Su cuenta bancaria es un producto comercializable en el mercado negro. A lo largo de la última década, el énfasis ha pasado de destruir el contenido de las computadoras de las víctimas a saquearlas, y las cuentas bancarias ahora se obtienen en una escala verdaderamente industrial..

Cada vez que los ladrones quieren una porción de la acción, pero convertirse en un cliente de las pandillas endurecidas que controlan las botnets más grandes del mundo puede ser difícil. Un enfoque mucho más fácil es simplemente tomar una guía telefónica y fingir.

A veces, el miedo inducido por esta nueva generación de estafadores puede hacer que la gente se asuste, y pueden terminar haciendo tonterías que ponen en peligro sus datos, como lo demuestra la siguiente historia real.

Una historia familiar

Hace unas semanas, un amigo mío recibió una llamada telefónica, aparentemente de Microsoft. Su computadora, dijo la persona que llama, estaba enviando correo basura al mundo. Preocupada, hizo exactamente lo que la persona que llamó le preguntó..

Abrió una ventana del símbolo del sistema, ingresó algo y leyó lo que aparecía en la pantalla. ¿Podría abrir un navegador y navegar a un sitio que confirme su infección? Cuando lo hizo, una gran advertencia roja apareció en la pantalla. Después de ingresar un par de comandos más, navegar por el sitio nuevamente mostró que el flujo de spam había disminuido.

Como era de esperar, la persona que llamó le dijo que Microsoft tendría que facturarle la llamada, pero podría ofrecerle un descuento si pagaba ahora con una tarjeta de crédito. Ella no tenía uno. La persona que llamó fue insistente y le pidió los detalles de la tarjeta de su esposo. Ella se negó y pidió que le enviaran la factura para que la tratara su marido. La persona que llama se volvió agresiva. Ella colgó.

Cuando el esposo de la víctima llegó a su casa, recordó algo en la televisión acerca de la estafa y el malware de Microsoft. Sin darse cuenta de lo que haría, inmediatamente ejecutó el DVD de inicialización que venía con la computadora portátil y luego me llamó, deseando saber por qué la computadora ahora parecía que lo hacía cuando la compraron en Navidad. ¿Dónde estaban sus fotos de vacaciones, correos electrónicos y otras cosas? Al no tener copias de seguridad, la triste verdad es que sus datos se han ido para siempre..

No te asustes

Aunque es posible que la persona que llama en una estafa de "llamada a Microsoft" intente hacerte instalar malware, sería una ruta muy ineficiente para obtener los detalles de tu tarjeta de crédito. La persona que llama ya lo tiene en un estado de cumplimiento y solo puede solicitarlo.

Estas personas son estafadores, pero esta historia muestra que vale la pena saber qué hacer en situaciones en las que siente que tiene buenas razones para creer que ha sido hackeado o infectado. Puede que solo sea una corazonada o que su computadora haya comenzado a actuar de manera diferente.

Lo primero que debe hacer es recopilar evidencia, y el primer puerto de llamada es el comando netstat poco utilizado. Esto nos dirá si la computadora está conectada al mundo más allá de nuestra red y ayudará a encontrar dónde van esas conexiones.

Reinicie la computadora para asegurarse de que no tiene conexiones falsas abiertas, luego haga clic derecho en el símbolo del sistema (está en el grupo de programas 'Accesorios') y ejecútelo como Administrador.

Antes de ejecutar un navegador, un cliente de correo o cualquier otro programa compatible con la red, escriba netstat. El resultado es una breve lista de conexiones. La mayoría, si no todos, deberían estar entre la computadora y ella misma. Estos tendrán 127.0.0.1 o la dirección IP de la computadora como la dirección local, y el nombre de la computadora como la dirección extranjera (remota).

Después de la dirección IP, verá dos puntos y el número de puerto en uso. Cualquier conexión inesperada a direcciones IP extranjeras debe ser investigada. La mayoría resultarán ser enlaces a servicios legítimos, pero vale la pena estar seguro.

Muchas compañías legítimas en línea utilizan nombres de dominio oscuros para las conexiones que los usuarios finales nunca suelen ver. Necesitamos convertir esas direcciones IP extranjeras en nombres legibles usando el comando netstat -f. Esta vez, la pantalla se llena con una lista más larga de información..

En la columna Externa, verá nombres de servidores remotos, algunos de los cuales no reconocerá, junto con otras direcciones IP que no se pueden resolver en nombres DNS. Podemos rastrear todos estos nombres y direcciones DNS.

Primero, abra un navegador y vaya a www.ip-adress.com/ip_tracer (eso es 'dirección' con una D). Ingrese el nombre de dominio o la dirección IP de un servidor extranjero desconocido y presione [Enter]. Los resultados pueden ser muy esclarecedores..

Si su computadora recién iniciada muestra conexiones a direcciones IP que enlazan a Google sin que usted haya usado uno de sus sitios o servicios, la conexión podría ser desde Google Update y buscar nuevas versiones de los productos instalados. Se verán conexiones similares a medida que otros productos llamen a casa para buscar actualizaciones. Incluso el acto de navegar a www.ip-adress.com abrirá nuevas conexiones.

Usando este sitio, dominios claramente extraños como 'dy-inf100.1e100. La red se resuelve en dominios de datos inofensivos, en este caso propiedad de Google. La complejidad de las aplicaciones web aparentemente simples significa que pueden extraer datos y código de varias fuentes.

Otras direcciones tomarán un poco más de excavación para determinar sus identidades. Si no puede identificar la conexión de los resultados iniciales en www.ip-adress.com, haga clic en uno de los enlaces "Whois". Esto produce una página que contiene información de dominio mucho más detallada y debería ayudarlo a conectar las direcciones con las empresas..

Cuando se trata de decidir si una conexión es maliciosa, también ayuda poder ver los programas individuales que se conectan a servidores remotos. Si uno de estos no es nada que recuerdes haber instalado, puede ser malware o un cliente de botnet. Aquí otra vez netstat puede ayudar con la investigación inicial..

Escriba netstat -b y aparecerá una lista un poco más compleja. Esta vez, una segunda línea que contiene el nombre de un programa entre corchetes acompaña a cada conexión. El programa es el ejecutable que gestiona la conexión. Aunque todos estos deben ser reconocibles, a veces incluso los ejecutables legítimos pueden tener nombres oscuros.

Podemos verificar que los programas son lo que dicen que están usando nuestro viejo amigo Process Explorer. No requiere instalación, pero recuerde hacer clic derecho en el ejecutable y ejecutarlo como Administrador. Localice el programa sospechoso en la lista de procesos, haga doble clic en él. Esto resulta en una sub-ventana con varias pestañas.

En la pestaña 'Imagen', haga clic en 'Verificar' para verificar que la firma del ejecutable público sea correcta. Si una imagen no se puede verificar, puede ser un código antiguo que no se ha actualizado explícitamente para Windows 7, o podría ser una adición no deseada.

Para decidir cuál, el Explorador de procesos utiliza una forma burda de fuente de multitudes. Cierre la ventana secundaria, haga clic con el botón derecho en el proceso y seleccione 'Buscar en línea' para ver lo que otros tienen que decir al respecto. Si no es bienvenido, puede ser el momento de actuar, pero no hasta que sus datos estén seguros..