Detectar intrusiones de red en tu PC.

Consejos para neutralizarlas.

Diagnosticar conexiones entrantes | Verificar dirección IP | Analizar puertos abiertos |
Cerrar puertos peligrosos | Deshabilitar reproducción automática | El archivo hosts | El
poder del archivo hosts

Diagnosticar las Conexiones Entrantes.

¿Tienes alguna duda y sospecha que cuando estas conectado a Internet algún intruso
penetra por la conexión de red a tu PC?, ¿crees que sea posible que aunque tengas un
software antivirus instalado puedan espiarte y acceder a tus documentos y archivos
personales?, ¿crees que alguien te pueda robar a través de la red tus contraseñas y datos
más secretos?, puede que no sea una idea tan descabellada, para cerciorarte puedes
hacer las siguientes pruebas:

Cierra todos los programas y conexiones. Abre una ventana de símbolo del sistema,
teclea INICIO>CMD, en la ventana de MSDOS que se abre ingresa tal como está aquí
escrito: NETSTAT -n 10.
Si se te hace difícil descarga el batch en el link mas abajo, descomprímelo y ejecútalo.

Batch para ejecutar NETSTAT

Lo que te va a aparecer en pantalla es una tabla con 4 columnas y diversas filas que
contiene la siguiente información:
Proto: Nos indica el protocolo utilizado para la comunicación por cada una de las
conexiones activas (La que te interesa es TCP).
Dirección Local: Nos indica la dirección origen de la conexión y después de los dos
puntos: el puerto.
Dirección Remota: Nos indica la dirección de destino, su IP y el puerto.
Estado: Nos indica el estado de dicha conexión en cada momento.

Los estados posibles son:

LISTENING: El puerto está escuchando en espera de una conexión.

ESTABLISHED: La conexión ha sido establecida.
CLOSE_WAIT: La conexión sigue abierta, pero el otro extremo nos comunica que no
va a enviar nada más.
TIME_WAIT: La conexión ha sido cerrada, pero no se elimina de la tabla de conexión
por si hay algo pendiente de recibir.
LAST_ACK: La conexión se está cerrando.
CLOSED: La conexión ha sido cerrada definitivamente.

• En la columna Dirección local la IP 127.0.0.1 es propia del sistema, si tienes alguna

red de área local tiene el formato 192.168.*.*.
• El numero 10 después del comando NETSTAT significa el intervalo en segundos en que
se va a actualizar la pantalla, puedes aumentarlo o disminuirlo.
Después que te familiarices con la información de la ventana entonces conéctate a la red
que utilizas y comienza a realizar lo que haces normalmente siempre monitoreando la
pantalla de NETSTAT.

Verificar la dirección IP

Cualquiera conexión establecida extraña que veas y no se corresponde con nada de lo

que haces, puedes verificar la IP que aparece en la columna de Conexión remota en el
siguiente formulario, introduce la dirección o arrastrala del navegador.

Información de un Dominio

URL o Dominio:
Verificar Dirección Aclarar

Esto puede ser muy útil para detectar la actividad de troyanos, spam y otras intrusiones
en nuestra PC, también indispensable para poder diagnosticar cualquier conflicto de
redes.

Detectar conexiones con el exterior

Para detectar si alguna aplicación en tu PC está realizando conexiones con el exterior
puedes usar NETSTAT –b, te mostrará los datos de la aplicación. Como estos tipos de
conexiones suelen ser cortas, lo mejor es chequearlo cada cierto intervalo de tiempo,
para eso tienes la siguiente opción: NETSTAT –b 10>C:\conexiones.txt, lo que quiere
decir que te chequeará cada 10 segundos las conexiones al exterior y te guardará los
logs en un archivo de texto guardado en la unidad C que podrás leer periódicamente.

Tambien te puede interesar leer la siguiente página, en ella podras descargar varias
aplicaciones útiles para el trabajo en redes:
Ver, conocer, e identificar con NETSTAT las conexiones activas establecidas

Batch para ver las conexiones activas establecidas.

Te muestra todas las conexiones que tienes establecidas, los puertos, los PID
(identificadores de procesos) y las direcciones IP de origen de cada conexión. El
programa refresca los datos cada 5 segundos aproximadamente.

Saber que puertos tienes abiertos en tu PC.

Para saber que puertos tienes abiertos de una forma sencilla, escribe en la ventana del
intérprete de comandos lo siguiente como lo ves aquí: NETSTAT -an |find /i
"listening", te mostrará el listado de los puertos que tienes abiertos en este momento.
Ahora antes de seguir ten presente que:
Un puerto abierto no es necesariamente peligroso. Estas en riesgo solo si el programa
que usa el puerto tiene códigos dañinos. Un puerto no es abierto por el sistema
operativo, es abierto por un programa específico queriendo usarlo. Para cerrar un
puerto, usualmente solo es necesario cerrar el programa ó servicio que mantiene dicho
puerto abierto. Así que no hay razón para cerrar todos los puertos en tu sistema. En
realidad, sin tener puertos abiertos, no funcionaría internet!

Recuerda que hay puertos que usas para tu comunicación y servicios de internet y no
constituyen ningún peligro como por ejemplo:
21 (Puerto de FTP)
25 (SMTP Puerto de email)
80 (Puerto del HTTP)
110 (POP3 Puerto de email)
531 (Puerto IRC)

Como cerrar puertos considerados peligrosos.

Puerto 135
El puerto 135 lo comparten el DCOM, programador de tareas y MSDTC, si se tiene
cualquiera de esos servicios el puerto permanece abierto y aceptando conexiones
entrantes
Ciérralo deteniendo los servicios anteriores o modificando la siguiente clave del
registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
En EnableDCOM, cambiar el parametro Y por N

Puertos 137,138,139 y 445

Si el equipo tiene NetBios habilitado, "escucha" en los puertos UDP 137 y 138, y en los
TCP 139 y 445. Si NetBios está deshabilitado, sólo escuchará mediante el puerto 445.
Para deshabilitar NetBios, en propiedades de Protocolo de internet 4(TCP/IPv4)
>Opciones avanzadas >WINS selecciona Deshabilitar NetBios a través de TCP/IP.
Para desactivar completamente NetBios a través del registro modificar la siguiente
clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
renombrar TransportBindName a TransportBindNameBAK

Puertos 5000 y 1900 (uPnP)

Deshabilitando el Servicio de descubrimientos SSDP, cierras las conexiones al puerto
1900 UDP, y el 5000 TCP

Analizar puertos abiertos de tu PC

Una medida básica de seguridad es conocer que puertos tenemos, cuales están abiertos,
quien mandó a abrirlos, que programa o aplicación se comunica a través de ellos, con
quien se comunica, cual es la dirección IP con la que establecen conexión.
Para eso te ofrezco una alternativa más avanzada, es una diminuta aplicación llamada
Current Ports, no es necesario instalar, solo ejecútala y te mostrara en una lista todos los
puertos abiertos por conexiones TCP/IP y UDP. Por cada puerto abierto en la lista te
muestra información como: el nombre del proceso, dirección IP remota, la ruta de la
aplicación que lo crea, cuando fue creado, etc.
Adicionalmente te permite cerrar las conexiones indeseadas, cerrar los procesos, y
guardar toda la información en un archivo. La aplicación también marca con un color
rosado los puertos sospechosos abiertos por conexiones sin identificar.

Descargar Current Ports

esta es la versión 1.75 traducida al español por mí, si deseas una versión más reciente
puedes descargarla gratuitamente en la web del autor: http://www.nirsoft.net

Batch para ver los puertos en escucha

Batch que te muestra los puertos que tienes en este momento abiertos y que están a la
escucha en espera de alguna conexión.
Deshabilitar Reproducción Automática de Medios
Extraíbles.

Una recomendación, si a menudo en tu PC se conectan memorias flash, pendrives,

tarjetas de memoria o discos duros externos desactiva la reproducción automática de los
medios extraíbles, eso te asegurará que no entre de forma automática ningún virus en tu
sistema ya que esta es la forma más común de transmisión de ellos. Para eso lee la
siguiente página:
Configurar el autorun o reproducción automática en las unidades.

Revisar el Archivo Hosts.

El siguiente paso es revisar el estado de tu archivo hosts. El archivo hosts es un archivo

de texto que se encuentra en la siguiente ruta:
C:\Windows\System32\drivers\etc\hosts.
Para que compruebes la ruta en tu PC hacia el archivo hosts presiona el siguiente botón:
Ver ruta del archivo hosts

Su función en los sistemas operativos anteriores era de listar los nombres de dominio
con sus respectivas direcciones IP, ya no tiene esta función debido al crecimiento
desmesurado de Internet, en la actualidad es más factible buscar esa relación en un
servidor de nombre de dominio DNS , pero todavía Windows antes de buscar
información externa en un servidor DNS para resolver la IP de una página solicitada
busca primero en el archivo hosts.
Normalmente la única línea que contiene es la dirección localhost cuya IP es
127.0.0.1. Te he aconsejado revisar ahí porque hay virus que cuando te infestan
escriben ahí la direcciones de los programas antivirus que tu puedas tratar de acceder lo
que la re direcciona a tu misma IP, por lo que no puedes actualizar tu antivirus ni ir en
auxilio de ningún programas de estos.
Si revisando el archivo hosts encuentras alguna línea que no sea localhost elimínala con
confianza.

El poder del archivo hosts de Windows.

Haz la siguiente prueba, es inofensiva pero te demostrara como una simple línea de
código que esté en un archivo que ejecutes puede transformar el destino de tu conexión.
Crea un batch que solo contenga esta línea:
echo 194.224.58.10 google.com >> c:\windows\system32\drivers\etc\hosts
Si no sabes cómo es sencillo: copia la línea en el bloc de notas de Windows y guárdalo
con cualquier nombre pero que tenga la extensión .cmd, asegúrate que en la pestaña
Tipo aparezca: Todos los archivos (*.*). A continuación ejecuta el batch que guardaste,
después abre tu navegador e ingresa la conocida dirección google.com, pero para tu
gran sorpresa la página que cargaras será la de Movistar en
http://www.movistar.es/on/.
La explicación como ya supondrás es que la línea de código lo que hizo fue transformar
tu archivo hosts y estableció que la dirección IP de google.com es 194.224.58.10
cuando en realidad no es cierto.
Te darás cuenta que con solo una línea de código que pongan por ejemplo en una
aplicación freeware que descargues, de forma malintencionada pueden hacer que tu
inconscientemente accedas a sitios que ni te imaginas con la mayor confianza del
mundo. De esa forma pueden desviar la ruta de los servidores de actualización de tu
antivirus, enviarte a sitios de suplantación de identidad (pishing), etc.
Cuando termines la pequeña prueba accede a tu archivo hosts y borra la entrada que
añadiste.

Batch para restaurar una copia guardada del archivo hosts.

Batch para eliminar el archivo hosts y crear uno con el formato

predeterminado de Windows.

Comando para sustituir el archivo hosts por uno con la única línea de localhost, como se
crea en la instalación de Windows y añadirle los atributos de solo lectura, oculto y
archivo de sistema.

Consejos.

Los mejores consejos para cuestiones de seguridad:

Ningún sistema es completamente seguro, el único sistema seguro es aquel que está
apagado y desconectado de internet.
La precaución puede llegar a ser el truco más efectivo contra las intrusiones no
deseadas.

Precauciones que se deben tener en cuenta en la PC:

• Tener activado el firewall de Windows

• Usar software de protección antivirus
• Instalar regularmente los últimos parches de seguridad activando las actualizaciones
automáticas.
• Evitar la instalación innecesaria de software gratuito (no confundir con programas de
código abierto del proyecto GNU). La mayor parte del spyware se instala a través del
software gratuito que puedas descargar, creado precisamente para eso, aunque a veces la
infección de spyware se contrae simplemente visitando un sitio web.
• Utilizar Mozilla Firefox, ya que hasta el momento no existe otro navegador que supere
los mecanismos de seguridad de Mozilla.
• Verificar que los ficheros adjuntos que descarguemos no tenga doble extensión, por
ejemplo: (fichero.mp3.exe). Para eso es imprescindible en Opciones de carpeta >Ver,
desmarcar la casilla Ocultar las extensiones de archivos.
• Utilizar una cuenta de usuario estándar. Aunque la cuenta de usuario de administrador
ofrece un control completo sobre un equipo, el uso de una cuenta estándar puede ayudar
que el equipo sea más seguro. De este modo, si otras personas obtienen acceso al equipo
mientras haya iniciado la sesión, no pueden alterar la configuración de seguridad del
equipo ni cambiar otras cuentas de usuario.

De acuerdo al uso que le des a tu PC puedes deshabilitar:

• Acceso remoto en: Mi PC >Propiedades del sistema >Configuración avanzada

>Acceso remoto.
• Entra a Conexiones de red, ve a las propiedades de la conexión que utilices y en
Funciones de red desmarca las casillas (no las desinstales) todas excepto: Protocolo de
internet 4(TCP/IPv4).
• Panel de control >Herramientas administrativas >Servicios >Registro remoto
Deshabilitarlo.
• Panel de control >Herramientas administrativas >Servicios >Servicio Informe de
errores de Windows Deshabilitarlo.