Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

Resulta que pertenecía a una red zombi ¡y yo sin saberlo!

Fecha de publicación 26/04/2017
Imagen de acompañamiento

Debido a su trabajo, Sigrid usa constantemente tanto su ordenador como su smartphone. Ya que estas herramientas son indispensables para su labor diaria, se ha concienciado en la necesidad de contar con las distintas medidas de seguridad que deben tener sus dispositivos, como por ejemplo:

  1. Tener instalado y siempre actualizado el antivirus.
  2. Mantener el sistema y las aplicaciones siempre actualizadas.
  3. Realizar copias de seguridad periódicas.
  4. En el ordenador no usar el usuario con permisos de administrador de forma habitual.
  5. Utilizar contraseñas robustas y que sean diferentes para cada servicio.

Gracias a todas estas medidas de seguridad implementadas, Sigrid creía que sus dispositivos eran inmunes a cualquier tipo de infección por malware.

Sin embargo, cierto día por la mañana, mientras se encontraba trabajando con su ordenador, el cual tenía desde hacía muy pocos meses y que contaba con unas prestaciones más que notables, notó que su funcionamiento no era el habitual. Algunas páginas de uso común, como Google, Facebook o Twitter, en ocasiones tardaban en cargar más de lo habitual. Al principio pensó que  se debería a un problema de los propios servicios,  pero tras una conversación con Eric, su colega de trabajo, y tras comprobar que este no había notado nada extraño, Sigrid comenzó a sospechar que algo no estaba bien.

Lo primero que hizo fue realizar un análisis rápido con el antivirus que tenía instalados tanto en el smartphone como el PC, siendo el resultado de ambos análisis negativo. Pero Sigrid no se quedó satisfecha y decidió volver a realizar dichos análisis, pero esta vez analizando el sistema completo, no como en la vez anterior, que solo analizó ciertas carpetas.

Una vez preparado su ordenador para comenzar el análisis de nuevo, se dio cuenta que el antivirus no estaba actualizado, ya que su última actualización databa de casi un mes. Intentó actualizarlo manualmente pero no fue capaz, deduciendo que su ordenador debía estar infectado con alguna clase de malware, que impedía que el antivirus se actualizara correctamente.

Sigrid volvió a contactar con Eric. Le comentó que sospechaba que su equipo estaba infectado con alguna clase de malware. Eric le constató su teoría añadiendo además, que posiblemente formara parte de alguna red zombi, más conocida como botnet, ya que el hecho de no actualizarse el antivirus era una práctica habitual de autoprotección contra este tipo de software malicioso, y teniendo en cuenta que su PC mostraba una actividad de red inusual, eran indicios suficientes que le hacían sospechar. Pero Eric tenía una posible solución que su compañera Sigrid desconocía: el Servicio AntiBotnet de la OSI.

Efectivamente, Sigrid no conocía este servicio. Una vez que accedió a la página de la OSI en la que se explica qué es y cómo utilizarlo, se dio cuenta que era muy sencillo de instalar y manejar, de tal forma, que si se detectaba algún tipo de incidente de seguridad relacionado con botnets, un mensaje le alertaría en tiempo real gracias al plugin (complemento) disponible para el navegador, además de los pasos que tendría que seguir para la desinfección.

Plugins para los navegadores del Servicio AntiBotnet

Existen tres formas de detección de amenazas con el Servicio AntiBotnet:

  1. Mediante un código de incidente: notificación que envían las operadores de servicios de Internet a los usuarios.
  2. El servicio de chequeo online: el usuario a través de la web (/ciudadania/servicio-antibotnet/informacion), comprueba si existen amenazas o incidentes de ciberseguridad con botnets asociados a su conexión de Internet.
  3. Plugin para el navegador: Se descarga el plugin en el navegador (disponible para Internet Explorer, Firefox y Chrome) y el servicio avisa al usuario en tiempo real si se ve envuelto en un incidente de estas características.  

Sigrid decidió decantarse por esta última opción e instalar el plugin para Chrome puesto que era el navegador que más usaba habitualmente.

Página de instalación para Google Chrome del plugin del Servicio AntiBotnet

 

Una vez que finalizó el proceso de instalación, ejecutó el plugin y pudo comprobar que efectivamente, su PC estaba infectado, ya que así lo indicaba tanto el propio plugin como el listado con las últimas amenazas detectadas.

Amenazas detectadas por el Servicio Antibotnet visibles en un aviso del plugin

Tal y como mostraba este reporte, se trataba de la amenaza conocida como Zeus, siendo Windows el sistema operativo afectado por esta amenaza. Dado que en su casa únicamente había un equipo con este sistema operativo, identificarlo fue una tarea sencilla.

Sigrid, intrigada por saber cuáles podrían ser las acciones que pudo realizar el malware Zeus, accedió al enlace Información. Una vez completada la lectura,  decidió ponerse manos a la obra y eliminarlo de su dispositivo. Para ello pulsó sobre el enlace Desinfección.

Una vez se cargó la página con los Cleaners, comprobó que debía analizar el equipo con uno de la sección roja y otro de la sección azul.

Cleaners para eliminar las amenazas

El análisis realizado con el primer cleaner detectó una amenaza, por lo que Sigrid procedió a eliminar el fichero asociado a la misma. Una vez finalizado el análisis, y aunque ya había detectado y eliminado el fichero que probablemente contuviera el malware Zeus, decidió seguir las recomendaciones de la OSI, por lo que desinstaló el primer cleaner antes de instalar el de la sección azul. Una vez realizada dicha instalación procedió con el análisis, y al no encontrar ningún fichero infectado, dio la actividad por concluida.

Una vez eliminada la amenaza, esperó un par de días para comprobar que su equipo no se volvía a conectar de nuevo al servidor de la red de Bots. Dado que el Servicio Antibotnet no detectó ninguna nueva amenaza de seguridad, concluyó que su equipo ya había sido desinfectado por completo y su información y dispositivos, estaban libres de amenazas.

Sigrid tras resolver su incidente de seguridad aprendió una lección muy importante:

  1. El Servicio Antibotnet es una herramienta de protección, que ante cualquier incidente de seguridad, avisará al usuario para que tome las acciones que considere oportunas.
  2. Aunque sigamos todas las recomendaciones de seguridad, siempre se puede colar algún tipo de malware en nuestros dispositivos, por lo que hay que estar atentos ante cualquier síntoma y tomar medidas.
  3. En caso de duda, siempre se puede contactar con uno de los técnicos de la OSI.

Y vosotros, ¿habéis vivido alguna situación similar? ¿Habéis utilizado nuestro servicio AntiBotnet? Contadnos vuestra experiencia en los comentarios.