Cmo descubrir si un intruso ha usado tu ordenador

Cuando alguien entra en el sistema sin tu permiso y abre

tus archivos, las consecuencias pueden ser catastrficas para
tu privacidad. Y es que tu ordenador contiene casi toda tu
vida: documentos, fotos, contraseas...
Tanto si sospechas que un intruso ha entrado en tu ordenador como si ya lo sabes y
deseas saber qu ha visto, borrado o modificado, tranquilzate: hay muchas maneras
gratuitas de averiguar qu ha pasado.
Voy a ensearte los mtodos de investigacin forense ms sencillos y fiables para
recabar informacin que te permita establecer si alguien entr en tu mquina y qu
hizo con tus archivos.

Cmo puede alguien entrar en tu ordenador sin permiso?

Debes imaginar tu PC o Mac como una casa con muchas puertas.
Algunas son evidentes, otras no tanto. Algunas son remotas y
requieren que tu equipo est conectado a Internet, y otras son las
mismas que usas para entrar todos los das.
El acceso fsico, esto es, tener el PC delante, es la forma de
intrusin ms comn y eficaz, sobre todo si olvidas bloquear el acceso. A menos que
cifres tu disco con Truecrypt o una aplicacin similar, el atacante fsico solo necesitar
tiempo y herramientas adecuadas.
Por desgracia, el ataque fsico no es la nica forma de que alguien entre en tu
mquina: puede que una intrusin se efecte mientras tu equipo est encendido y
conectado a una red de rea local o a Internet. En ese caso se habla de una intrusin
remota.

Qu puede hacer un intruso con tus datos?

Depende de las intenciones del intruso y de su "estilo de trabajo". En la mayora de
los casos, solo querr robar o consultar informacin sin dejar huellas. En otros casos,
su motivacin puede ser destructiva (borrar datos o huellas). Los intrusos tambin
pueden querer modificar datos ya existentes.
Dos ejemplos tpicos de intrusin para alterar datos existentes (data tampering): el
estudiante que intenta acceder al PC de la escuela para cambiar sus notas o el

empleado que desea eliminar correos comprometidos. Estas intervenciones nodestructivas equivalen en cierto modo a "cambiar la historia".
Las acciones ms comunes que puede llevar a cabo un intruso, en resumen, son:
Sustraer / copiar datos confidenciales (contraseas, documentos)
Borrar archivos, datos especficos o huellas dejadas previamente
Alterar datos existentes (claves, bases de datos)
Instalar un programa (keylogger, control remoto)
La buena noticia es que casi todas las intrusiones pueden detectarse a posteriori si
han sido efectuadas por alguien inexperto. Incluso las ms discretas dejan huellas
que, en ocasiones, se pueden reconducir al intruso.

En caso de intrusin, es posible saber qu ha pasado?

S, aunque la investigacin puede ser ms o menos complicada dependiendo de la
habilidad del intruso. Si la intrusin ha sido discreta y el equipo no tiene programas
de vigilancia instalados, puede que pasen semanas antes de que la vctima sospeche
que ha pasado algo.
Hay toda una serie de lugares en los que buscar huellas dejadas por un intruso
inexperto:
Registro de eventos del sistema
Registros de aplicaciones (antivirus, navegadores)
Registros de red (p.ej., del router o de cortafuegos)
Archivos de configuracin globales
Sistema de ficheros (fechas, particiones ocultas, datos borrados, etc.)
Procesos en ejecucin
Si el intruso ha sido particularmente cuidadoso, es posible que algunas o todas estas
huellas no estn presentes. Para ocultar borrados, por ejemplo, se usan herramientas
de borrado definitivo, que dificultan muchsimo la recuperacin de archivos.
En este artculo presupongo que el intruso no es un experto en el uso de tcnicas antiforenses y que su intrusin ha sido casual, posiblemente facilitada por la falta de
medidas de seguridad en el equipo afectado.

I. Cmo averiguar si alguien entr en tu ordenador

La mayora de intrusiones dejan huellas en el sistema, especialmente si son

casuales. Todos los sistemas operativos disponen de registros en los que se anotan los
eventos ms notables del sistema. Estos logs son los testigos principales de cualquier
intrusin, y el primer lugar al que has de acudir si sospechas que hubo una visita nodeseada.

Analizar los registros de eventos y aplicaciones

La forma ms sencilla de averiguar si alguien ha usado el sistema
durante tu ausencia es recurrir a los registros de eventos, que no son
ms que archivos que contienen entradas ordenadas por orden
cronolgico que indican lo que ha ocurrido en el sistema mientras
este se hallaba encendido.
En Windows, la forma ms rpida de comprobar qu ha pasado es recurrir al Visor
de Eventos (Log Viewer), que se encuentra en Panel de Control > Herramientas
administrativas. Para abrirlo necesitars permisos de Administrador. A la izquierda se
muestras los tipos de eventos; a la derecha, las entradas.

El Visor de Eventos. El primer evento en Sistema es el ID 12, y corresponde al encendido del

PC
En el Registro de aplicacin puedes ver mensajes de error y acciones emprendidas
por algunas aplicaciones; en el de seguridad, intentos de acceso fallidos y actividad
del cortafuegos, y en el de sistema, los eventos de inicio y apagado. Para cada evento

se muestran fecha y hora, usuario que efectu el evento e informacin sobre el evento
en s, que no siempre es fcil de descifrar.

Windows Event Viewer+ es una prctica utilidad portable que permite ver todos los registros
de eventos
Los registros se guardan como archivos ocultos en la carpeta
C:\ProgramData\Microsoft\Event Viewer\ExternalLogs. Si el intruso ha sido lo
bastante listo como para borrarlos, puedes intentar buscar sus restos usando un
recuperador de archivos. La extensin de los eventos es .EVT, sala para filtrar los
resultados obtenidos con Recuva y aplicaciones similares.
En Linux hay muchos registros de eventos que puedes consultar, como secure o
messages. Otro log muy til es el de Bash, la lnea de comandos (~/.bash_history).
Accede como superusuario al directorio /var/log/ para ver los registros; puedes
usar los comandos less y tail para ver los archivos en pantalla y obtener las ltimas
lneas respectivamente.
Otros tres comandos muy tiles en Linux son last, lastb y lastlog. Mientras last
muestra las entradas y salidas del sistema, lastb enumera los intentos de acceso
fallidos para un usuario concreto. Lastlog, finalmente, muestra el ltimo intento de
conexin de red efectuado por un usuario, lo que resulta muy til para verificar
intrusiones externas.

Captura del contenido tpico de la carpeta /var/log/ en Linux (imagen cortesa de Linux
Magazine)
En Mac el procedimiento es similar, e implica abrir la consola para ver el contenido
de los archivos contenidos en la carpeta /private/var/log. El archivo kernel.log es
particularmente til para ver cundo se encendi la mquina y por qu. Para
proteger esos archivos de cualquier intento de manipulacin, puede seguir los
consejos de este artculo.

Consultar los registros y cachs de otros programas

El sistema no es el nico software de tu equipo que deja huellas. Muchos otros
programas y archivos pueden contener huellas dejadas por un intruso poco
cuidadoso. Por ejemplo:
Navegadores web: cach, historial de bsqueda, historial de navegacin...
Cach de DNS, que muestra las peticiones de navegacin, consultable va
DNSDataView en Windows
Registros del router, bien va registros internos, bien con utilidades como Router
IP Console
Cachs de Adobe Flash y Java, tradicionalmente ignoradas al borrar huellas
Registro de trfico de red local (desde otras mquinas o servidores de red
centrales)
Por desgracia, muchas de estas huellas se pueden borrar (en Windows, CCleaner las
borra casi todas), pero es posible que tu intruso haya dejado algunas. Es difcil ser
cuidadoso al 100%.

II. Cmo descubrir qu archivos se han visto, copiado, borrado o

modificado
ATENCIN: antes de buscar y abrir archivos, recuerda que el mismo acto de abrir
archivos modifica las fechas de acceso a los mismos, lo que impide establecer con
exactitud lo que pas en el ordenador. Es como alterar la "escena del crimen". Por
ello, repito: si sospechas que la intrusin es grave, deja de usar el ordenador y
contacta con las autoridades.
Los profesionales suelen utilizar distribuciones Linux LiveCD que se arrancan sin
tocar el disco duro (un ejemplo es Caine), y trabajan casi siempre con rplicas exactas
(imgenes) de los discos duros y en modo de solo lectura. Ningn experto forense
usara la misma mquina de la que salen los datos para analizarlos (salvo que se trate
de una emergencia).
Si quieres efectuar un anlisis rpido por tu cuenta y riesgo, hay algunos mtodos y
herramientas que puedes ejecutar tanto desde el sistema operativo local como desde
un sistema operativo cargado a travs de un LiveCD. En la mayora de casos, estas
herramientas han sido diseadas para investigadores, sin tener en cuenta la facilidad
de uso.

Obtener una lista de archivos modificados o abiertos recientemente

La suite gratuita OSForensics para Windows es quiz la utilidad de informtica
forense ms intuitiva y completa de todas las que he probado. Una de sus
funcionalidades es precisamente la obtencin de una lista de archivos modificados
recientemente. Para ello debes ir a File Name Search y buscar en la carpeta deseada.

La lista, ordenada por el criterio Access Time (desc), muestra los ltimos archivos
abiertos. Los archivos se pueden abrir con un visor interno que muestra los
metadatos y los atributos de archivo originales sin modificar el archivo. Tambin
puedes ordenarlos por la ltima fecha de modificacin o por la fecha de creacin
(entre otros criterios).
En Linux puedes conseguir resultados parecidos desde la
consola, usando el comando find de Unix. El comando tambin
es vlido para Mac OS X. Otra forma de conseguir resultados
recientes en sistemas Linux que usan Gnome como interfaz
grfica de usuario es abrir la lista de documentos recientes, que
se encuentra en /home/username/.recently-used.xbel.
Saber qu ha modificado el intruso depende de tu conocimiento de los documentos
afectados. Es posible que simplemente hayan sido consultados y copiados. Si
dispones de una copia de seguridad de los documentos crticos, es recomendable
efectuar una comparacin de versiones (por ejemplo, con Multihasher en Windows y
con diff en Linux y Mac OS)

Averiguar si se enchufaron memorias u otros dispositivos USB

Antao los intrusos solan usar disquetes. Los ms atrevidos grababan un CD. Hoy
en da, todas las mquinas disponen de puertos USB. Es tan fcil como enchufar un

pendrive, copiar los archivos e irse. Pero incluso esto deja huellas: los
identificadores de las memorias USB conectadas en el equipo se quedan almacenadas
en el Registro de Windows.
La utilidad USBOblivion, pensada para eliminar estas huellas, tambin las puede
mostrar. Si no quieres que se borren, no actives la casilla "limpieza real".

Otro lugar que puedes mirar el archivo setupapi.log, que muestra los mensajes
relacionados con la instalacin de nuevos dispositivos.
Los datos que puedes sacar a travs del archivo setupapi.log y las herramientas
USBOblivion y USBDeview incluyen fecha y hora de conexin de los dispositivos
extrables, marca y modelo.

III. Encontrar y recuperar datos borrados recientemente

Si el intruso ha eliminado algunos archivos, una herramienta de recuperacin de
archivos borrados te lo dir. Y es que los archivos borrados con mtodos normales no
desaparecen de inmediato.
Si quieres algo ms profesional que el clsico Recuva, el escner de archivos borrados
de OSForensics es una muy buena eleccin para Windows. Adems de recuperar los
datos borrados, permite escanear imgenes de disco de otros sistemas.

En Linux puedes usar utilidades como Scalpel, Foremost o PhotoRec, mientras que en
OS X dispones de FileSalvage y SubRosaSoft (mientras escribo esto, todava no hay
un Recuva para Mac).

FileSalvage es un excelente recuperador de archivos para Mac OS X

Por otro lado, en Windows tambin puedes buscar y recuperar claves del Registro
con Yaru, una aplicacin de la que se habl extensamente en otro artculo. Es
especialmente til para ver si el intruso ha eliminado o modificado claves.

IV. Cmo saber si hay un keylogger o archivos ocultos

El intruso que quiere volver ms tarde dejar una puerta abierta o algo que recopile
informacin confidencial y la enve. Para lograr esto, puede instalar aplicaciones
legtimas, como servidores de control remoto o keyloggers. Asimismo, puede que
haya dejado carpetas ocultas en el disco duro, listas para ser utilizados ms tarde en
una segunda intrusin.

Keyloggers y aplicaciones de acceso remoto

El tipo de aplicacin de captura de datos ms comn que te puedes encontrar es un
keylogger, que captura las pulsaciones del teclado y las almacena en un archivo. Los
ms sofisticados toman tambin capturas de pantalla y atrapan contraseas. Algunos
se dejan detectar fcilmente; otros se asemejan ms a un rootkit, lo que roza la barrera
de la legalidad.

Revealer Keylogger es uno de los capturadores de pulsaciones de teclado ms conocidos

La buena noticia es que la mayora de estas aplicaciones pueden detectarse con un
escaneo de antivirus. Un anlisis con tu antivirus actualizado o con un antivirus en
LiveCD debera dar con el programa y eliminarlo. Lo mismo vale para los programas
de control remoto. Por lo general, su mera presencia suele volver el ordenador algo
ms inestable.
En Linux puedes usar el excelente Rkhunter (o Rootkit Hunter), una utilidad en lnea
de comandos que detecta todo tipo de vulnerabilidades aprovechables, rootkits y
puertas traseras tal y como lo hara un antivirus tradicional.

Rkhunter es un poderoso aliado contra todo tipo de puertas traseras y programas de escucha
en Linux
Recuerda que en caso de intrusin es recomendable recuperar y cambiar las
contraseas de tus cuentas en lnea, sobre todo si el intruso ha instalado un programa
de acceso remoto y un capturador de pulsaciones del teclado.

Busca entre los procesos activos en memoria

Examinar los procesos en ejecucin es una prctica muy saludable y que permite
comprobar si hay algo nuevo y desconocido ejecutndose en segundo plano. En
Windows usa el Administrador de tareas, y en Linux y Mac abre la consola y escribe
el comando ps (se complementa con el comando kill, que sirve para cerrar los
procesos que t quieras).

El Administrador de tareas es tu amigo y siempre estar dispuesto a decirte qu pasa en

Windows ;-)
Reconocer los procesos sospechosos requiere cierta experiencia: es bueno que
examines los procesos peridicamente para identificar los habituales. Pginas como
Tasklist o ProcessLibrary ayudan en la identificacin de los procesos sospechosos. En
la duda, obtn una copia del listado (con HiJackThis en Windows, con ps > texto en
Linux y Mac) y pregunta en foros.

El comando ps ejecutndose en una consola de Linux Fedora (imagen de BLC)

Si quieres que una aplicacin mire los procesos por ti en Windows, adems de los
antivirus -FileRep en avast! o Insight en Norton- tienes otras aplicaciones que

tambin pueden ayudarte, como TuneUp, que dispone de un analizador de

reputacin de programas, o Soluto, que adems sirve para optimizar el tiempo de
carga del sistema operativo.

Obtener una lista de archivos ocultos recientes

Conseguir una lista de archivos y carpetas ocultas creadas o modificadas
recientemente es una buena costumbre. En Windows, puedes usar la ya mencionada
OSForensics, que obtiene la lista con unos pocos clic de ratn:

Obtener una lista de archivos ocultos con OSForensics es muy sencillo

En Linux y OS X necesitas usar la consola de comandos. El comando find puede
usarse para encontrar todo tipo de archivos y carpetas no-visibles. Basta con ejecutar
find /ruta/ -iname ".*" -maxdepth 1 -type f, donde -maxdepth define la profundidad del
escaneo (profundidad de los subdirectorios) y el punto seguido por el asterisco indica
todo tipo de archivo oculto.

V. Cmo prevenir futuras intrusiones en tu ordenador

La seguridad informtica se divide en una serie de niveles sucesivos o capas: la
primera capa es fsica (acceso al ordenador); la siguiente es la capa del sistema
operativo, y finalmente est la capa de las aplicaciones. Sobre la seguridad fsica no
voy a detenerme, ya que es un tema extenso y que suele preocupar ms a la empresas
que a los particulares.
Por lo que respecta la seguridad del sistema operativo, resulta esencial disponer de
un sistema de bloqueo fiable en tu mquina. El software de identificacin biomtrica
(por ejemplo, de reconocimiento facial) es un interesante complemento a la clsica
contrasea. A pesar de no ser sistemas infalibles, lo ponen mucho ms difcil a un

asaltante.
Una forma ms radical de proteccin de tus datos frente a intrusos es cifrar una parte
o todo tu disco duro. Para ello puedes usar aplicaciones como PGP o TrueCrypt. El
cifrado es una autntica pesadilla para cualquier intruso, ya que ciertas tecnologas
son todava imposibles de vulnerar. El riesgo para ti es que si olvidas la clave
maestra, pierdes los datos.

TrueCrypt es una solucin gratuita de cifrado de discos duros que destaca por su facilidad de
uso
Si tu ordenador es porttil, la instalacin de aplicaciones antirrobo y aplicaciones de
vigilancia con cmara web pueden ayudarte a identificar a los intrusos. Un ejemplo
para Windows es Tebocam, que detecta actividad en tiempo real y sube las imgenes
a un servidor FTP o las enva por correo electrnico.

Has sufrido alguna vez una intrusin en tu PC?