¿Hay alguien ahí? ...

...Monitoriza.

La monitorización es una de esas actividades siempre olvidadas en casi todos los ámbitos, organizacionales y personales, según compruebo en mi día a día. Sin embargo, yo soy un fiel convencido de su necesidad. Tanto que cuando observo cómo las personas que me rodean (desde clientes en el ámbito profesional hasta amigos en el ámbito personal) malgastan tiempo y dinero enfrentándose a no se sabe bien qué, me siento un poco vencido y me surge la motivación de intentar hacer algo para remediarlo.

Desde el punto de vista profesional dispongo de varias presentaciones en el ámbito de la seguridad de la información que hacen bastante hincapié en este concepto. Y desde el punto de vista personal espero que sea este el primero de una serie de artículos que vayan demostrando la necesidad de permanecer atentos. Y, junto a unas cuantas herramientas que nos ayuden a mantener activo nuestro educado comportamiento de “estar pendientes”, acabemos monitorizando todo aquello que nos importa proteger.

Quizá resulte un poco pesado insistiendo en la difundida idea de que, hoy en día, las amenazas que nos acechan se caracterizan por intentar hacer el menor ruido posible, o lo que es lo mismo: pasar desapercibidas a nuestros sentidos mientras van realizando sigilosamente su trabajo. En la actualidad, un virus informático (por simplificar) se esconde en nuestro PC, busca información sensible y, muy habitualmente, la lanza hacia algún servidor en Internet donde “los malos” la van recibiendo y discriminando. Podemos sintetizar así el proceso de “robo de información”.

Si el supuesto virus ya está actuando así es porque ha pasado y pasa desapercibido a nuestro antivirus. Entonces, ¿qué podemos hacer para intentar detectarlo?

Hace mucho tiempo que vigilo el tráfico que entra y sale de mi máquina. ¿Cómo? Hay varias utilidades, de pago (DuMeter) y gratuitas: NetMeter Evo 2.0.0. Yo utilizo esta última en todos mis ordenadores. Funcionando, y tras personalizar los colores de bajada en verde (transmite menos peligro y me gusta asociarlo al tráfico que llega al PC) y de subida en rojo (refleja el tráfico que parte del PC hacia la red, es decir, el que se mostraría si nos roban información), la pinta que tiene es esta:

NetMeter 2.0.0

Cuando comienza una descarga y se mantiene (ejemplo realizado descargando LibreOffice):

NetMeter 2.0.0

Observa tanto la columna izquierda del icono de la bandeja del sistema (cuarto comenzando por la hora y fecha hacia la izquierda) que está rellena de verde, como la ventana de la aplicación donde, por el lado derecho, vemos como también va llenándose de verde, así como la velocidad “instantánea” de descarga: 11,34Mbps y de subida: 218,1 kbps.

¿Y qué pasa si está saliendo información desde nuestro PC?

En la siguiente imagen vemos como las últimas líneas verdes correspondientes a la fase final de la descarga de LibreOffice van abandonando el “visor” por la izquierda y, por la derecha, comienzan a aparecer líneas rojas de forma tan continua que indican que hay una subida en progreso. La ventana se “autoescala” sola, y ahora podemos ver cómo la descarga se ha realizado a unos 11,5Mbps (máxima escala) mientras que la subida se está haciendo a 1Mbps escaso (963,7 kbps).

NetMeter 2.0.0

Cuando desaparece el efecto descarga, el visor se vuelve a “autoescalar” y la subida se muestra aún con más claridad:

NetMeter 2.0.0

Pulsando en el icono de la bandeja del sistema el visor aparece y desaparece, para poder ocultarlo cuando nos moleste en nuestro trabajo, pues siempre podemos estar atentos al comportamiento de las dos barritas del icono de la bandeja del sistema.

La instalación del programa es muy sencilla: basta descomprimir el archivo que descargamos desde la web de su autor, y no hace falta llevar a cabo un proceso de instalación: pulsando en el programa .exe que aparece lanzamos directamente la aplicación. Tanto es así que como ocupa aproximadamente 1,2MB yo la guardo tal cual en una carpeta de mi Dropbox, asegurándome así que la tengo disponible en todos mis ordenadores.

Ahora ya sabemos cómo detectar cuando hay tráfico entrando y saliendo de nuestro PC pero, ¿cómo sabemos a qué aplicación corresponde dicho tráfico y, así, si es posible que se deba a un “proceso maligno” o no? Intentaré escribir un artículo que se centre en esta cuestión.

Agradezco tus comentarios tanto si quieres hacerme llegar nuevas ideas al respecto (otras formas/aplicaciones/etc., que tú utilices, puntos fuertes y débiles…) cómo si necesitas alguna aclaración.

Espero que te haya sido útil.

Clasificado en artículos de:

comment reply