Caso Abierto: «Me ha entrado virus y no sé como…..»
esta fue la respuesta que recibí cuando descolgué el teléfono. Era el empleado de una de las delegaciones del trabajo. Había tenido que llevar el ordenador a la empresa que lleva el mantenimiento informático porque según él «había dejado el ordenador encendido y por la noche se había metido un virus»..… ehhhhh??? es cierto lo que estoy oyendo?? que por haberte dejado el ordenador encendido por la noche te ha entrado un virus??
Yo: Vamos a ver, porque te dejes el ordenador encendido por la noche, no te va a entrar un virus o malware o troyano por arte de magia, a no ser que antes, hayas descargado, abierto o ejecutado un programa contenido en un correo electrónico, página web «sospechosa» que hayas visitado o dispositivo que hayas conectado y copiado algún programa con el «malware» ya insertado. Éste se puede ejecutar a posteriori según la programación que lleve en su código. Has realizado algo de lo que te comento?
Él: No, no, no he hecho nada de eso ¡
Yo: Además el programa antivirus te lo tenía que haber bloqueado. Hay programas de antivirus, como el que estamos utilizando, que cuando te detecta una intrusión, un archivo sospechoso o programa, te salta un alerta que te da a elegir entre continuar o dejarlo en cuarentena e incluso según el grado de «infección» directamente te lo pasa a cuarentena sin ninguna posibilidad de continuar. No le habrás dado a continuar a pesar de que te indicaba que era sospechoso ? No habrás desactivado el antivirus para poderte descargar algo de alguna página «sospechosa» o habrás navegando por alguna página …….
Él: No, hombre no, por favor… ¡¡
Yo: Pues no hay más opciones, o el programa de antivirus lo tienes desactivado o mal configurado o no has seguido las recomendaciones de seguridad que indicamos en su día. El cortafuegos aún así, lo habría bloqueado o por lo menos indicado a no ser también que esté desactivado.
SOLUCIÓN:
Una vez eliminada la infección, sería volver a instalar el antivirus, realizar una configuración más estricta (si la consulta de configuración anterior que tenía ese ordenador no era suficiente) y crear un usuario administrativo, que el único conocedor fuera el administrador del sistema de la empresa (en caso de no haberlo), así evitaríamos que el usuario normal pudiera desconectar el antivirus o alterar su configuración. En caso de tener que realizar una modificación en su configuración se podría realizar a través de una VPN segura con la oficina central.
CONCLUSIONES:
Llegado a este punto la única solución para conocer realmente lo sucedido sería realizar un análisis forense del disco duro, ANTES de haberlo llevado a la empresa de mantenimiento informático, básicamente para saber REALMENTE lo sucedido. Realizando el análisis forense, conseguiríamos recopilar las evidencias de lo sucedido y crear una línea de tiempo donde podríamos dilucidar lo que pasó realmente y poder llegar a una conclusión sobre la posible vía de la «infección».
CASO CERRADO.
The following two tabs change content below.
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC).
**Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET.
**En el campo de la pericial informática:
* Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos.
* Autentificación y Verificación de correos electrónicos.
* Suplantación de identidad y verificación de mensajes en redes sociales.
* Recuperación de datos de dispositivos de almacenamiento físicos.
* Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral.
* Fraudes informáticos y phising.
............
Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.
Me gusta esto:
Me gusta Cargando...
Jose Miguel
Consultor freelance de Ciberseguridad. Técnico Superior Informático en Desarrollo de Aplicaciones Multiplataforma y Perito Judicial Informático Forense inscrito con el nº 120 en la Asociación Profesional de Peritos de las Nuevas Tecnologías (PETEC).
**Profesional del campo de la Informática desde el año 1988, desarrollando diversos perfiles ocupacionales. Desarrollador Web, Programador de soluciones a medida en diversos lenguajes: Clipper, C++, Visual Basic y Visual Basic .NET.
**En el campo de la pericial informática:
* Especializado en la identificación, extracción y análisis de evidencias digitales en dispositivos de almacenamiento físicos.
* Autentificación y Verificación de correos electrónicos.
* Suplantación de identidad y verificación de mensajes en redes sociales.
* Recuperación de datos de dispositivos de almacenamiento físicos.
* Peritación informática sobre el uso de aplicaciones informáticas durante la actividad laboral.
* Fraudes informáticos y phising.
............
Radioaficionado desde hace más de 30 años y fotógrafo nocturno, disfrutando de la noche admirando el patrimonio nacional con otros ojos.