Troyano: qué es en informática, qué hace, ejemplo, malware
Un Troyano es un programa de informática que produce operaciones malintencionadas sin el conocimiento del usuario.
¿Qué es un troyano en informática?
El nombre "Troyano" proviene de una leyenda contada por los griegos en la Ilíada (escrita por Homero) sobre el bloqueo de la ciudad de Troya. Según la leyenda, a los griegos, que no lograban traspasar las defensas de la ciudad de Troya, se les ocurrió la idea de abandonar el bloqueo y, en cambio, entregar una ofrenda a la ciudad: el regalo consistía en un caballo de madera gigante.
Los habitantes de Troya (Troyanos) aceptaron el regalo aparentemente inofensivo sin sospechar nada, y lo introdujeron dentro de los muros de la ciudad. Pero el caballo estaba lleno de soldados que esperaron a que la población se durmiera para salir del interior del caballo, abrir las puertas de la ciudad para facilitar la entrada del resto del ejército.
Volviendo al campo de la informática, se denomina Troyano a un programa oculto dentro de otro que ejecuta comandos furtivamente y que, por lo general, abre el acceso al ordenador y lo opera abriendo una puerta trasera. Por esta razón, a veces se lo conoce como Troyano por la analogía con los ciudadanos de Troya.
Similar a un virus, un Troyano es un código malicioso que se encuentra en un programa sano (por ejemplo, un comando falso para crear una lista de archivos que los destruye en lugar de mostrar la lista). Un Troyano puede, por ejemplo:
- Robar contraseñas
- Copiar fechas confidenciales
- Realizar cualquier otra operación maliciosa
- Y aún peor, este programa puede crear una infracción intencional de seguridad dentro de la red para que los usuarios externos puedan acceder a áreas protegidas de esa red.
Los Troyanos más comunes abren puertos en la máquina que permiten al diseñador tener acceso al ordenador a través de la red abriendo una puerta trasera. Por esta razón se usa frecuentemente el término puerta trasera u orificio trasero. Es difícil detectar este tipo de programas ya que se debe determinar si la acción realizada por el Troyano es deseada o no por el usuario.
 |
Un Troyano no es necesariamente un virus porque su objetivo no es reproducirse para infectar otras máquinas. Además, algunos virus también pueden ser Troyanos. ¡Es decir, se diseminan como tales y abren puertos en máquinas infectadas! |
¿Cuáles son los síntomas de infección?
La infección de un Troyano generalmente aparece después de abrir un archivo contaminado que contiene el Troyano (consulte el artículo acerca de cómo protegerse de los gusanos) y la infección es evidente por los siguientes síntomas:
- Actividad anormal del módem, adaptador de red o disco duro: los datos se cargan aunque el usuario no registre actividad.
- Reacciones extrañas del ratón.
- Programas que se abren en forma inesperada.
- Bloqueos repetidos.
¿Cómo funciona un Troyano?
Debido a que generalmente un Troyano intenta (y cada vez con más frecuencia) abrir un puerto en la máquina para que un hacker pueda controlarla (por ejemplo, mediante el robo de datos personales almacenados en el disco duro), el primer objetivo del hacker es infectar la máquina obligando a abrir un archivo infectado que contiene el Troyano y, luego, acceder a la máquina a través del puerto abierto. Sin embargo, para poder infiltrar la máquina, el hacker usualmente conoce su dirección de IP. Entonces:
- Usted puede tener una dirección de IP asignada (como ocurre con las empresas, personas que tienen una conexión por cable o similar, etc.), en ese caso esa dirección de IP se puede averiguar fácilmente,
- o puede tener una dirección de IP dinámica (reasignada cada vez que se conecta), como en el caso de las conexiones por módem. En este caso, el hacker debe analizar la dirección IP aleatoriamente para detectar aquellas que corresponden a máquinas infectadas.
¿Cómo protegerse contra Troyanos?
La instalación de un firewall (programa que filtra los datos que entran y salen de su máquina) es suficiente para protegerlo de este tipo de intrusión. Un firewall controla tanto los datos que salen de su máquina (generalmente iniciados por los programas que está utilizando) como los que se introducen en ella. Sin embargo, el firewall puede detectar conexiones externas de las víctimas previstas de un hacker. Éstas pueden ser pruebas realizadas por su proveedor de servicios de Internet o un hacker que está analizando de forma aleatoria una cantidad de direcciones de IP.
Existen dos firewalls gratuitos y muy útiles para los sistemas Windows:
- ZoneAlarm
- Tiny Personal Firewall
¿Qué hacer en caso de infección por un Troyano?
El firewall pide la confirmación de la acción antes de iniciar una conexión si un programa, cuyos orígenes desconoce, intenta abrir una conexión. Es muy importante que no autorice conexiones para un programa que desconoce porque podría tratarse de un Troyano. Si esto vuelve a ocurrir, es conveniente verificar que su ordenador no esté infectado con un Troyano usando un programa que los detecta y elimina.
¿Cuáles son los puertos generalmente utilizados por Troyanos?
Por lo general, los Troyanos abren un puerto en la máquina infectada y esperan que se abra una conexión en ese puerto para que los hackers puedan controlar el ordenador totalmente. A continuación hay una lista (incompleta) de los puertos más usados por los Troyanos:
| Puerto | Troyano |
|---|---|
| 21 | Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx, WinCrash |
| 23 | TTS (Tiny Telnet Server) |
| 25 | Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz, Stealth, Tapiras, Terminator, WinPC, WinSpy |
| 31 | Agent 31, Hackers Paradise, Masters Paradise |
| 41 | Deep Throat |
| 59 | DMSetup |
| 79 | FireHotcker |
| 80 | Executor, RingZero |
| 99 | Hidden port |
| 110 | ProMail trojan |
| 113 | Kazimas |
| 119 | Happy 99 |
| 121 | JammerKillah |
| 421 | TCP Wrappers |
| 456 | Hackers Paradise |
| 531 | Rasmin |
| 555 | Ini-Killer, NetAdmin, Phase Zero, Stealth Spy |
| 666 | Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre |
| 911 | Dark Shadow |
| 999 | Deep Throat, WinSatan |
| 1002 | Silencer, WebEx |
| 1010 a 1015 | Doly trojan |
| 1024 | NetSpy |
| 1042 | Bla |
| 1045 | Rasmin |
| 1090 | Xtreme |
| 1170 | Psyber Stream Server, Streaming Audio Trojan, voice |
| 1234 | Ultor trojan |
| puerto 1234 | Ultors Trojan |
| puerto 1243 | BackDoor-G, SubSeven, SubSeven Apocalypse |
| puerto 1245 | VooDoo Doll |
| puerto 1269 | Mavericks Matrix |
| puerto 1349 (UDP) | BO DLL |
| puerto 1492 | FTP99CMP |
| puerto 1509 | Psyber Streaming Server |
| puerto 1600 | Shivka-Burka |
| puerto 1807 | SpySender |
| puerto 1981 | Shockrave |
| puerto 1999 | BackDoor |
| puerto 1999 | TransScout |
| puerto 2000 | TransScout |
| puerto 2001 | TransScout |
| puerto 2001 | Trojan Cow |
| puerto 2002 | TransScout |
| puerto 2003 | TransScout |
| puerto 2004 | TransScout |
| puerto 2005 | TransScout |
| puerto 2023 | Ripper |
| puerto 2115 | Bugs |
| puerto 2140 | Deep Throat, The Invasor |
| puerto 2155 | Illusion Mailer |
| puerto 2283 | HVL Rat5 |
| puerto 2565 | Striker |
| puerto 2583 | WinCrash |
| puerto 2600 | Digital RootBeer |
| puerto 2801 | Phineas Phucker |
| puerto 2989 (UDP) | RAT |
| puerto 3024 | WinCrash |
| puerto 3128 | RingZero |
| puerto 3129 | Masters Paradise |
| puerto 3150 | Deep Throat, The Invasor |
| puerto 3459 | Eclipse 2000 |
| puerto 3700 | portal of Doom |
| puerto 3791 | Eclypse |
| puerto 3801 (UDP) | Eclypse |
| puerto 4092 | WinCrash |
| puerto 4321 | BoBo |
| puerto 4567 | File Nail |
| puerto 4590 | ICQTrojan |
| puerto 5000 | Bubbel, Back Door Setup, Sockets de Troie |
| puerto 5001 | Back Door Setup, Sockets de Troie |
| puerto 5011 | One of the Last Trojans (OOTLT) |
| puerto 5031 | NetMetro |
| puerto 5321 | FireHotcker |
| puerto 5400 | Blade Runner, Back Construction |
| puerto 5401 | Blade Runner, Back Construction |
| puerto 5402 | Blade Runner, Back Construction |
| puerto 5550 | Xtcp |
| puerto 5512 | Illusion Mailer |
| puerto 5555 | ServeMe |
| puerto 5556 | BO Facil |
| puerto 5557 | BO Facil |
| puerto 5569 | Robo-Hack |
| puerto 5742 | WinCrash |
| puerto 6400 | The Thing |
| puerto 6669 | Vampyre |
| puerto 6670 | Deep Throat |
| puerto 6771 | Deep Throat |
| puerto 6776 | BackDoor-G, SubSeven |
| puerto 6912 | Shit Heep (¡no el puerto 69123!) |
| puerto 6939 | Indoctrination |
| puerto 6969 | GateCrasher, Priority, IRC 3 |
| puerto 6970 | GateCrasher |
| puerto 7000 | Remote Grab, Kazimas |
| puerto 7300 | NetMonitor |
| puerto 7301 | NetMonitor |
| puerto 7306 | NetMonitor |
| puerto 7307 | NetMonitor |
| puerto 7308 | NetMonitor |
| puerto 7789 | Back Door Setup, ICKiller |
| puerto 8080 | RingZero |
| puerto 9400 | InCommand |
| puerto 9872 | portal of Doom |
| puerto 9873 | portal of Doom |
| puerto 9874 | portal of Doom |
| puerto 9875 | portal of Doom |
| puerto 9876 | Cyber Attacker |
| puerto 9878 | TransScout |
| puerto 9989 | iNi-Killer |
| puerto 10067 (UDP) | portal of Doom |
| puerto 10101 | BrainSpy |
| puerto 10167 (UDP) | portal of Doom |
| puerto 10520 | Acid Shivers |
| puerto 10607 | Coma |
| puerto 11000 | Senna Spy |
| puerto 11223 | Progenic trojan |
| puerto 12076 | Gjamer |
| puerto 12223 | Hack´99 KeyLogger |
| puerto 12345 | GabanBus, NetBus, Pie Bill Gates, X-bill |
| puerto 12346 | GabanBus, NetBus, X-bill |
| puerto 12361 | Whack-a-mole |
| puerto 12362 | Whack-a-mole |
| puerto 12631 | WhackJob |
| puerto 13000 | Senna Spy |
| puerto 16969 | Priority |
| puerto 17300 | Kuang2 The Virus |
| puerto 20000 | Millennium |
| puerto 20001 | Millennium |
| puerto 20034 | NetBus 2 Pro |
| puerto 20203 | Logged |
| puerto 21544 | GirlFriend |
| puerto 22222 | Prosiak |
| puerto 23456 | Evil FTP, Ugly FTP, Whack Job |
| puerto 23476 | Donald Dick |
| puerto 23477 | Donald Dick |
| puerto 26274 (UDP) | Delta Source |
| puerto 27374 | SubSeven 2.0 |
| puerto 29891 (UDP) | The Unexplained |
| puerto 30029 | AOL trojan |
| puerto 30100 | NetSphere |
| puerto 30101 | NetSphere |
| puerto 30102 | NetSphere |
| puerto 30303 | Sockets de Troie |
| puerto 30999 | Kuang2 |
| puerto 31336 | Bo Whack |
| puerto 31337 | Baron Night, BO client, BO2, Bo Facil |
| puerto 31337 (UDP) | BackFire, Back Orifice, DeepBO |
| puerto 31338 | NetSpy DK |
| puerto 31338 (UDP) | Back Orifice, DeepBO |
| puerto 31339 | NetSpy DK |
| puerto 31666 | Bo Whack |
| puerto 31785 | Hack´a´Tack |
| puerto 31787 | Hack´a´Tack |
| puerto 31788 | Hack´a´Tack |
| puerto 31789 (UDP) | Hack´a´Tack |
| puerto 31791 (UDP) | Hack´a´Tack |
| puerto 31792 | Hack´a´Tack |
| puerto 33333 | Prosiak |
| puerto 33911 | Spirit 2001a |
| puerto 34324 | BigGluck, TN |
| puerto 40412 | The Spy |
| puerto 40421 | Agent 40421, Masters Paradise |
| puerto 40422 | Masters Paradise |
| puerto 40423 | Masters Paradise |
| puerto 40426 | Masters Paradise |
| puerto 47262 (UDP) | Delta Source |
| puerto 50505 | Sockets de Troie |
| puerto 50766 | Fore, Schwindler |
| puerto 53001 | Remote Windows Shutdown |
| puerto 54320 | Back Orifice 2000 |
| puerto 54321 | School Bus |
| puerto 54321 (UDP) | Back Orifice 2000 |
| puerto 60000 | Deep Throat |
| puerto 61466 | Telecommando |
| puerto 65000 | Devil |