Documentos de Académico
Documentos de Profesional
Documentos de Cultura
empleado que desea eliminar correos comprometidos. Estas intervenciones nodestructivas equivalen en cierto modo a "cambiar la historia".
Las acciones ms comunes que puede llevar a cabo un intruso, en resumen, son:
Sustraer / copiar datos confidenciales (contraseas, documentos)
Borrar archivos, datos especficos o huellas dejadas previamente
Alterar datos existentes (claves, bases de datos)
Instalar un programa (keylogger, control remoto)
La buena noticia es que casi todas las intrusiones pueden detectarse a posteriori si
han sido efectuadas por alguien inexperto. Incluso las ms discretas dejan huellas
que, en ocasiones, se pueden reconducir al intruso.
casuales. Todos los sistemas operativos disponen de registros en los que se anotan los
eventos ms notables del sistema. Estos logs son los testigos principales de cualquier
intrusin, y el primer lugar al que has de acudir si sospechas que hubo una visita nodeseada.
se muestran fecha y hora, usuario que efectu el evento e informacin sobre el evento
en s, que no siempre es fcil de descifrar.
Windows Event Viewer+ es una prctica utilidad portable que permite ver todos los registros
de eventos
Los registros se guardan como archivos ocultos en la carpeta
C:\ProgramData\Microsoft\Event Viewer\ExternalLogs. Si el intruso ha sido lo
bastante listo como para borrarlos, puedes intentar buscar sus restos usando un
recuperador de archivos. La extensin de los eventos es .EVT, sala para filtrar los
resultados obtenidos con Recuva y aplicaciones similares.
En Linux hay muchos registros de eventos que puedes consultar, como secure o
messages. Otro log muy til es el de Bash, la lnea de comandos (~/.bash_history).
Accede como superusuario al directorio /var/log/ para ver los registros; puedes
usar los comandos less y tail para ver los archivos en pantalla y obtener las ltimas
lneas respectivamente.
Otros tres comandos muy tiles en Linux son last, lastb y lastlog. Mientras last
muestra las entradas y salidas del sistema, lastb enumera los intentos de acceso
fallidos para un usuario concreto. Lastlog, finalmente, muestra el ltimo intento de
conexin de red efectuado por un usuario, lo que resulta muy til para verificar
intrusiones externas.
Captura del contenido tpico de la carpeta /var/log/ en Linux (imagen cortesa de Linux
Magazine)
En Mac el procedimiento es similar, e implica abrir la consola para ver el contenido
de los archivos contenidos en la carpeta /private/var/log. El archivo kernel.log es
particularmente til para ver cundo se encendi la mquina y por qu. Para
proteger esos archivos de cualquier intento de manipulacin, puede seguir los
consejos de este artculo.
La lista, ordenada por el criterio Access Time (desc), muestra los ltimos archivos
abiertos. Los archivos se pueden abrir con un visor interno que muestra los
metadatos y los atributos de archivo originales sin modificar el archivo. Tambin
puedes ordenarlos por la ltima fecha de modificacin o por la fecha de creacin
(entre otros criterios).
En Linux puedes conseguir resultados parecidos desde la
consola, usando el comando find de Unix. El comando tambin
es vlido para Mac OS X. Otra forma de conseguir resultados
recientes en sistemas Linux que usan Gnome como interfaz
grfica de usuario es abrir la lista de documentos recientes, que
se encuentra en /home/username/.recently-used.xbel.
Saber qu ha modificado el intruso depende de tu conocimiento de los documentos
afectados. Es posible que simplemente hayan sido consultados y copiados. Si
dispones de una copia de seguridad de los documentos crticos, es recomendable
efectuar una comparacin de versiones (por ejemplo, con Multihasher en Windows y
con diff en Linux y Mac OS)
pendrive, copiar los archivos e irse. Pero incluso esto deja huellas: los
identificadores de las memorias USB conectadas en el equipo se quedan almacenadas
en el Registro de Windows.
La utilidad USBOblivion, pensada para eliminar estas huellas, tambin las puede
mostrar. Si no quieres que se borren, no actives la casilla "limpieza real".
Otro lugar que puedes mirar el archivo setupapi.log, que muestra los mensajes
relacionados con la instalacin de nuevos dispositivos.
Los datos que puedes sacar a travs del archivo setupapi.log y las herramientas
USBOblivion y USBDeview incluyen fecha y hora de conexin de los dispositivos
extrables, marca y modelo.
En Linux puedes usar utilidades como Scalpel, Foremost o PhotoRec, mientras que en
OS X dispones de FileSalvage y SubRosaSoft (mientras escribo esto, todava no hay
un Recuva para Mac).
Rkhunter es un poderoso aliado contra todo tipo de puertas traseras y programas de escucha
en Linux
Recuerda que en caso de intrusin es recomendable recuperar y cambiar las
contraseas de tus cuentas en lnea, sobre todo si el intruso ha instalado un programa
de acceso remoto y un capturador de pulsaciones del teclado.
asaltante.
Una forma ms radical de proteccin de tus datos frente a intrusos es cifrar una parte
o todo tu disco duro. Para ello puedes usar aplicaciones como PGP o TrueCrypt. El
cifrado es una autntica pesadilla para cualquier intruso, ya que ciertas tecnologas
son todava imposibles de vulnerar. El riesgo para ti es que si olvidas la clave
maestra, pierdes los datos.
TrueCrypt es una solucin gratuita de cifrado de discos duros que destaca por su facilidad de
uso
Si tu ordenador es porttil, la instalacin de aplicaciones antirrobo y aplicaciones de
vigilancia con cmara web pueden ayudarte a identificar a los intrusos. Un ejemplo
para Windows es Tebocam, que detecta actividad en tiempo real y sube las imgenes
a un servidor FTP o las enva por correo electrnico.