¿Cómo saber si alguien tiene acceso remoto a tu computadora Windows?

Algunos de los tipos de malware más peligrosos están diseñados para obtener acceso remoto a la PC de una víctima, como los troyanos de acceso remoto (RAT) y los rootkits a nivel de kernel . Operan silenciosamente, lo que dificulta su detección. Si le preocupa que alguien tenga acceso remoto no autorizado a su PC con Windows, aprenda cómo confirmar y eliminar la amenaza.

Señales de advertencia cuando alguien accede a su PC

Si bien la mayoría de los intentos de acceso remoto son silenciosos, aún presentan algunas señales de advertencia. Si bien estos signos pueden ser indicativos de la popularidad de Windows, en conjunto pueden ser una prueba sólida de la actividad de acceso remoto.

• Comportamiento inusual del mouse/teclado : si el cursor se mueve de manera errática o se ingresa texto sin su intervención, podría deberse a una herramienta remota. Incluso cuando no se controlan de forma activa, estas herramientas pueden causar problemas como saltos o teletransportación del cursor. Esta señal también puede actuar como confirmación si el mouse y el teclado comienzan a realizar tareas como acceder a la barra de direcciones del navegador e ingresar la dirección de un sitio web.
• Programas que se abren y cierran automáticamente : los piratas informáticos también pueden enviar comandos para abrir aplicaciones específicas (como software antivirus o Símbolo del sistema) para obtener más control sobre el sistema o desactivar funciones de seguridad. Si ves que los programas se abren y se cierran solos, eso es una señal de advertencia.
• Creación de nuevas cuentas de usuarios desconocidas : algunos actores maliciosos pueden intentar crear cuentas secundarias para obtener acceso persistente incluso después de la detección. Probablemente deshabilitarán la función de cambio de usuario para ocultar la cuenta de la pantalla de bloqueo. Vaya a Configuración de Windows -> Cuentas y busque la cuenta secundaria en Familia y Otros usuarios.

• Rendimiento lento repentino : las operaciones de control remoto también consumen muchos recursos, por lo que es posible que notes una caída repentina en el rendimiento. Esto es especialmente importante si ocurren caídas ocasionales del rendimiento debido a operaciones de control remoto.
• El Escritorio remoto de Windows se habilita automáticamente : el Escritorio remoto de Windows es bastante vulnerable, por lo que los piratas informáticos a menudo usan esta función para crear conexiones remotas. Esta función está deshabilitada de forma predeterminada, por lo que si se habilita sin su intervención, podría serlo un pirata informático. En la configuración de Windows, vaya a Sistema -> Escritorio remoto y vea si esta función está habilitada.

Cómo confirmar que se está accediendo a su PC de forma remota

Si nota los signos anteriores, tome las medidas necesarias para confirmar su sospecha. Puede supervisar la actividad de los componentes/aplicaciones involucrados en el proceso de acceso remoto para confirmar que alguien está accediendo a su PC con Windows. A continuación se muestran algunos de los métodos más fiables:

Comprobar los registros del Visor de eventos de Windows

El Visor de eventos de Windows es una excelente herramienta integrada para monitorear la actividad del usuario y ayudar a detectar intentos de acceso remoto al monitorear la actividad de RDP y los registros de inicio de sesión.

Busque “visor de eventos” en la búsqueda de Windows y abra el Visor de eventos .

Vaya a Registros de Windows -> Seguridad y haga clic en la pestaña ID de evento para ordenar los eventos por ID. Busque todos los eventos con ID 4624 y verifique sus detalles para asegurarse de que ninguno de ellos tenga el tipo de inicio de sesión 10 . El ID de evento 4624 corresponde a intentos de inicio de sesión y el tipo de inicio de sesión 10 corresponde a inicios de sesión remotos que utilizan servicios de acceso remoto que los piratas informáticos podrían usar.

También puede buscar el ID de evento 4778, ya que muestra una reconexión de sesión remota. La página de detalles de cada evento le brindará información de identificación importante, como el nombre de la cuenta o la dirección IP de la red.

Monitorear el tráfico de la red

El acceso remoto depende de la conectividad de la red, por lo que monitorear el tráfico de la red es una forma confiable de detectarlo. Recomendamos utilizar la versión gratuita de GlassWire para este propósito, ya que monitorea y protege automáticamente contra conexiones maliciosas.

En la aplicación GlassWire, verá todas las conexiones de la aplicación en la sección GlassWire Protect . La aplicación evaluará automáticamente las conexiones y marcará aquellas que no sean confiables. En la mayoría de los casos, la aplicación podrá detectar conexiones remotas maliciosas y avisarle.

Además de los algoritmos de las aplicaciones, también puedes buscar pistas como el alto uso de datos de una aplicación desconocida. Las conexiones remotas utilizan datos persistentes, por lo que son fáciles de detectar.

Ver tareas programadas

Muchos intentos de acceso remoto se administran mediante la herramienta Programador de tareas de Windows. Esto les ayuda a sobrevivir a los reinicios de la PC y realizar tareas sin tener que ejecutarse continuamente. Si su PC está infectada con un virus, verá tareas de aplicaciones desconocidas en el Programador de tareas.

Busque “programador de tareas” en la búsqueda de Windows y abra la aplicación Programador de tareas. En el panel izquierdo, abra Programador de tareas (local) -> Biblioteca del Programador de tareas . Busque carpetas extrañas o sospechosas que no sean Microsoft. Si encuentra alguna carpeta, haga clic derecho en la tarea y seleccione Propiedades.

En Propiedades , revise las pestañas Desencadenadores y Acciones para descubrir qué hace la tarea y cuándo se ejecuta, lo que debería ser suficiente para saber si es incorrecta. Por ejemplo, si la tarea ejecuta una aplicación o un script desconocido al iniciar sesión o cuando el sistema está inactivo, la tarea podría ser maliciosa.

Si no encuentra la tarea sospechosa, puede que quiera buscar en Microsoft. Es posible que haya malware sofisticado escondido en las carpetas del sistema. Busque tareas que parezcan sospechosas, como tener nombres genéricos como "systemMonitor" o nombres mal escritos. Afortunadamente, no tendrás que investigar cada tarea, ya que la mayoría estarán creadas por Microsoft Corporation, lo que se puede ignorar sin problemas.