Curso de Seguridad en Internet

Como hemos visto en la Configuración, la actualización es conveniente que sea automática; también se puede actualizar cuando se quiera con la opción Actualizar ahora.

Si tenemos una conexión permanente, aconsejo dejar configurada la actualización automática; si es con módem, actualizar como mínimo 2 veces por semana (si hay actualización disponible, claro está).

Primeramente hay que comenzar comentando en qué consiste un programa de acceso remoto o programa de administración remota. Este tipo de programas, conocidos también como RATs (Remote Administration Tool), se han desarrollado para el control remoto de un PC o un sistema, valga la redundancia.

Es decir, permiten un manejo prácticamente total de un PC, que físicamente no se encuentra al alcance de nuestras manos, por medio de una conexión directa desde otro PC. El programa de acceso remoto deben estar instalado en ambos PCs y su comunicación se produce generalmente vía internet o vía red.

Sin embargo un troyano tiene unas características propias que le confieren un carácter malicioso:

Se aprovecha frecuentemente de bugs (errores) y backdoors (puertas traseras) de los sistemas informáticos, como el Back Orifice o el BackDoor.

Sólo una de las dos partes del programa (un troyano se instala en ambos PCs) tiene capacidad de controlar (cliente del troyano) mientras que la otra sirve de conexión con el PC controlado (servidor del troyano).

El usuario del PC que actúa como servidor (el PC controlado) no tiene conciencia o conocimiento de estar comunicado con aquel otro PC. Ni tan siquiera es consciente de haber instalado el troyano en su PC.

El servidor del troyano se oculta, intentando pasar desapercibido para actuar clandestinamente.

Es decir, un troyano es un programa malicioso insertado en un PC sin consentimiento de su dueño que permite el control de ese PC por parte de una persona no autorizada, pudiéndose incluso considerar un tipo de virus, ya que el PC atacado se “infecta” con él.

Existe una gran variedad de virus (varios miles, de hecho) cuyos efectos van desde los simplemente molestos hasta los que destruyen información específica o bien toda la contenida en el disco duro.

Lo característico de los virus es que una vez que se instalan en el ordenador pasan largo tiempo sin provocar ningún efecto, aparte de infectar a todos los demás programas que se ejecuten. Después de este período el virus actúa sobre el equipo en que estaba instalado.

Los troyanos son programas que permiten a extraños intervenir en un ordenador remoto que está conectado a internet, es lo que se conoce como "hackear" o más correctamente "nukear" un computador remoto ('tomar el control').

Existen una multitud de programas que permiten hacer esto como es netbus, mere, back oriffice, Backdoor.SubSeven.20, etc.

Pese a sus diferentes efectos, virus y troyanos comparten características comunes en su forma de operar y propagarse, pero cabe señalar que los antivirus actuales detectan indistintamente virus y troyanos.

Hay programas especializados en buscar y eliminar los troyanos, aunque ya todos los antivirus prácticamente lo hacen.

Un hecho que delata la presencia de un troyano o virus es la presencia en un archivo de una extensión doble. Desconfía, por no decir rechaza, todo archivo con esta característica. Pero para detectar las extensiones dobles de los archivos deberemos retocar un poco nuestro explorador de Windows.

En sistemas Win95/98, abrir el explorador de windows (que no el Internet explorer) y pulsar en “VER=>OPCIONES DE CARPETAS=>VER” y ya allí desactivar la opción de “ocultar las extensiones para los tipos de archivo conocidos”.

Para los sistemas WinMe, pulsar también dentro del explorador de windows, “HERRAMIENTAS=>OPCIONES DE CARPETAS=>VER” y desactivar “ocultar las extensiones para los tipos de archivo conocidos”.

Para los sistemas WinNT/2000/XP, “EXPLORADOR=>HERRAMIENTAS=>OPCIONES DE CARPETA=>VER=> opción “Ocultar las extensiones de archivo para tipos de archivo conocidos”.

Se aplica en todos los casos y se acepta. De esta forma siempre veremos las extensiones de todos los archivos.

Los archivos peligrosos son los ejecutables (extensiones 'exe' y 'com'). Si tenemos desactivada la opción de ver las extensiones de todos los archivos, un archivo llamado por ejemplo programa.jpg.exe, nos aparecería como programa.jpg, con lo que pensaríamos que es una imagen cuando en realidad es un archivo ejecutable.

Esquema de funcionamiento de un troyano.

El Cliente, ubicado en la computadora atacante, es la parte del troyano encargada de enviar las órdenes al Servidor, que está en la computadora atacada. Dependiendo de la calidad del troyano, la cantidad de órdenes disponibles variará y la capacidad de "diversión" también.

El Servidor, ubicado en la computadora atacada, recibe las órdenes del Cliente, que está en la computadora atacante y las ejecuta en la computadora de la víctima, por ejemplo abrir la bandeja del CD, mostrar mensajes, abrir páginas web, borrar archivos, etc., y luego envía los resultados al Cliente para que sepa que la acción se ejecutó (Esto último es opcional, dependiendo la calidad del troyano).

El Editor, que puede existir dentro del mismo Cliente, es el encargado de crear el Servidor con nuestras configuraciones, gustos y maneras de trabajar.

No todos los troyanos traen Editor y si esto sucede trabajaremos bajo las mismas circunstancias.
Dependiendo de la calidad del Editor podremos configurar más o menos el Servidor.

Twitter Meneame Delicious Technorati Digg Facebook