sábado, 10 de abril de 2010

12: Mantenimiento preventivo

Ya sea que nunca se haya contraído una infección informática o que se haya eliminado una infección de esta índole mediante los procedimientos mostrados ya sea en este trabajo o en otros, es importante estar preparado para un nuevo asalto, en la inteligencia de que los criminales que se dedican a elaborar estos infectores maliciosos ya sea por maldad o para estafar a mucha gente robándole su dinero están mejorando constantemente su obra volviendo cada vez más difícil sacarlos fuera de una máquina infectada. Es por ello que no está por demás tomar algunas precauciones como las que se indican a continuación.

1) La primera línea de defensa consiste en tener al alcance de la vista el módem con el cual la computadora es conectada a Internet en lugar de tenerlo escondido en algún lugar en donde no se le puede ver. Generalmente, los modems tienen una serie de foquitos LED, y el parpadeo de uno de ellos nos puede indicar que se está recibiendo información en la computadora desde Internet (lo cual puede ser sintomático de un virus informático que está siendo descargado sobre la máquina sin el consentimiento del usuario) o que se está enviando información desde la computadora hacia Internet (lo cual puede ser sintomático de una actividad de espionaje sobre la máquina que está siendo llevada a cabo posiblemente desde otra parte del mundo). No todas las transacciones de comunicaciones que se llevan a cabo espontáneamente entre una máquina e Internet tienen necesariamente una connotación maliciosa. Si el usuario tiene activada la opción de actualizaciones automáticas de su sistema operativo Windows, entonces es posible que su máquina empiece súbitamente por cuenta propia una transacción mediante la cual comenzará a descargar alguna actualización o tal vez un parche de seguridad desde Microsoft, lo cual no tiene nada de malo, aunque en este tipo de casos se le avisará al usuario de lo que está sucediendo con un pequeño escudo amarillo que aparecerá en la barra de tareas en el extremo derecho. Y de vez en cuando el foquito LED del módem parpadeará sin que haya parpadeo alguno en el foquito LED que indica actividad en el disco duro de la computadora, lo cual será simplemente una confirmación de que la conexión entre la computadora y el servidor del proveedor de servicios de Internet está siendo verificada. Lo que debe preocuparle al usuario es el inicio súbito de una transacción de comunicaciones sin que el usuario haya iniciado una acción de descarga previa o sin que tenga algún programa que se esté ejecutando en esos momentos (como el Messenger). Es una situación así en la cual es necesario tener puesto un ojo en los foquitos LED del módem y en el foquito LED de la computadora que indica actividad de lectura o grabado en el disco duro. Si tanto en el módem como en la computadora estos foquitos están parpadeando y si el usuario no tiene en esos momentos iniciado un programa de descarga o un programa de actualización ejecutándose, entonces deberá tener motivos para estar preocupado. Si encima de esto, el cursor en la pantalla se “congela” sin moverse a la par con los movimientos del ratón o moviéndose con lentitud extraordinaria, entonces habrá razones de sobra para aumentar los niveles de preocupación (cuando se está descargando a través de Internet un infector como Spyware Protect 2009, el infector dá a su descarga sobre la máquina una prioridad absoluta inclusive por encima del cursor y el movimiento del ratón para vaciar su contenido a la mayor brevedad posible, ya que si el programa no es descargado en su totalidad entonces el proceso de infección habrá sido inútil). Si esto sucede, hay que desconectar de inmediato el cable telefónico que va de la computadora a la línea telefónica (o el cable coaxial, o en su caso, el drive USB utilizado para conectar la computadora a Internet mediante conexión inalámbrica), lo cual bastará para detener el proceso de infección. Otra alternativa consiste en apagar la máquina de inmediato aunque al encenderla de nuevo el sistema operativo Windows “castigue” al usuario por no haber apagado la máquina correctamente desde Windows.

2) Es necesario familiarizarse con los programas que son echados a andar cuando la computadora es encendida, los cuales se pueden ver con la ayuda de la pestaña de “Inicio” de la “Utilidad de configuración del sistema” accesible mediante la línea de “Ejecutar...” con la cual se echa a andar el programa msconfig en la manera descrita en otras entradas de este trabajo, y es recomendable hacer de allí mismo una lista de los programas que están siendo echados a andar durante el encendido de la máquina. Esto permite repasar de vez en cuando la lista de los programas que están corriendo desde el inicio, y si se llega a ver una línea nueva que nunca antes había estado presente allí, sobre todo cuando no se han instalado programas nuevos en la máquina, hay razones para sospechar de que está por ser lanzado un ataque a la máquina.

3) Es recomendable activar de vez en cuando el “Administrador de tareas de Windows” con la combinación de teclas Ctrl-Alt-Del para ver tanto en la pestaña de Aplicaciones como en la pestaña de Procesos tanto las aplicaciones como los procesos que están corriendo en la máquina. Y mejor aún, se recomienda hacer una lista de todos los procesos que están corriendo todo el tiempo en la máquina en un momento dado. Si descubrimos que aparece alguna aplicación o proceso corriendo dentro de la máquina que nunca antes habíamos visto, se vuelve imperativo buscar en Internet mediante el nombre del archivo que estamos viendo correr cualquier señal de que pueda ser una nueva generación de infectores, y si nuestras sospechas se confirman se debe borrar de inmediato antes de que pueda aumentar su control sobre la máquina.

4) Se debe activar la opción para mostrar todos los archivos y carpetas ocultos desde la barra del Menú (con “Herramientas”, “Opciones de carpeta...”, y la pestaña “Ver”), y se debe estar checando frecuentemente para ver si esta opción no ha sido cambiada. Un primer síntoma inequívoco de una infección informática viral es la desactivación de la opción para mostrar todos los archivos y carpetas ocultos sin que el usuario de la computadora haya iniciado tal acción, ya que la primera prioridad de los invasores es impedir su detección al quedar expuesta su presencia.

5) Es deseable, si se puede, tener siempre a la mano otra computadora (de preferencia una laptop, tipo portátil) en caso de que la computadora principal caiga bajo el ataque de un virus informático potente. Contar con otra computadora nos permitirá conectarnos a Internet mientras eliminamos manualmente la infección en la máquina siniestrada, que al fin y al cabo la conexión a Internet no será utilizada por la máquina infectada mientras se lleva a cabo la limpieza. Esto nos permite tener acceso al amplio arsenal de información de última hora disponible en Internet que nos puede ayudar a procurar ayuda técnica para la remoción de la infección, como la información contenida en este trabajo.

6) Si se considera que algunos de los pasos que se han proporcionado en esta bitácora pueden servir como guía en la remoción de una infección informática, puede resultar conveniente guardar como archivos en el disco duro cada una de las páginas Web de las que consta este trabajo, lo cual permitirá la consulta de los materiales aún cuando la conexión a Internet haya sido inhabilitada o reducida severamente como resultado de una infección informática. Esto siempre es posible en la gran mayoría de los navegadores en uso actual.