Cómo detectar un ciberataque

La mayoría de las vulnerabilidades informáticas pueden ser explotadas de distintas maneras. Los ciberataques pueden utilizar un solo exploit específico, varios al mismo tiempo, una mala configuración en uno de los componentes del sistema o incluso una puerta trasera de un ataque anterior.

Debido a esto, la detección de ciberataques no es una tarea fácil, especialmente para un usuario inexperto.Este artículo ofrece algunas pautas básicas para ayudar a determinar si tu equipo está siendo atacado o si la seguridad de tu sistema ha sido hackeada. Ten en cuenta, que al igual que los virus, no hay un 100% de garantía en que vaya a detectar un ciberataque de esta forma. Sin embargo, hay una gran probabilidad de que si el sistema ha sido hackeado, se note uno o más de los siguientes comportamientos.

Equipos Windows:

  • Tráfico de red altamente sospechoso. Si estás en una cuenta de acceso telefónico o mediante ADSL y notas un volumen de red de salida altamente inusual (tráfico, especialmente cuando tu ordenador está inactivo o no necesariamente subiendo datos), entonces es posible que tu equipo haya sido hackeado. Puede ser que tu equipo esté siendo utilizado ya sea para enviar spam o por un gusano que esté duplicando y enviando copias de sí mismo. Para las conexiones por cable, esto es menos relevante – es muy común tener la misma cantidad de tráfico de salida que la de entrada, incluso si sólo estás navegando por sitios o descargando datos de Internet.
  • El aumento de la actividad del disco o archivos sospechosos en los directorios de cualquier unidad. Después de llevar a cabo un ciberataque en un sistema, muchos hackers ejecutan un escaneo masivo de todos los documentos importantes o archivos que contengan contraseñas o nombres de usuario para acceder a cuentas bancarias o de pago electrónico como PayPal. Del mismo modo, algunos gusanos buscan en el disco archivos que contengan direcciones de correo electrónico para utilizar en la propagación. Si notas más actividad en el disco, incluso cuando el sistema está inactivo junto con archivos sospechosos en carpetas comunes, esto puede ser un indicio de un hackeo en el sistema o infección de malware.
  • Un gran número de paquetes que provienen de una única dirección detenidos por un firewall personal. Después de localizar un objetivo (por ejemplo, la IP de una empresa o un grupo de usuarios por cable), generalmente los hackers ejecutan herramientas automatizadas que tratan de utilizar varios exploits para irrumpir el sistema. Si ejecutas un firewall (un elemento fundamental en la protección contra ciberataques) y notas un número inusual de paquetes parados procedentes de la misma dirección, entonces es una señal de que el equipo está sufriendo de un ataque. La buena noticia es que si tu firewall personal está reportando estos ataques, probablemente estarás seguro. Sin embargo, dependiendo de la cantidad de servicios que expongas en Internet, el firewall personal puede fallar para protegerte contra un ataque dirigido a un servicio FTP específico ejecutado en tu sistema que se ha hecho accesible a todos. En este caso, la solución es bloquear temporalmente la IP hasta que los intentos de conexión se detengan. Muchos firewalls personales e IDS tienen una característica incorporada.
  • De repente tu antivirus te informa de qué puertas traseras o troyanos se han detectado, incluso si no ha hecho nada fuera de lo normal. Aunque los ciberataques pueden ser complejos e innovadores, muchos confían en troyanos o puertas traseras conocidas para tener acceso total a un sistema hackeado. Si el componente residente de tu antivirus detecta y te informa de un malware, esto puede ser un aviso de que tu sistema puede ser accesible desde el exterior.

Equipos Unix:

  • Archivos con nombres sospechosos en la carpeta /tmp. Muchos exploits en el mundo de Unix se basan en la creación de archivos temporales en la carpeta estándar /tmp, que no siempre se borran tras el hackeo del sistema. Lo mismo sucede con algunos gusanos que infectan los sistemas de Unix, se recopilan a sí mismos en la carpeta /tmp y la utilizan como su “casa”.
  • Sistemas binarios modificados como “login”, “telnet”, “ftp”, “finger” o daemons más complejos, como “sshd”, “ftpd” y otros similares. Tras introducirse en un sistema, el hacker intenta asegurar el acceso instalando una “puerta trasera” en uno de los daemons que tienen acceso directo desde Internet, o mediante la modificación de las utilidades estándar del sistema que se usan para conectarse con otros sistemas. Los binarios modificados suelen ser parte de un rootkit y, generalmente, son invisibles ante una simple inspección. En cualquier caso, sería recomendable realizar una base de datos de las sumas de verificación de cada utilidad del sistema y verificarlas periódicamente desconectando el sistema de la red, en modo de usuario único.
  • Archivos del sistema modificados /etc/passwd, /etc/shadow, u otros archivos del sistema en el directorio /etc. A veces los hackers pueden añadir un nuevo usuario en /etc/passwd que les permita acceder más tarde al sistema de forma remota. Deberemos buscar cualquier nombre de usuario sospechoso en el archivo de contraseñas y monitorizar todos los usuarios agregados, especialmente en un sistema de usuarios múltiples.
  • Servicios sospechosos añadidos a servicios /etc/. Para abrir una puerta trasera en un sistema Unix, a veces sólo es necesario añadir dos líneas de texto. Esto se lleva a cabo con la modificación de los servicios /etc/, así como /etc/ined.conf. Sería conveniente realizar un seguimiento detallado de estos dos archivos prestando atención a cualquier adición que pueda indicar el enlace de una puerta trasera con un puerto sospechoso o no utilizado.

Publicaciones relacionadas