Tecnologías en palabras simples

Descubre si alguien tiene acceso remoto a tu PC con Windows

hombre sospechoso accediendo a una página de inicio de sesión con una laptop en la mesa

Uno de los tipos más peligrosos de malware está diseñado para obtener acceso remoto a la PC de una víctima, como los Troyanos de Acceso Remoto (RATs) y los rootkits a nivel de kernel. Operan en silencio, lo que dificulta su detección. Si te preocupa si alguien tiene acceso remoto no autorizado a tu PC con Windows, aprende cómo confirmar y eliminar la amenaza.

Señales de advertencia de que alguien tiene acceso a tu PC

Aunque la mayoría de los intentos de acceso remoto son silenciosos, vienen con algunas señales de advertencia. Aunque estas señales podrían verse como problemas comunes de Windows, combinadas, pueden ser una prueba sólida de actividad de acceso remoto.

  • Actividad inusual del mouse/teclado: si tu cursor se mueve erráticamente o se escribe texto sin tu intervención, podría ser obra de una herramienta remota. Incluso cuando no se controla activamente, estas herramientas pueden causar problemas como el salto/teletransporte del cursor. Esta señal también puede funcionar como una confirmación si el mouse y el teclado comienzan a ejecutar tareas como acceder a la barra de direcciones del navegador e ingresar una dirección web.
  • Programas abriéndose y cerrándose solos: un hacker también podría enviar comandos para abrir aplicaciones específicas (como antivirus o el Símbolo del sistema) para controlar aún más el sistema o deshabilitar funciones de seguridad. Si notas que los programas se abren y cierran solos, es una señal de alerta.
  • Creación de nuevas cuentas de usuario desconocidas: algunos actores maliciosos pueden intentar crear cuentas secundarias para tener acceso persistente incluso después de ser detectados. Probablemente deshabilitarán el cambio de usuario para ocultar las cuentas de la pantalla de bloqueo. Ve a Configuración de Windows -> Cuentas, y busca cuentas secundarias en las secciones Familia y Otros usuarios.

Opciones de cuentas en la Configuración de Windows 11

  • Rendimiento repentinamente lento: la actividad de control remoto también consume muchos recursos, por lo que puedes notar una caída repentina en el rendimiento. Esto es especialmente importante si las caídas de rendimiento ocurren ocasionalmente debido a la actividad de control remoto.
  • El escritorio remoto de Windows se habilita solo: el escritorio remoto de Windows es bastante vulnerable, por lo que los hackers a menudo lo utilizan para crear una conexión remota. Está deshabilitado por defecto, así que si se activa sin tu intervención, podría ser obra de un hacker. En la Configuración de Windows, ve a Sistema -> Escritorio remoto y verifica si se ha habilitado.

Escritorio remoto deshabilitado en la Configuración de Windows

Cómo confirmar que tu PC está siendo accedida de forma remota

Si notas las señales anteriores, toma las medidas necesarias para confirmar la sospecha. Puedes rastrear la actividad de los componentes/aplicaciones involucrados en el proceso de acceso remoto para confirmar que alguien está accediendo a tu PC con Windows. Los siguientes son algunos de los métodos más confiables:

Verifica los registros del Visor de eventos de Windows

El Visor de eventos de Windows es una excelente herramienta integrada para rastrear la actividad del usuario y ayudar a detectar intentos de acceso remoto al rastrear la actividad de RDP y los registros de inicio de sesión.

Busca “visor de eventos” en la búsqueda de Windows y abre el Visor de eventos.

Ve a Registros de Windows -> Seguridad, y haz clic en la pestaña ID de evento para ordenar los eventos por ID. Busca todos los eventos con ID 4624, y verifica sus detalles para asegurarte de que no haya eventos con Tipo de inicio de sesión 10. El ID de evento 4624 es para intentos de inicio de sesión, y el Tipo de inicio de sesión 10 corresponde a inicios de sesión remotos utilizando servicios de acceso remoto, que los hackers pueden usar.

Visor de eventos de Windows mostrando el ID de evento

También puedes buscar el ID de evento 4778, ya que muestra la reconexión de sesión remota. La página de detalles de cada evento te dirá detalles de identificación importantes, como el nombre de la cuenta o la dirección IP de la red.

Rastrear el tráfico de red

El acceso remoto depende de la conexión de red, por lo que rastrear el tráfico de red es una forma confiable de detectarlo. Te recomendamos usar la versión gratuita de GlassWire para esto, ya que ayuda a rastrear y defender automáticamente contra conexiones maliciosas.

En la aplicación GlassWire, verás todas las conexiones de aplicaciones en la sección GlassWire Protect. La aplicación calificará automáticamente las conexiones y marcará las conexiones no confiables. En la mayoría de los casos, debería ser capaz de detectar conexiones remotas maliciosas y advertirte.

Sección de calificación de Glasswire en la interfaz principal

Más allá de los algoritmos de la aplicación, también puedes buscar pistas como un alto uso de datos de una aplicación desconocida. La conexión remota utiliza datos de forma continua, por lo que debería ser fácil de detectar.

Revisa las tareas programadas

Muchos intentos de acceso remoto se gestionan utilizando la herramienta Programador de tareas en Windows. Esto les ayuda a persistir a través de reinicios de PC y ejecutar tareas sin necesidad de ejecutarse continuamente. Si tu PC está infectada, deberías ver tareas de aplicaciones desconocidas en el Programador de tareas.

Busca “programador de tareas” en la búsqueda de Windows y abre la aplicación Programador de tareas. En el panel de la izquierda, abre Programador de tareas (Local) -> Biblioteca del programador de tareas. Busca cualquier carpeta desconocida o sospechosa que no sea de Microsoft. Si encuentras alguna, haz clic derecho en la tarea y selecciona Propiedades.

Menú de propiedades de tarea en el Programador de tareas de Windows

En Propiedades, revisa las pestañas Desencadenadores y Acciones para aprender qué hace la tarea y cuándo se ejecuta, lo que debería ser suficiente para entender si es mala. Por ejemplo, si la tarea ejecuta una aplicación o script desconocido al iniciar sesión o cuando el sistema está inactivo, podría ser con fines maliciosos.

Pestañas de Desencadenadores y Acciones de Propiedades de tarea

Si no encuentras tareas sospechosas, puede que quieras echar un vistazo a la carpeta de Microsoft. Existe la posibilidad de que un malware sofisticado se esté ocultando en las carpetas del sistema. Busca tareas que parezcan sospechosas, como tener nombres genéricos como “systemMonitor” o nombres mal escritos. Afortunadamente, no tendrás que investigar cada tarea, ya que la mayoría tendrá como autor a Microsoft Corporation, que son seguras de omitir.

Cómo detener el acceso remoto y asegurar tu PC

Una vez que hayas confirmado que alguien tiene acceso remoto a tu PC con Windows, tu primer paso debe ser desconectarte de Internet para que no puedan causar más daños. Tu prioridad debe ser el control de daños en lugar de deshacerte de la amenaza. Por lo tanto, utiliza otro dispositivo para restablecer las contraseñas de cuentas importantes, como correo electrónico, cuentas financieras, cuentas de redes sociales, etc. Además, asegúrate de respaldar datos importantes.

Sigue los métodos a continuación para deshacerte del malware de acceso remoto:

Ejecuta un escaneo fuera de línea de Microsoft Defender

Si tu sistema de seguridad no puede detectar o proteger contra este ataque de acceso remoto, podría ser malware avanzado, como rootkits o bootkits. El escaneo fuera de línea de Microsoft Defender podría ayudarte. Escaneará tu PC durante el inicio en un entorno seguro y mínimo para encontrar malware cuando esté inactivo.

Para ejecutar el escaneo, busca “seguridad de Windows” en la búsqueda de Windows y abre la aplicación Seguridad de Windows.

Ve a Protección contra virus y amenazas -> Opciones de escaneo, selecciona Microsoft Defender Antivirus (escaneo fuera de línea) y haz clic en Escanear ahora.

Ejecutando escaneo fuera de línea de Windows Defender

Esto reiniciará tu PC y ejecutará un escaneo completo del sistema. Si se encuentran amenazas, estarán en la sección Historial de protección de la aplicación Seguridad de Windows.

Deshazte de programas sospechosos

Ya sea que el escaneo detecte algo o no, deberías hacer una auditoría manual de los programas para asegurarte de que no tengas un programa desconocido actuando como puerta de entrada. En la Configuración de Windows, ve a Aplicaciones -> Aplicaciones instaladas, y busca cualquier aplicación que no sea parte de Windows y que no recuerdes haber instalado. Además, deshazte de aplicaciones de acceso remoto que podrían estar comprometidas, como TeamViewer, AnyDesk, VNC, Chrome Remote Desktop, etc.

Es posible que una extensión de navegador maliciosa sea la causa. Asegúrate de revisar todas las extensiones y desinstalar las extensiones sospechosas.

Bloquea puertos de acceso remoto entrantes en el firewall

Si no accedes remotamente a tu PC ni recibes asistencia de nadie, puedes bloquear puertos comunes entrantes para conexiones remotas en el firewall. Esto bloquea las conexiones remotas entrantes pero te permite controlar otros dispositivos si es necesario.

Busca “firewall de Windows Defender” en la búsqueda de Windows y abre la aplicación Firewall de Windows Defender con seguridad avanzada.

Selecciona Reglas de entrada -> Nueva regla, luego Puerto -> Siguiente. Selecciona TCP y proporciona uno de los números de puerto que se enumeran a continuación.

  • 3389 (Escritorio remoto de Windows)
  • 5900 (Computación en red virtual)
  • 5938 (TeamViewer)
  • 6568 (AnyDesk)
  • 8200 (GoToMyPC)

Crear regla de entrada en el Firewall de Windows

Selecciona Bloquear la conexión, y completa la configuración para crear las reglas. Asegúrate de darle un nombre claro a la regla para que puedas identificarla más tarde. Repite este proceso para cada puerto que desees bloquear.

Haz una instalación limpia de Windows si es necesario

Si nada está funcionando, o no quieres correr riesgos, hacer una instalación limpia de Windows es otra opción. Es extremadamente raro que el malware sobreviva tanto a un escaneo de antivirus fuera de línea como a una instalación limpia del sistema operativo. Sin embargo, tendrás que respaldar tus datos importantes, ya que una instalación limpia eliminará todos los datos de tu PC.

Consulta nuestra guía sobre cómo realizar una instalación limpia de Windows para aprender todos los pasos para instalar Windows de manera segura.

Nunca corras riesgos si sospechas sobre el acceso a tu PC, ya sea acceso remoto o local. Tal control siempre se escala a problemas de seguridad más grandes. Por supuesto, es mejor prevenir que lamentar, así que asegúrate de usar estas configuraciones de seguridad de Windows y opciones avanzadas de Windows Defender.

Crédito de la imagen: Vecteezy. Todas las capturas de pantalla por Karrar Haider.

Contenido

  1. Señales de advertencia de que alguien tiene acceso a tu PC
  2. Cómo confirmar que tu PC está siendo accedida de forma remota
  3. Verifica los registros del Visor de eventos de Windows
  4. Rastrear el tráfico de red
  5. Revisa las tareas programadas
  6. Cómo detener el acceso remoto y asegurar tu PC
  7. Ejecuta un escaneo fuera de línea de Microsoft Defender
  8. Deshazte de programas sospechosos
  9. Bloquea puertos de acceso remoto entrantes en el firewall
  10. Haz una instalación limpia de Windows si es necesario
Panel de control de Ello

Ello: Explorando la Red Social Privada

Bitdefender No se Instala: 3 Soluciones Fáciles que Puedes Usar

Más sobre las soluciones de Bitdefender

Google elimina Inbox y le da seis meses de vida

aspect-ratios-16x9

Entendiendo las relaciones de aspecto de video

Administrador de Archivos con Etiquetas para Organizar tus Archivos: Top 5

Arreglar wake on LAN no funcionando

Wake On LAN No Funciona en Windows [Solucionado]

easycap-mac-mspacman-console

Usando EasyCAP para Capturar VHS y Consolas en el Mac

Google prueba una nueva función de Chrome para la elegibilidad de actualización a Windows 11