Utilidades de control remoto se manipulan para espiar al internauta

---

VNC y Back Orifice son dos herramientas gratuitas que permiten controlar de forma remota otro equipo conectado a Internet. ¿Se imagina ver el escritorio de su ordenador de la oficina en el monitor de su casa? Podrá trabajar desde su casa como si físicamente estuviese en la oficina. Sin embargo, estos útiles programas pueden modificarse para trabajar de forma oculta y espiar así lo que se hace en otro ordenador. ¿Cuál es el límite que convierte una utilidad en un troyano? ¿Pueden utilizarse estos programas para "cazar" contraseñas de otros usuarios?



Las utilidades VNC y Back Orifice no son las únicas que permiten administrar máquinas de forma remota. También se pueden utilizar otros programas como pcAnywhere de Symantec o Carbon Copy de Compaq, previo pago de la correspondiente licencia ya que son herramientas comerciales. Las primeras se destacan por ser gratuitas y tener un código libre (licencia GNU). Es decir, cualquiera puede modificar su código para adaptarlo a sus necesidades particulares.

Pero las modificaciones pueden ser maliciosas, hasta tal punto que llegan a convertir una utilidad de administración en un programa espía que "capture" todas las contraseñas de algún ingenuo usuario. Estos programas troyanos suponen actualmente uno de los mayores riesgos de seguridad en una conexión a Internet.

¿Cómo funciona una herramienta de administración remota?

El 'software' completo consta de dos aplicaciones: una aplicación servidora, que se instala en el equipo que va a ser administrado remotamente, y un módulo cliente, que controla remotamente la aplicación servidora. En el ejemplo previo, el ordenador de la oficina sería el servidor (es el que "sirve" los datos) y el de casa, el cliente. Tanto VNC como Back Orifice, o cualquier otro software de control remoto, disponen de estos dos módulos, que se instalan en equipos distintos.



El módulo servidor habitualmente está protegido con una contraseña. Ésta debe ser introducida por el usuario cliente para conseguir hacerse con su control. Además, el cliente necesita la dirección IP (número unívoco que identifica cada una de las máquinas conectadas a Internet) del servidor. Si queremos controlar remotamente el ordenador de la oficina necesitaremos haber instalado previamente en ese equipo la aplicación servidora y además, conocer su contraseña y dirección IP (del estilo de 194.132.19.33). El equipo de la oficina estará continuamente esperando a que el de casa lo controle: permanece a la escucha de una señal que emitirá el módulo cliente.



El módulo servidor muestra un icono para indicar si está siendo controlado remotamente por otro. En el caso de VNC, el icono es blanco si permanece a la escucha o negro si el ordenador está siendo observado o controlado en ese momento.



Este tipo de programas resultan muy útiles para que los administradores de servidores puedan acceder a sus máquinas de forma remota. En su monitor aparecerá una ventana que contiene el escritorio del equipo remoto y podrán trabajar como si realmente estuviesen frente al servidor.

Un troyano se consigue con un código manipulado

¿Qué se necesita para espiar a otro usuario? En primer lugar que el ingenuo usuario ejecute la parte servidora. Es evidente, que si se le pide que haga esto nunca lo hará. Pero, en cambio, si se camufla su aspecto por algo más atractivo (por ejemplo, un salva-pantallas o un archivo con fotos comprimidas) puede que llegue a abrir el programa. En realidad, estos programas "parecen lo que no son", de ahí la denominación de troyanos como recuerdo del famoso Caballo de Troya que, con un aspecto inofensivo, escondía a decenas de soldados dispuestos a atacar la ciudad de Troya.



Este archivo troyano generalmente se lo reenvían ingenuamente unos usuarios a otros desconociendo su verdadero efecto, que es instalar en el ordenador de la víctima la aplicación servidora. A partir de ese momento, queda a la escucha de que la aplicación cliente trate de establecer comunicación.



La manipulación del código resulta muy sencilla: basta con ocultar al usuario la instalación del programa y su funcionamiento. Tocando una sencilla línea de código, el icono ya no se mostrará en el escritorio. El proceso de instalación debe realizarse también sin que la víctima lo advierta y ocultar todos los rastros que puedan identificar el verdadero objetivo del troyano.



El atacante o espía tratará de conectar con la víctima si conoce su dirección IP. Pero si la desconoce también tiene la posibilidad de escanear cientos de direcciones IP en busca de troyanos previamente instalados . Una vez que ha encontrado uno de ellos realiza la comunicación y comienza a observar a la víctima. Esta observación suele tener como objetivo el robo de contraseñas o de números de tarjetas de crédito (a medida que la víctima las va escribiendo en su ordenador, el atacante las va recibiendo en su propio equipo).

Back Orifice: más conocido como troyano que como utilidad

Según sus creadores, Back Orifice 2000 es la herramienta más potente de administración remota para entornos Microsoft. Se trata de una herramienta muy compacta, de tan sólo 1,3 MB, programada por una de las comunidades de hackers más influyentes en la Red: Cult of the Dead Cow. Quizás es su origen lo que causa desconfianza a muchos usuarios. Además es uno de los argumentos que utilizan las empresas comerciales para recomendar su producto antes que uno gratuito escrito por hackers.



Su código se ampara en la licencia GNU. Back Orifice es gratuito y se puede distribuir y modificar libremente. Es una potente herramienta de administración, optimizada para conexiones de baja velocidad, aunque también puede utilizarse, si cae en manos de usuarios maliciosos, como un software de espionaje y robo de contraseñas. Se puede descargar desde http://www.bo2k.com.



La cantidad de variantes maliciosas de este software ha producido que la mayoría de los antivirus lo reconozcan como un virus. Una visita a varias enciclopedias de virus nos mostrará algunas de sus variantes.

VNC: popular software de control remoto

Aunque VNC (Virtual Network Computing) sea únicamente conocido por los administradores de redes como una herramienta de control remoto, nada impide que se pueda modificar su código (licencia GNU). Según ha conocido esta Redacción, algunas empresas españolas lo han manipulado para vigilar a sus empleados, sin que ellos den su aprobación o tengan conocimiento. El espionaje se basa en observar lo que tiene un empleado en pantalla en un momento dado, para que el correspondiente departamento de personal evalúe si el trabajador emplea exclusivamente su jornada de trabajo en temas laborales.



Es un programa muy sencillo y compacto que muestra en una ventana el escritorio del equipo remoto y permite utilizar el teclado y ratón locales como si físicamente estuviésemos en el equipo remoto. Se puede descargar desde el sitio web de AT&T Laboratories. Al contrario que Back Orifice, que sólo funciona en entornos Windows, VNC trabaja también en distintas plataformas Unix (como Linux y Solaris) e incluso, en Macintosh.

Protegerse de troyanos

La única forma de protegerse contra programas troyanos es no abrir nunca archivos ejecutables (terminados en .EXE) de origen dudoso. Estos archivos son frecuentemente enviados por los usuarios como adjuntos de correo electrónico (o a través del IRC) a sus conocidos, ignorando el verdadero efecto que producen. Debido a que los antivirus no siempre los detectan, es el usuario el último responsable de evitar que un troyano entre a su ordenador.