BlogWonderHowTo

Cómo: configurar una nueva computadora MacOS para protegerse contra escuchas clandestinas y ransomware

Si bien las computadoras MacOS se han librado de algunos de los ataques de malware más famosos, no hay escasez de programas maliciosos escritos para ellos. Para mantener su computadora a salvo de algunos de los tipos más comunes de malware, revisaremos dos herramientas gratuitas. Estas herramientas pueden detectar automáticamente el ransomware que cifra sus archivos y vigilar el acceso no autorizado a su micrófono y cámara.

Un ex pirata informático de la NSA llamado Patrick Wardle crea estas herramientas gratuitas para MacOS diseñadas para detectar y detener programas maliciosos, incluso si este tipo de malware nunca se había visto antes. Los dos que cubriremos hoy, OverSight y RansomWhere, ambos buscan el comportamiento de programas dañinos en lugar de buscar códigos maliciosos conocidos. Por lo tanto, estos programas lo alertarán tan pronto como alguien comience a acceder a su cámara, micrófono o comience a cifrar archivos.

Amenazas para MacOS

Para el usuario medio de MacOS, algunas amenazas a la seguridad son más graves que otras. El ransomware es un tipo de malware particularmente desagradable, que intenta que la víctima pague al atacante cifrando todos los archivos en una computadora infectada. Para recuperar sus datos, la víctima tiene que pagarle al atacante por una clave. El rescate no solo puede ser costoso, sino que no hay garantía de que el atacante le entregue la clave después de que la pague.

Otro tipo peligroso de malware le da al atacante acceso a la cámara web y al micrófono de la víctima, lo que le permite escuchar a la víctima desde lejos. Si bien las computadoras MacOS tienen un LED que se enciende de manera predeterminada cuando la cámara está encendida, no existe tal indicador para el micrófono. Debido a esto, es común que el malware de MacOS intente escuchar por el micrófono para evitar ser detectado.

RansomWhere para MacOS

RansomWhere es una herramienta gratuita que busca comportamientos que podrían ser destructivos para su computadora, como el cifrado rápido de varios archivos. Tras la detección, el programa RansomWhere detiene el proceso que está encriptando y muestra una alerta para permitirle decidir si debe continuar o no. En un escenario en el que un programa malicioso intentaba cifrar su disco duro, se le advertirá al principio del proceso y se le preguntará si desea eliminar el programa.

Si bien a veces las actualizaciones legítimas de aplicaciones como los productos de Adobe pueden desencadenar esto, las matemáticas inteligentes en segundo plano pueden mantener bajos los falsos negativos al poder discernir entre el cifrado y la compresión de archivos. Una vez que RansomWhere detecta un programa que cifra más de tres archivos rápidamente, su decisión de dejar que continúe o no se guarda en una lista blanca, lo que reduce aún más los falsos positivos.

Realice un seguimiento de las escuchas clandestinas con OverSight

Para los usuarios de MacOS que desean monitorear si algún programa está accediendo a su cámara web o micrófono, OverSight le permite supervisar estos dispositivos y alertarlo sobre cualquier violación de su privacidad. Al dar visibilidad al micrófono tanto como a la cámara, es fácil detectar un programa que accede al micrófono que no debería estar y bloquearlo. La regla general es que si descubre programas aleatorios que de repente le piden acceso a su micrófono y cámara, probablemente tenga un problema en su computadora que valga la pena seguir investigando.

Más que un monitoreo en vivo, OverSight también crea registros de qué programas accedieron a estos dispositivos y cuándo, junto con si decidió permitir o bloquear su uso. El registro le permite volver a buscar actividad sospechosa si le preocupa que alguien con acceso físico a su computadora instale un programa para acceder a su micrófono.

Consigamos estos programas instalados y funcionando en nuestra nueva Mac.

Lo que necesitarás

Para instalar estas herramientas gratuitas de Objective-see, solo necesitará una computadora MacOS, un navegador y una conexión a Internet. Puede encontrarlos todos en la sección de productos de el sitio web 0bjective-see.

Paso 1: Descarga RansomWhere

Primero, dirígete a la página web principal de RansomWhere en Objective-See.com. A partir de ahí, podemos leer mucho más sobre cómo funciona. Si desea obtener más información sobre el proceso de desarrollo y todo lo que RansomWhere fue diseñado para hacer, puede lee la publicación del blog que escribió Patrick sobre su creación.

Haga clic en “Descargar” justo debajo del logotipo de la clave para comenzar a descargar el programa. Una vez descargado, puede hacer doble clic en la descarga para descomprimir el instalador y luego hacer clic para abrirlo.

Paso 2: instalar y configurar RansomWhere

La instalación de RansomWhere es muy sencilla. Cuando se abra el programa de instalación, deberá escribir su contraseña para otorgarle permiso al instalador para instalar el programa. A continuación, haga clic en “Instalar” para ejecutar el proceso de instalación.

Una vez que veamos el cuadro de diálogo de que RansomWhere se ha instalado correctamente, ¡hemos terminado! A menos que queramos probar el programa, podemos continuar con la instalación de OverSight.

Paso 3: (OPCIONAL) Prueba con Python3 Ransomware Simulator

Si desea probar RansomWhere, puede ejecutar un programa que actúa como ransomware para ver si funciona. En mi ejemplo, creo un programa Python para cifrar cualquier archivo PNG que quede en la misma carpeta.

Para probar esto, abra una ventana de terminal y escriba los siguientes comandos para crear una carpeta llamada “GenEncrypt” en su carpeta de inicio.

cd
mkdir GenEncrypt
cd GenEncrypt/
nano RealBadFile.py

Ahora, copie y pegue el código Python a continuación en la ventana, y presione ctrl + xy luego “Y” cuando haya terminado para terminar de escribir en el archivo.

import pyAesCrypt
import os

counter = 0
def encryptDat(victimFile, counter):
    # encryption/decryption buffer size - 64K
    bufferSize = 64 * 1024
    password = "tunnelsnakesrule"
    # encrypt
    pyAesCrypt.encryptFile(victimFile, victimFile + (str(counter+1)) + ".aes", password, bufferSize)
    counter += 1
counter = 0
current = os.getcwd()
for file in os.listdir(current):
    if file.endswith(".png"):
        victimFile = os.path.join(current, file)
        encryptDat(victimFile, counter)
print("Done!")

Cuando escribes ls, debería ver el archivo de Python “RealBadFile.py”.

¡Este código Python3 cifrará todos los archivos PNG en la misma carpeta con cifrado AES! Para probar esto, agregue al menos 3 archivos .PNG (intente tomar una captura de pantalla para crear algunos). Ahora, en una ventana de terminal, escriba lo siguiente para ejecutar el programa.

pip install pyAesCrypt
python3 RealBadFile.py

Siempre que el script haya cifrado al menos 3 archivos, debería ver una advertencia como la siguiente. En MacOS Catalina, es posible que deba habilitar las notificaciones de RansomWhere para obtener estas ventanas emergentes.

Puede hacer clic en “Terminar” para detener el proceso de cifrar más archivos. ¡Muy genial!

Paso 4: Descarga OverSight

Para descargar OverSight, diríjase a la página de OverSight en Objective-See.com para leer más sobre esto y ubicar el enlace de descarga.

Haga clic en “Descargar” debajo del icono en la parte superior izquierda para descargar el instalador, y luego haga doble clic en el archivo cuando haya terminado de descargarse para descomprimirlo y luego haga doble clic para iniciar el instalador. Ingrese su contraseña para que el programa tenga permiso de instalación y luego haga clic en “Instalar” para configurar OverSight.

Una vez que OverSight esté instalado, abra un programa que necesite acceso a la cámara, como Photo Booth. Debería ver una alerta, que le permite decidir si permite el acceso a la cámara o no. En MacOS Catalina, deberá habilitar las notificaciones para que OverSightHelper reciba estas alertas.

Paso 5: establecer preferencias y bloquear solicitudes no deseadas

Para configurar OverSight, haga clic en el icono de paraguas en la barra de tareas y luego haga clic en preferencias. También notará que esto mostrará el estado actual del micrófono y la cámara.

En el menú de preferencias, puede establecer si ejecutar OverSight al iniciar sesión, si se registra la actividad y varias otras opciones.

Si hace clic en “Administrar reglas”, se lo dirigirá a la lista blanca de la aplicación. Esta lista muestra todas las aplicaciones a las que se les permite usar estos dispositivos sin permiso, y puede revocar el permiso de cualquiera de ellos haciendo clic en la “x” a la derecha de la aplicación.

Ahora, deberíamos estar configurados para detectar cuándo cualquier programa accede a nuestros dispositivos en tiempo real.

Paso 6: revise los registros para ver cuándo se han activado los dispositivos

Además de las notificaciones de monitoreo en vivo, también puede regresar para ver si algún programa ha estado accediendo a su micrófono o cámara. Al hacer clic en el enlace “(ver)” después de “Registrar actividad” en el menú de preferencias, puede ver un historial completo de acceso a ambos dispositivos.

Con esta información, ahora tenemos acceso completo a los detalles de qué programas se están conectando a nuestra cámara y micrófono, y cuándo lo hicieron.

Bloquear su MacOS no es difícil

Si bien la lucha contra el malware puede parecer abrumadora para el usuario promedio de MacOS, es fácil ser inteligente a la hora de detectar y detener el malware en sus pistas si buscamos un mal comportamiento en nuestro sistema. Gracias a OverSight y RansomWhere, podemos detectar el mal comportamiento y detenerlo antes de que se agrave, e incluso revelar malware que nunca antes se había visto detectando lo que hace.

Espero que haya disfrutado de esta guía para bloquear su computadora MacOS con RansomWhere y OverSight de Objective-See. Si tiene alguna pregunta sobre este tutorial sobre cómo proteger MacOS o tiene un comentario, pregunte a continuación o no dude en comunicarse conmigo en Twitter. @KodyKinzie.

Foto de portada de Benjawan Sittidech / 123RF; Capturas de pantalla de Kody / Null Byte

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Mira también
Cerrar
Botón volver arriba
Cerrar