No es la primera vez que en Informática64 recibimos una llamada de alguien que cree que le están accediendo al equipo y le están leyendo los documentos. Suelen comenzar las sospechas porque notan que se han movido archivos de sitio o porque el correo electrónico aparece como leído cuando ellos no lo habían hecho aún. Es entonces cuando se produce ese momento de paranoia que a nadie le gusta sentir. En esos caso lo mejor es hacer un análisis forense del equipo para descubrir qué ha pasado allí en el último periodo de tiempo de uso de ese equipo. En ese momento se revisan logs, eventos, se buscan usuarios con cuentas ocultas, malware instalado en la máquina y/o software de control remoto que pueda estar instalado en la máquina., Sin embargo, hay uno de los espionajes más difíciles de detectar: El que se produce por la misma cuenta de usuario por un amigo/familiar/compañero de trabajo con acceso al equipo de la persona. En esos casos, el atacante ha podido robar la contraseña y lo único que está haciendo es entrar con la sesión del usuario revisar, tranquilamente, la información almacenada por esa cuenta en el sistema. Encontrar las pistas que indiquen que está pasando eso es complicado, ya que el analista no conoce los tiempos y fechas en los que el usuario ha hecho un inicio de sesión para poder contrastarlo con los inicios de sesión registrados en la máquina. No obstante, tras las recomendaciones previas de analizar el equipo en busca de malware, revisar las cuentas de usuario del sistema, las herramientas de administración y de cambiar la password, lo siguiente que recomendamos es activar la auditoría de accesos a ficheros y registrar los inicios de sesión, para ver las fechas de acceso. No será la primera vez que se detecta de esta forma que un administrador, extralimitándose de sus funciones, hace uso de sus privilegios administrativos para acceder a documentos privados de un usuario en su carpeta. Auditoría de acceso a objetos en Windows En los sistemas Windows, haciendo uso de las políticas se puede habilitar la auditoría de acceso a ficheros, basta con abrir gpedit.msc y activar la auditoría. Figura 1: Auditoría de acceso a objetos Por defecto viene desactivada, así que hay que establecer si se quiere activar cuando se produce un acceso con éxito o sin éxito a un objeto. Por supuesto, si hay paranoia, lo mejor es auditar todos los eventos y revisar los intentos de acceso a nuestros archivos. Figura 2: Opciones de auditoría Una vez configurada la auditoría, hay que actualizar la política con gpupdate /force y pasar a configurar de qué objetos queremos auditar sus accesos. En este caso he creado una carpeta que se llama importante, y en ella, entrando en Seguridad, Opciones Avanzadas, Auditoría (se requiere elevación de privilegios), he seleccionado que se audite el uso de cualquier privilegio sobre esta carpeta. Figura 3: Activación de auditoría de acceso a objetos a nivel de objeto Así, en el momento en que un usuario o servicio toque esa carpeta, se va a generar un registro de sucesos que podremos ver con el Visor de Eventos. Para que sea más cómodo de revisar es mejor crear una vista personalizada para los sucesos de auditoría que nos permitirá saber qué usuario, a qué hora y con qué programa accedió a esos documentos. Figura 4: Vista personalizada de auditoría en Visor de Eventos Después, basta con seleccionar esa vista personalizada y revisar los eventos que se han ido generando para saber quién estuvo accediendo a esos ficheros y a qué hora. Figura 5: Registro de accesos a objetos Por supuesto, si el atacante entra con nuestra cuenta, siempre podrá borrar todos los eventos del sistema, por lo que si se sospecha que el atacante pudiera realizar esto, lo mejor es automatizar una tarea de envío del evento por correo electrónico en el momento en que se produzca, haciendo uso de la ejecución de tareas automáticas que permite el Visor de Eventos.