esto fue lo que hizo mal

Cuanto más evoluciona el malware, incluso resulta decano la probabilidad de que los usuarios tomen decisiones peligrosas movidos por la error de información. Cada poco tiempo, los principales foros de Internet nos dan ejemplos muy reales de esto.

Uno de los últimos que hemos pasado ha sido en Reddit, donde un beneficiario relató su (muy negativa) experiencia tras instalar una traducción de Windows descargada desde un sitio no oficial llamado Windowstan: lo que parecía una decisión rápida para evitar actualizaciones no deseadas terminó traduciéndose en la instalación de un sistema activo profundamente manipulado por potenciales ciberatacantes.

¿Qué ocurrió? Un síntesis del caso

El beneficiario de Reddit No-Perception-2862 compartió su experiencia tras instalar una ISO de Windows 10 descargada desde Windowstan.com, un sitio web que se presenta como un repositorio de balde de sistemas operativos. El motivo de esta votación fue querer desactivar las actualizaciones automáticas del sistema, poco que muchas veces no es sencillo con versiones recientes.

Poco luego de la instalación, comenzó a notar comportamientos anómalos:

• Chrome se abría solo y lanzaba múltiples ventanas con sitios desconocidos.
• Herramientas como Autoruns mostraban entradas alrededor de archivos que no existían.
• Las actualizaciones instaladas tenían marcas de tiempo idénticas y referencias a KBs falsos.
• El visor de eventos carecía de opciones básicas como el 'Administrador de control de servicios'.

Aunque antivirus como Malwarebytes no detectaron amenazas, la acumulación de señales extrañas lo llevó a una conclusión dialéctica: el sistema activo estaba profundamente manipulado/infectado.

La raíz del problema: ISOs modificadas

Windowstan, como otros sitios similares, ofrece versiones "preactivadas", "modificadas" u "optimizadas" de Windows. Estas ISOs a menudo:

• Eluden el proceso de activación legítima de Microsoft.
• Alteran servicios internos de Windows.
• Incluyen cambios ocultos en el registro o el sistema.
• Cuentan con puertas traseras, a través de las cuales se pueden introducir diversas clases de malware.

Estas modificaciones pueden ser imperceptibles para los usuarios promedio, y hasta para antivirus tradicionales si son lo suficientemente sofisticadas. Ten en cuenta que los programas antimalware no están pensados para que el propio sistema activo sobre el que se ejecutan sea, a mercadería prácticos, parte del malware.

Es cierto que, como destacaron varios usuarios en Reddit, modificar un sistema activo para que funcione de forma estable, pase por acreditado, y encima incluya funciones maliciosas sin ser detectado por antivirus, es complicado… pero no inverosímil.

A menudo, las infecciones vienen de otras fuentes (como extensiones de navegador o ejecutables externos), pero en este caso, la suma de detalles sugiere una altercado profunda.

¿Por qué el beneficiario recurrió a esa web en particular?

"Era el primer resultado que se me mostraba en la búsqueda de Google. No soy muy ducho en tecnología [...] tenía la impresión de que los resultados 'top' significan que son páginas web de confianza. Parece que no es necesariamente el caso, y tuve que aprenderlo a las malas".

Lecciones secreto del caso

1. Nunca descargues Windows desde sitios que no sean oficiales. Microsoft ofrece ISOs gratuito desde su sitio oficial o mediante herramientas como Media Creation Tool o UUPDump.net, que permiten personalizar instalaciones con parches y versiones.
2. Verifica los checksums (hashes). Cada ISO de Windows legítima tiene un hash único. Puedes usar herramientas especificas para verificarlo.
3. Desactivar actualizaciones no es una decisión segura. Windows permite diferirlas en versiones Pro o Enterprise sin poner en aventura la seguridad del sistema: atenerse a usar versiones sin parchear supone abrirle la puerta a todo tipo de vulnerabilidades conocidas por los atacantes.
4. Las apariencias engañan: El hecho de que una página esté en los primeros resultados de Google no significa que sea fiable. Los anuncios patrocinados y técnicas de SEO pueden posicionar sitios peligrosos en posiciones muy visibles.

Cómo conocer que estás usando una traducción segura de tu sistema activo

• Descarga solo desde servidores de Microsoft
• Verifica los hashes en bases de datos como Heidoc.net o Visual Studio Downloads si tienes entrada.
• Utiliza antivirus complementarios encima del propio Windows Defender.
• Mantén tu sistema actualizado.
• No confíes en cualquier 'optimizador' o en activadores no oficiales.

¿Y qué ocurre con los 'Windows lite', 'TinyOS' o similares? Estas versiones suelen eliminar componentes críticos del sistema que afectan la estabilidad o seguridad, aunque eso les haga parecer más rápidas u 'optimizadas'. Yo mismo he explicado ayer que uso una traducción 'customizada' de Windows, pero una de fuentes reputadas y cuyas modificaciones son comprobables (el script es open source); aun así, sólo debe estar de moda si sabes aceptablemente lo que estás haciendo.

¿Qué medidas tomar si ya metiste la pata?

Si instalaste una traducción de Windows desde una fuente no oficial y sospechas de su licitud y/o seguridad, sigue estos pasos:

1. Desconéctate de Internet.
2. No introduzcas contraseñas ni datos personales.
3. Formatea completamente tu disco.
4. Reinstala Windows desde una ISO legítima.
5. Flashea la BIOS solo si tienes evidencia concreta de una infección persistente (lo cual es extremadamente raro)
6. Cambia todas tus contraseñas, en específico las de correo, redes sociales y banca.
7. Revisa los dispositivos conectados a tu red. Restablecer el firmware de tu router incluso puede ser una buena idea.

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo descargar una imagen ISO de Windows 11 final para instalar de cero 

En 3DJuegos PC | Esta es la historia de Windows, desde 1985 hasta W11. Cómo el sistema operativo de Microsoft ha evolucionado con los años