software espía. La única vez que tengo que conectarme a la computadora de un usuario y trabajar directamente en su computadora es para solucionar un problema.
Sin embargo, si sientes que estás siendo monitoreado cuando no deberías hacerlo, hay algunos trucos que puedes usar para determinar si tienes razón. En primer lugar, monitorear la computadora de alguien significa que pueden ver todo lo que está haciendo en su computadora en tiempo real. El bloqueo de sitios pornográficos, la eliminación de archivos adjuntos o el bloqueo de correo no deseado antes de que llegue a su bandeja de entrada, etc. no es realmente un monitoreo, sino más bien un filtrado.
El único problema GRANDE que quiero enfatizar antes de continuar es que si está en un entorno corporativo y cree que está siendo monitoreado, debe asumir que puede ver TODO lo que hace en la computadora. Además, suponga que no podrá encontrar realmente el software que está grabando todo. En entornos corporativos, las computadoras están tan personalizadas y reconfiguradas que es casi imposible detectar algo a menos que seas un hacker. Este artículo está más dirigido a usuarios domésticos que piensan que un amigo o familiar está tratando de monitorearlos..
Monitoreo por computadora
Así que ahora, si todavía crees que alguien te está espiando, ¡esto es lo que puedes hacer! La forma más fácil y sencilla de que alguien pueda iniciar sesión en su computadora es mediante el uso de un escritorio remoto. Lo bueno es que Windows no admite varias conexiones simultáneas mientras alguien está conectado a la consola (hay un truco para esto, pero no me preocuparía). Lo que esto significa es que si inició sesión en su computadora XP, 7 o Windows 8 y alguien se conectó a ella usando el ESCRITORIO REMOTO INCORPORADO característica de Windows, su pantalla se bloquearía y le diría quién está conectado.
Entonces, ¿por qué es útil? Es útil porque significa que para que alguien se conecte a SU sesión sin que usted se dé cuenta o se haga cargo de su pantalla, tiene un software de terceros. Sin embargo, en 2014, nadie va a ser tan obvio y es mucho más difícil detectar software de terceros..
Si buscamos software de terceros, que generalmente se conoce como software de control remoto o software de computación de red virtual (VNC), debemos comenzar desde cero. Por lo general, cuando alguien instala este tipo de software en su computadora, tienen que hacerlo mientras usted no está allí y tienen que reiniciar su computadora. Por lo tanto, lo primero que podría hacerte entender es si tu computadora se ha reiniciado y no recuerdas haberlo hecho..
En segundo lugar, debes comprobar en tu Menú Inicio - Todos los programas y para ver si está instalado o no algo como VNC, RealVNC, TightVNC, UltraVNC, LogMeIn, GoToMyPC, etc. Muchas veces las personas son descuidadas y piensan que un usuario normal no sabrá qué es una pieza de software y simplemente lo ignorará. Si alguno de esos programas está instalado, entonces alguien puede conectarse a su computadora sin que usted lo sepa, siempre y cuando el programa se ejecute en segundo plano como un servicio de Windows..
Eso nos lleva al tercer punto. Por lo general, si se instala uno de los programas enumerados anteriormente, habrá un ícono para él en la barra de tareas porque debe ejecutarse constantemente para funcionar.
Compruebe todos sus iconos (incluso los ocultos) y vea qué se está ejecutando. Si encuentra algo de lo que no ha oído hablar, haga una búsqueda rápida en Google para ver qué aparece. Es bastante fácil para el software de supervisión ocultar el icono de la barra de tareas, por lo que si no ve nada inusual allí, no significa que no tenga instalado el software de supervisión.
Entonces, si no aparece nada en los lugares obvios, pasemos a las cosas más complicadas.
Comprobar puertos de firewall
Nuevamente, debido a que estas son aplicaciones de terceros, tienen que conectarse a Windows en diferentes puertos de comunicación. Los puertos son simplemente una conexión de datos virtual mediante la cual las computadoras comparten información directamente. Como ya sabrá, Windows viene con un firewall incorporado que bloquea muchos de los puertos entrantes por razones de seguridad. Si no está ejecutando un sitio FTP, ¿por qué debería estar abierto su puerto 23??
Por lo tanto, para que estas aplicaciones de terceros se conecten a su computadora, deben pasar por un puerto que debe estar abierto en su computadora. Puedes revisar todos los puertos abiertos yendo a comienzo, Panel de control, y firewall de Windows. Luego haga clic en Permitir un programa de características a través del Firewall de Windows. en el lado izquierdo.
Aquí verá una lista de programas con casillas de verificación junto a ellos. Los que están marcados están "abiertos" y los no seleccionados o no listados están "cerrados". Revise la lista y vea si hay algún programa con el que no esté familiarizado o que coincida con VNC, control remoto, etc. Si es así, puede bloquear el programa deseleccionando la casilla correspondiente.!
Compruebe las conexiones salientes
Desafortunadamente, es un poco más complicado que esto. En algunos casos, puede haber una conexión entrante, pero en muchos casos, el software instalado en su computadora solo tendrá una conexión saliente a un servidor. En Windows, todas las conexiones de outbounds están permitidas, lo que significa que nada está bloqueado. Si todo el software de espionaje lo hace es registrar datos y enviarlos a un servidor, entonces solo usa una conexión de salida y, por lo tanto, no aparecerá en esa lista de firewall.
Para capturar un programa como ese, tenemos que ver las conexiones salientes de nuestra computadora a los servidores. Hay muchas maneras en que podemos hacer esto y voy a hablar sobre una o dos aquí. Como dije antes, ahora se complica un poco porque estamos lidiando con un software muy sigiloso y no lo encontrarás fácilmente.
TCPView
En primer lugar, descargue un programa llamado TCPView de Microsoft. Es un archivo muy pequeño y ni siquiera tiene que instalarlo, simplemente descomprímalo y haga doble clic en Tcpview. La ventana principal se verá así y probablemente no tenga sentido.
Básicamente, te muestra todas las conexiones de tu computadora a otras computadoras. En el lado izquierdo está el nombre del proceso, que serán los programas que se ejecutan, es decir, Chrome, Dropbox, etc. Las únicas otras columnas que debemos observar son Direccion remota y Estado. Continúe y ordene por columna de Estado y observe todos los procesos enumerados en ESTABLECIDO. Establecido significa que actualmente hay una conexión abierta. Tenga en cuenta que es posible que el software de espionaje no esté siempre conectado al servidor remoto, por lo que es una buena idea dejar este programa abierto y monitorear cualquier proceso nuevo que pueda aparecer en el estado establecido.
Lo que quiere hacer es filtrar esa lista a los procesos cuyo nombre no reconozca. Chrome y Dropbox están bien y no son causa de alarma, pero ¿qué es openvpn.exe y rubyw.exe? Bueno, en mi caso, utilizo una VPN para conectarme a Internet, por lo que esos procesos son para mi servicio VPN. Sin embargo, solo puede buscar en Google esos servicios y descifrarlo rápidamente. El software VPN no es un software de espionaje, así que no se preocupe. Cuando busca un proceso, instantáneamente podrá saber si es seguro o no con solo mirar los resultados de búsqueda.
Otra cosa que desea verificar son las columnas del extremo derecho llamadas Paquetes enviados, Bytes enviados, etc. Ordenar por Bytes enviados y puede ver instantáneamente qué proceso está enviando la mayor cantidad de datos desde su computadora. Si alguien está monitoreando su computadora, tiene que estar enviando los datos a algún lugar, así que a menos que el proceso esté muy bien escondido, debería verlo aquí..
Explorador de procesos
Otro programa que puede usar para encontrar todos los procesos que se ejecutan en su computadora es Process Explorer de Microsoft. Cuando lo ejecute, verá mucha información sobre cada proceso e incluso procesos secundarios que se ejecutan dentro de los procesos principales..
Process Explorer es bastante impresionante porque se conecta con VirusTotal y puede informarle instantáneamente si un proceso ha sido detectado como malware o no. Para ello, haga clic en Opciones, VirusTotal.com y luego haga clic en Compruebe VirusTotal.com. Le llevará a su sitio web para leer los Términos del Servicio, simplemente ciérrelo y haga clic Sí en el dialogo en el programa.
Una vez que lo haga, verá una nueva columna que muestra la última tasa de detección de escaneo para muchos de los procesos. No podrá obtener el valor para todos los procesos, pero es mejor que nada. Para los que no tienen una puntuación, siga adelante y busque manualmente esos procesos en Google. Para los que tienen puntajes, quiere decir casi 0 / XX. Si no es 0, continúe con el proceso de Google o haga clic en los números que se llevarán al sitio web de VirusTotal para ese proceso.
También tiendo a ordenar la lista por Nombre de la empresa y cualquier proceso que no tenga una compañía en la lista, debo buscar en Google. Sin embargo, incluso con estos programas, es posible que no veas todos los procesos..
Rootkits
También hay una clase de programas ocultos llamados rootkits, que los dos programas anteriores ni siquiera podrán ver. En este caso, si no encontró nada sospechoso al verificar todos los procesos anteriores, deberá probar herramientas aún más sólidas. Otra buena herramienta de Microsoft es Rootkit Revealer, sin embargo es muy antigua.
Otras buenas herramientas anti-rootkit son Malwarebytes Anti-Rootkit Beta, que recomendaría altamente ya que su herramienta anti-malware ocupa el puesto número 1 en 2014. Otra popular es GMER.
Te sugiero que instales estas herramientas y las ejecutes. Si encuentran algo, elimine o elimine lo que sugieran. Además, debe instalar software antimalware y antivirus. Muchos de estos programas ocultos que las personas usan se consideran malware / virus, por lo que se eliminarán si ejecuta el software adecuado. Si se detecta algo, asegúrese de buscarlo en Google para que pueda averiguar si estaba monitoreando el software o no..
Correo electrónico y monitoreo de sitios web
Comprobar si su correo electrónico está siendo monitoreado también es complicado, pero nos limitaremos a lo fácil para este artículo. Siempre que envíe un correo electrónico desde Outlook o algún cliente de correo electrónico en su computadora, siempre tiene que conectarse a un servidor de correo electrónico. Ahora puede conectarse directamente o puede conectarse a través de lo que se llama un servidor proxy, que toma una solicitud, la altera o la verifica y la reenvía a otro servidor.
Si está pasando por un servidor proxy para correo electrónico o navegación web, los sitios web a los que accede o los correos electrónicos que escribe pueden guardarse y verse más adelante. Puede comprobar ambos y he aquí cómo. Para IE, vaya a Herramientas, entonces opciones de Internet. Haga clic en el Conexiones pestaña y elige Configuración de LAN.
Si la casilla Servidor Proxy está marcada y tiene una dirección IP local con un número de puerto, eso significa que primero está pasando por un servidor local antes de que llegue al servidor web. Esto significa que cualquier sitio web que visite primero pasa por otro servidor que ejecuta algún tipo de software que bloquea la dirección o simplemente la registra. La única vez que estaría un poco seguro es si el sitio que está visitando está usando SSL (HTTPS en la barra de direcciones), lo que significa que todo lo que se envía desde su computadora al servidor remoto está encriptado. Incluso si su empresa capturara los datos intermedios, se cifrarían. Digo algo seguro porque si hay un software espía instalado en su computadora, puede capturar pulsaciones de teclas y, por lo tanto, capturar lo que escriba en esos sitios seguros.
Para su correo electrónico corporativo, está buscando lo mismo, una dirección IP local para los servidores de correo POP y SMTP. Para verificar en Outlook, vaya a Herramientas, Cuentas de correo electrónico, y haga clic en Cambiar o Propiedades, y busque los valores para los servidores POP y SMTP. Desafortunadamente, en los entornos corporativos, el servidor de correo electrónico es probablemente local y, por lo tanto, definitivamente está siendo monitoreado, incluso si no es a través de un proxy.
Siempre debe tener cuidado al escribir correos electrónicos o navegar por sitios web mientras esté en la oficina. ¡Tratar de romper la seguridad también podría causarle problemas si se dan cuenta de que usted evitó sus sistemas! A la gente de TI no le gusta eso, te lo puedo decir por experiencia! Sin embargo, si desea asegurar su navegación web y su actividad de correo electrónico, lo mejor es usar VPN como acceso privado a Internet..
Esto requiere la instalación de software en la computadora, lo que tal vez no pueda hacer en primer lugar. Sin embargo, si puede, puede estar bastante seguro de que nadie podrá ver lo que está haciendo en su navegador siempre y cuando no haya instalado ningún software local de espionaje. No hay nada que pueda ocultar sus actividades del software de espionaje instalado localmente, ya que puede registrar las pulsaciones de teclado, etc., así que haga todo lo posible por seguir mis instrucciones anteriores y deshabilite el programa de monitoreo. Si tiene alguna pregunta o inquietud, no dude en comentar. Disfrutar!