Virus? Hackeos? Agradecería una ayuda

Hatake-Kakashi escribió:Buenas. A ver si alguien tiene idea de lo que puede pasar porque estoy bastante preocupado. Desde hace unos días he tenido problemas, me saltó una alarma del antivirus y se supone que lo arregló, pero desde entonces me ha pasado todo esto:

- El miércoles por la mañana entré a Youtube y me encontré que se habían subido 4 vídeos de hacks y demás basura a mi canal y a otro canal en el que tenía sesión iniciada (encima, de un cliente... por suerte no fue a más). Los borré, cambié la contraseña y pregunté a Youtube, pero aún ni me han contestado. Ambos canales tienen la doble verificación y demás, no he recibido ningún mensaje ni hubo ningún aviso de seguridad de Google en mi gmail, 0.

- El jueves a medio día un amigo me mandó un privado diciéndome que me habían hackeado el canal, en cuanto llegué a casa entré, pude cambiar y borrar todo lo que habían puesto (habían puesto un banner de ApeCoin y un avatar, y se estaba reproduciendo un directo sobre criptomonedas desde mi canal). Lo cancelé todo, volví a cambiar la contraseña, puse otro teléfono para la doble verificación... ya no se me ocurrió qué más hacer.

- Ayer no pasó nada, pensé que se había solucionado.

- Esta tarde ha vuelto a pasar. Estoy con el móvil tranquilo y me meto en Twitter, y se habían publicado 2 post de Elon Musk hablando de criptomierdas ( ) y varios likes a publicaciones por el estilo, y curiosamente, en mi instagram se había publicado una historia con lo mismo. Por suerte ese instagram está completamente vacío, pero en fin.

Evidentemente he pasado varios antivirus ya, y no sale nada. Si alguien tiene idea de qué puede ser o qué puedo hacer, porque ya estoy bastante preocupado, sobretodo porque como digo he tenido varias cuentas de clientes abiertas en este PC y ya no sé si pueden hacer algo más por ahí.

Gracias. No sé si esto va aquí o otro sitio, si un caso reportadlo y que lo muevan.

1) Desinstalar el navegador actual y todos sus complementos.
2) Instalar navegador nuevo con pocos complementos
3) Ir observando si van ocurriendo los pequeños detalles que comentas.
4) Por si acaso, cambiaría las contraseñas de tus cuentas, WiFi y demás.

Yo me cepillaría la unidad C: entera, con formateo completo (no rápido) y reinstalando Windows desde cero.

Y no sé qué antivirus es pero está claro que, lo que sea, se lo ha comido entero.

No es el primer caso, ni será el último que cuenta exactamente lo mismo.

El problema en estos casos es saber por dónde te han entrado,porque si ni el propio usuario que tiene el problema, sospecha de algo que hiciera que desde ese momento fue cuando empezó el problema, pues la única manera de descubrirlo o descartar hipótesis es con herramientas de peritaje informático... pero claro, meterse en ese fregado es complejo.

Y como digo aquí se entra en una cuestión clave: ¿utilizaron el dispositivo móvil para acceder a las cuentas o lo hicieron a través del equipo de sobremesa/portátil?. ¿Entraron a través de un enlace, email phising, o entraron a través de algún programa o extensión de navegador?. Y aquí ya aparecen las preguntas de siempre: programas y extensiones que se tienen instaladas en el equipo, aplicaciones instaladas en el móvil, si el usuario utiliza siempre las mismas contraseñas en distintas webs, etc... muy complejo todo esto.

Y la siguiente pregunta es: ¿el canal está en poder actualmente del atacante?, ¿el usuario se ha puesto en contacto ya con Youtube a través de Twitter para denunciar el problema y que puedan investigar el asunto internamente?. En este punto hay que dejar claro que si el atacante sigue publicando videos y los visitantes empiezan a denunciar al canal, el usuario puede recibir strikes y terminar perdiendo el canal.

Newton escribió:1) Desinstalar el navegador actual y todos sus complementos.
2) Instalar navegador nuevo con pocos complementos
3) Ir observando si van ocurriendo los pequeños detalles que comentas.
4) Por si acaso, cambiaría las contraseñas de tus cuentas, WiFi y demás.

Gracias, haré eso. Las contraseñas ya las he cambiado, por eso me ha extrañado más que me vuelva a pasar.

Ñomo escribió:Yo me cepillaría la unidad C: entera, con formateo completo (no rápido) y reinstalando Windows desde cero.

Y no sé qué antivirus es pero está claro que, lo que sea, se lo ha comido entero.

Es lo primero que he pensado en hacer la verdad. El caso es que tengo bastante material de vídeo importante en ese disco, es seguro moverlo a otro y formatear el disco solo con el software y demás o debería borrarlo todo?

El antivirus es Avira (Prime). Cuando pasé el antivirus después sí salieron bastantes y lo eliminé todo, pero de eso hace 2 días ya y me ha seguido pasando.

Flanders escribió:No es el primer caso, ni será el último que cuenta exactamente lo mismo.

El problema en estos casos es saber por dónde te han entrado,porque si ni el propio usuario que tiene el problema, sospecha de algo que hiciera que desde ese momento fue cuando empezó el problema, pues la única manera de descubrirlo o descartar hipótesis es con herramientas de peritaje informático... pero claro, meterse en ese fregado es complejo.

Y como digo aquí se entra en una cuestión clave: ¿utilizaron el dispositivo móvil para acceder a las cuentas o lo hicieron a través del equipo de sobremesa/portátil?. ¿Entraron a través de un enlace, email phising, o entraron a través de algún programa o extensión de navegador?. Y aquí ya aparecen las preguntas de siempre: programas y extensiones que se tienen instaladas en el equipo, aplicaciones instaladas en el móvil, si el usuario utiliza siempre las mismas contraseñas en distintas webs, etc... muy complejo todo esto.

Y la siguiente pregunta es: ¿el canal está en poder actualmente del atacante?, ¿el usuario se ha puesto en contacto ya con Youtube a través de Twitter para denunciar el problema y que puedan investigar el asunto internamente?. En este punto hay que dejar claro que si el atacante sigue publicando videos y los visitantes empiezan a denunciar al canal, el usuario puede recibir strikes y terminar perdiendo el canal.

Tiene que haber sido a través del PC porque en mi móvil no tengo varias de esas cuentas abiertas para nada. La única opción que veo es algún programa que haya descargado o extensión, recuerdo haber descargado alguna cosa para programas de adobe en esos días pero no sé, nada peligroso que yo sepa.

Y sí, de hecho ya tengo una reclamación en Youtube por el directo que hicieron. Youtube por el momento no me ha respondido tampoco.

Sería interesante saber qué amenazas detectó Avira. De esa manera se puede obtener algo de información para saber si está relacionada con el problema o no. De todas formas, Avira como antivirus pfff... si antivirus como ESET NOD32 ofrecen una protección hasta cierto punto limitada, pues imaginate el resto...

Descargar material muy buscado por la red (ejem, ejem), es un riesgo hoy en día muy grande. Los ciberdelincuentes saben perfectamente que la gente busca material para descargar y ahí introducen la trampa. Suerte en cierta manera que no has pillado un ransomware.

Los de Youtube tardan en responder, en ese sentido son bastante lentos.

En Youtube vas a encontrar a mucha gente que tuvo tu mismo problema. Algunos casos son algo distintos a otros, pero bueno les puedes echar un vistazo. Un par de ejemplos rapidos:
Recupera tu canal de YouTube ➡️ Qué hacer si te han robado la cuenta de YouTube

HACKERS ROBAN CANALES DE YOUTUBE PARA PROMOCIONAR CRIPTOMONEDAS | ¿COMO EVITAR SER HACKEADO?

Los ciberdelincuentes tienen distintos métodos para realizar este tipo de practicas, y están constantemente actualizando dichos métodos y buscando nuevos métodos.

Flanders escribió:Sería interesante saber qué amenazas detectó Avira. De esa manera se puede obtener algo de información para saber si está relacionada con el problema o no. De todas formas, Avira como antivirus pfff... si antivirus como ESET NOD32 ofrecen una protección hasta cierto punto limitada, pues imaginate el resto...

Descargar material muy buscado por la red (ejem, ejem), es un riesgo hoy en día muy grande. Los ciberdelincuentes saben perfectamente que la gente busca material para descargar y ahí introducen la trampa. Suerte en cierta manera que no has pillado un ransomware.

Los de Youtube tardan en responder, en ese sentido son bastante lentos.

En Youtube vas a encontrar a mucha gente que tuvo tu mismo problema. Algunos casos son algo distintos a otros, pero bueno les puedes echar un vistazo. Un par de ejemplos rapidos:
Recupera tu canal de YouTube ➡️ Qué hacer si te han robado la cuenta de YouTube

HACKERS ROBAN CANALES DE YOUTUBE PARA PROMOCIONAR CRIPTOMONEDAS | ¿COMO EVITAR SER HACKEADO?

Los ciberdelincuentes tienen distintos métodos para realizar este tipo de practicas, y están constantemente actualizando dichos métodos y buscando nuevos métodos.

Muchas gracias. Por ahora el canal lo conservo, no me han cambiado la contraseña en ningún momento ni he perdido el acceso. Me preocupa que puedan hacerlo si no soluciono el problema antes, y que sigan utilizando el resto de redes para publicar cosas.

¿Formatear el ssd en el que tengo el SO y los programas me puede resolver el problema, como ha dicho el compañero de arriba?

La opción ideal es formatear eso por supuesto. También te aconsejo que si utilizas Chrome o Edge o algún navegador que utilice la nube para sincronizarse, deshabilites esa sincronización. Esto es porque si tienes instalada alguna extensión que haya provocado el problema, en cuanto vuelvas a instalar el navegador y a iniciar sesión con tu cuenta, las extensiones podrían volver a restaurarse. Por supuesto, si tienes otros equipos con sinronización de navegador, revísalos por si alguno de ellos fuera el infectado y no el tuyo.
En Windows 10/11 por ejemplo podrías desconectarte de la red mientras el Sistema se instala, para que te permita crear e iniciar con una cuenta local, y así no se inicia sesión con tu cuenta de correo. Este paso por supuesto es opcional.

También desde otro dispositivo limpio o una vez el equipo esté recien formateado utilizando un navegador que no hayas utilizado anteriormente (por eso de la restauración de las extensiones y de los inicios de sesión), podrías cambiar las contraseñas a las redes sociales y plataformas de video.

Por supuesto, manten la comunicación con las cuentas en Twitter de Youtube, para ver si ellos pueden banear al usuario que está accediendo a tu canal. Por algún que otro caso que conozco, es posible que te respondan diciéndote que el problema no es de ellos, y que debes formatear o revisar la seguridad de tus dispositivos. En ese caso, si el problema persiste después de todo lo que te hemos indicado, debes exponerles que todo eso ya lo has hecho, para elevar el caso a una instancia superior.

Cuidado por supuesto con las cosas que vayas instalando. No vaya a ser que vuelvas a abrir de nuevo la puerta al hacker.

La verdad que comunicarse con Youtube es una odisea. Ten paciencia. Suerte, seguro que solucionas el problema.

+1
Cuando instales el navegador, no te identifiques si tienes cuenta. Instala un antivirus diferente antes de hacerlo.

Claro que es seguro mover los archivos, siempre y cuando te cerciores de que sólo se mueven esos archivos y la extensión de éstos es correcta.

Como dice el compañero, sería interesante saber qué amenazas se detectaron, porque así no solo se sabe a lo que se enfrenta uno, sino de donde pudieron venir.

Con respecto al antivirus, yo he usado Avira hasta hace unos tres años que pasé al Kaspersky Free; no era malo, pero sí bastante mejorable; sobre todo en el aspecto de que la amenaza salta cuando se ha descargado el archivo, en lugar de impedir la descarga como sí hace el Kaspersky.

Lo más sensato es no encomendarse al antivirus, de hecho nunca pondría la mano en el fuego por ninguno de ellos.

¿Y que estén usando tu propio PC (conectandose remotamente cuando tú no estés)?
Cuadra con que no te salte ninguna alarma de que se ha iniciado sesión en tus cuentas, que no te hayan notificado una actividad anormal y que no te cambien las contraseñas.

Yo, desde luego, estoy con los compis, formatea el pc por completo y cuando termines protege tu cuenta de usuario con una contraseña en condiciones vaya que tengas algo raro que el antivirus no ve y te estén machacando por ahí.

PD: Descartamos que tengas un hermano o familiar bromista que viva contigo. No?

@Flanders @Ñomo Muchas gracias, haré paso por paso lo que me habéis dicho. Me he pedido un disco externo para meter solo el material que tengo importante y el resto lo voy a formatear todo, por si acaso.

Las amenazas que reportó Avira fueron PUP.Option.Linkuri.Generic, Adware.Elex y Trojan.BitCoinMiner, el primero se repetía unas 20 veces y todos estaban ubicados en el C, los dos primeros en la carpeta de Chrome y el último en la carpeta del sistema.

ocihc escribió:¿Y que estén usando tu propio PC (conectandose remotamente cuando tú no estés)?
Cuadra con que no te salte ninguna alarma de que se ha iniciado sesión en tus cuentas, que no te hayan notificado una actividad anormal y que no te cambien las contraseñas.

Yo, desde luego, estoy con los compis, formatea el pc por completo y cuando termines protege tu cuenta de usuario con una contraseña en condiciones vaya que tengas algo raro que el antivirus no ve y te estén machacando por ahí.

PD: Descartamos que tengas un hermano o familiar bromista que viva contigo. No?

Pues lo he pensado, es la única opción con sentido que veo, porque en ninguna de las redes he tenido aviso de nada, y lo tengo todo con doble verificación y Authy...

Y no, nadie que conozco tiene acceso a mis cuentas ni ha estado por aquí, ojalá fuera eso la verdad xD

No entiendo como el Avira ha dejado pasar todo eso.

Pero mas raro es que se hayan saltado la doble verificación; yo, en mis cortas entendederas, no creo que nadie pueda saltarse eso... pero en fin. Si descubres el misterio, por favor explícalo.

¿Tienes el WPS del router activo? Sí o no, empieza cambiando la clave del router por una que incluso a ti te sea imposible recordar. La apuntas en un postit y la pegas debajo.

Existen diversas técnicas desde hace tiempo para saltarse las verificaciones MFA/2FA (Autenticación multifactor), algunas de ellas son demasiado rebuscadas como para que se sigan utilizando en todos los casos existentes. Creo que lo más lógico en este caso, viendo que había un troyano instalado en el Sistema, es que se utilizara la técnica Pass-The-Cookie Attack.

Esta técnica permite que el atacante no necesite saber el nombre de usuario o la contraseña de la víctima. Pero sí exige comprometer la máquina de la víctima. En este caso el troyano.

Esto por supuesto es una teoría, porque pudo ocurrir de cualquier otra forma, pero lo que es evidente es que la seguridad MFA/2FA fue evadida, y por eso el usuario no recibió ninguna notificación de seguridad.

Para quien le interese, en inglés, un tutorial sobre cómo se hizo un experimiento con este método en Azure:
Bypassing MFA with Pass-the-Cookie

@Hatake-Kakashi además de todo lo que te han dicho, probaría a instalar ESET Smart Security por lo que veo existe la posibilidad de tenerlo de manera gratuita 30 o 60 días; más que suficiente para solucionar el problema y para ver si cumple con lo que esperas de un AV. Otra decisión es que haces pasados esos días.

Ñomo escribió:No entiendo como el Avira ha dejado pasar todo eso.

Pero mas raro es que se hayan saltado la doble verificación; yo, en mis cortas entendederas, no creo que nadie pueda saltarse eso... pero en fin. Si descubres el misterio, por favor explícalo.

¿Tienes el WPS del router activo? Sí o no, empieza cambiando la clave del router por una que incluso a ti te sea imposible recordar. La apuntas en un postit y la pegas debajo.

Ya, yo tampoco lo entiendo, no ha sido el dinero mejor invertido de mi vida la verdad.

El WPS estaba desactivado, pero cambiaré la clave ya que estoy.

Flanders escribió:Existen diversas técnicas desde hace tiempo para saltarse las verificaciones MFA/2FA (Autenticación multifactor), algunas de ellas son demasiado rebuscadas como para que se sigan utilizando en todos los casos existentes. Creo que lo más lógico en este caso, viendo que había un troyano instalado en el Sistema, es que se utilizara la técnica Pass-The-Cookie Attack.

Si este fuera el caso, los datos que copiaron solo les servirían para las contraseñas que había antes de que el antivirus aislara el troyano, no? Digo porque lo entendería un poco más, ya que empezaron usando mis cuentas de Youtube (martes y jueves si no recuerdo mal), y cuando el antivirus detectó esto y cambié contraseñas por segunda vez entraron a los dos sitios en los que no las había cambiado porque apenas los utilizo (Twitter e Instagram).

Qué lio tengo.

Newton escribió:@Hatake-Kakashi además de todo lo que te han dicho, probaría a instalar ESET Smart Security por lo que veo existe la posibilidad de tenerlo de manera gratuita 30 o 60 días; más que suficiente para solucionar el problema y para ver si cumple con lo que esperas de un AV. Otra decisión es que haces pasados esos días.

Lo instalaré en cuanto termine de formatear esto, gracias

Lo primero es que de los antivirus en estos casos donde se ha producido una fuga de datos y se ha accedido a cuentas de un usuario, hay que olvidarse al 100%. Lo mejor en estos casos es optar por la radicalidad, que no es otra que formatear el Sistema e instalarlo de nuevo desde cero. Ya luego todo limpito, sí se tiene que valorar usar un buen antivirus, pero ahora mismo intentar limpiar el Sistema automáticamente o incluso manualmente con herramientas avanzadas es algo que yo personalmente no haría porque se corren riesgos de que no se detecte todo la amenaza que haya en el Sistema.
Otra cosa bien distinta es que hubiese entrado un malware o virus que no hubiese provocado esa fuga de datos del usuario. En esos casos, sí se puede pasar un antivirus o anti-malware y limpiar el Sistema.

Por Wifi no han debido entrar, por la sencilla razón de que esas técnicas de hacking han afectado a miles de youtubers alrededor de todo el mundo. Mucha casualidad que tienes a un vecino al que le interesa promocionar criptomonedas en otros idiomas y que está metido en esa organización. Pero bueno, cambiar la contraseña del Wifi nunca está de más, pero no serviría de nada si no se cambiara el tipo de seguridad establecido.

Hatake-Kakashi escribió:Si este fuera el caso, los datos que copiaron solo les servirían para las contraseñas que había antes de que el antivirus aislara el troyano, no? Digo porque lo entendería un poco más, ya que empezaron usando mis cuentas de Youtube (martes y jueves si no recuerdo mal), y cuando el antivirus detectó esto y cambié contraseñas por segunda vez entraron a los dos sitios en los que no las había cambiado porque apenas los utilizo (Twitter e Instagram).

Qué lio tengo.

La técnica que han debido de usar, lo único que hace es aprovecharse de las cookies de autenticación (las que el servidor de la web que visitas te envía para reconocerte como usuario), haciendo que el atacante/hacker pase a ser identificado a través de ellas como si fueras tú.

En este caso, cuando el hacker ha perdido el acceso al equipo porque el troyano ha sido eliminado, ya no debería de poder acceder a esas cookies. A no ser que ese hacker haya habilitado las opciones para que no se pida el MFA/F2A y tenga tu nombre de usuario/contraseña actual, o que haya cambiado el correo o el número de móvil de la cuenta para recibir el código de verificación de autenticación, etc.
Claro todo esto lo digo, sin saber si realmente existen técnicas nuevas que se hayan descubierto o brechas de seguridad que se hayan producido en el Sistema MFA/F2A de las webs que utilizas (cosa que esto último me resultaría muy muy raro, ya que el Sistema MFA/F2A de Google e Instagram no son iguales), por lo que siempre puede haber una posibilidad de que haya algo novedoso que se nos escape.

Personalmente creo que una vez hayas seguido nuestros pasos de eliminar las extensiones de los navegadores, de deactivar la sincronzacion de los navegadores por ahora temporalmente, de formatear e instalar Windows 10/11 o el que sea, y de tener cuidado con lo que instalas, el problema debería de haberse acabado.

¿Pudiera ser que una vez tenga las cookies de login diese igual el cambio de password y el 2FA?
Es decir, que la web ya reconoce su dispositivo como autorizado y directamente le da acceso.

Al margen de formatear, sería interesante eliminar todos los equipos autorizados en la cuenta de Google y forzar que se deslogueen. Me suena que la opción está en la zona de seguridad.

A parte de todo lo que habéis dicho también recomiendo no guardar las contraseñas en el Google Chrome, ya que extraerlas se hace en un .csv de texto plano sin cifrado ni nada. Y luego activar el borrado de Cookies al salir de Chorme.

Flanders escribió:La técnica que han debido de usar, lo único que hace es aprovecharse de las cookies de autenticación (las que el servidor de la web que visitas te envía para reconocerte como usuario), haciendo que el atacante/hacker pase a ser identificado a través de ellas como si fueras tú.

En este caso, cuando el hacker ha perdido el acceso al equipo porque el troyano ha sido eliminado, ya no debería de poder acceder a esas cookies. A no ser que ese hacker haya habilitado las opciones para que no se pida el MFA/F2A y tenga tu nombre de usuario/contraseña actual, o que haya cambiado el correo o el número de móvil de la cuenta para recibir el código de verificación de autenticación, etc.
Claro todo esto lo digo, sin saber si realmente existen técnicas nuevas que se hayan descubierto o brechas de seguridad que se hayan producido en el Sistema MFA/F2A de las webs que utilizas (cosa que esto último me resultaría muy muy raro, ya que el Sistema MFA/F2A de Google e Instagram no son iguales), por lo que siempre puede haber una posibilidad de que haya algo novedoso que se nos escape.

Personalmente creo que una vez hayas seguido nuestros pasos de eliminar las extensiones de los navegadores, de deactivar la sincronzacion de los navegadores por ahora temporalmente, de formatear e instalar Windows 10/11 o el que sea, y de tener cuidado con lo que instalas, el problema debería de haberse acabado.

Por suerte, no ha cambiado ninguna contraseña, mail ni teléfono vinculado en ninguna de las cuentas. Muchas gracias de nuevo por la ayuda! Esperemos que haya sido eso.

elrocho escribió:¿Puediera ser que una vez tenga las cookies de login diese igual el cambio de password y el 2FA?
Es decir, que la web ya reconoce su dispositivo como autorizado y directamente le da acceso.

Al margen de formatear, sería interesante eliminar todos los equipos autorizados en la cuenta de Google y forzar que se deslogueen. Me suena que la opción está en la zona de seguridad.

Debe ser.

Sí está, lo activé tras la segunda vez que entraron.

Ryoga99 escribió:A parte de todo lo que habéis dicho también recomiendo no guardar las contraseñas en el Google Chrome, ya que extraerlas se hace en un .csv de texto plano sin cifrado ni nada. Y luego activar el borrado de Cookies al salir de Chorme.

Sí, he quitado el guardado automático y me las he apuntado en una libreta todas, no vuelvo a dejar esas cuentas guardadas ni de broma, prefiero perder 1 minuto en escribirlas y poner el código de activación.

elrocho escribió:¿Pudiera ser que una vez tenga las cookies de login diese igual el cambio de password y el 2FA?
Es decir, que la web ya reconoce su dispositivo como autorizado y directamente le da acceso.

Al margen de formatear, sería interesante eliminar todos los equipos autorizados en la cuenta de Google y forzar que se deslogueen. Me suena que la opción está en la zona de seguridad.

Es correcto. Teniendo el atacante las cookies de autenticación en su poder, no salta el paso de doble verificación del que estamos hablando. El servidor entiende que el usuario atacante es realmente el usuario afectado porque coinciden al 100% las credenciales almancenadas en las bases de datos de las cookies de sesión. Por eso comentaba antes que el hacker ha evadido el sistema de autenticación de dos pasos. No ha necesitado que se envíe ninguna comprobación adicional a ningún lado, aunque hay técnicas que también permiten hacerlo y que el hacker pase esa verificación, pero son técnicas que requieren casi siempre que la víctima visite alguna web fraudulenta creada por el hacker.

Ryoga99 escribió:A parte de todo lo que habéis dicho también recomiendo no guardar las contraseñas en el Google Chrome, ya que extraerlas se hace en un .csv de texto plano sin cifrado ni nada. Y luego activar el borrado de Cookies al salir de Chorme.

Sí, eso está también muy bien hacerlo.

De todas formas, en este caso, aunque el atacante hubiese accedido a ese historial de contraseñas, si no hubiese tenido las cookies de sesión de Hatake-Kakashi, hubiese saltado el paso de verificación adicional.

Bueno, ya he hecho todo lo que me habéis recomendado paso por paso. No ha vuelto a pasarme nada desde el sábado por suerte.

Muchas gracias a todos por la ayuda

Flanders escribió:Lo primero es que de los antivirus en estos casos donde se ha producido una fuga de datos y se ha accedido a cuentas de un usuario, hay que olvidarse al 100%. Lo mejor en estos casos es optar por la radicalidad, que no es otra que formatear el Sistema e instalarlo de nuevo desde cero. Ya luego todo limpito, sí se tiene que valorar usar un buen antivirus, pero ahora mismo intentar limpiar el Sistema automáticamente o incluso manualmente con herramientas avanzadas es algo que yo personalmente no haría porque se corren riesgos de que no se detecte todo la amenaza que haya en el Sistema.
Otra cosa bien distinta es que hubiese entrado un malware o virus que no hubiese provocado esa fuga de datos del usuario. En esos casos, sí se puede pasar un antivirus o anti-malware y limpiar el Sistema.

Por Wifi no han debido entrar, por la sencilla razón de que esas técnicas de hacking han afectado a miles de youtubers alrededor de todo el mundo. Mucha casualidad que tienes a un vecino al que le interesa promocionar criptomonedas en otros idiomas y que está metido en esa organización. Pero bueno, cambiar la contraseña del Wifi nunca está de más, pero no serviría de nada si no se cambiara el tipo de seguridad establecido.

Hatake-Kakashi escribió:Si este fuera el caso, los datos que copiaron solo les servirían para las contraseñas que había antes de que el antivirus aislara el troyano, no? Digo porque lo entendería un poco más, ya que empezaron usando mis cuentas de Youtube (martes y jueves si no recuerdo mal), y cuando el antivirus detectó esto y cambié contraseñas por segunda vez entraron a los dos sitios en los que no las había cambiado porque apenas los utilizo (Twitter e Instagram).

Qué lio tengo.

La técnica que han debido de usar, lo único que hace es aprovecharse de las cookies de autenticación (las que el servidor de la web que visitas te envía para reconocerte como usuario), haciendo que el atacante/hacker pase a ser identificado a través de ellas como si fueras tú.

En este caso, cuando el hacker ha perdido el acceso al equipo porque el troyano ha sido eliminado, ya no debería de poder acceder a esas cookies. A no ser que ese hacker haya habilitado las opciones para que no se pida el MFA/F2A y tenga tu nombre de usuario/contraseña actual, o que haya cambiado el correo o el número de móvil de la cuenta para recibir el código de verificación de autenticación, etc.
Claro todo esto lo digo, sin saber si realmente existen técnicas nuevas que se hayan descubierto o brechas de seguridad que se hayan producido en el Sistema MFA/F2A de las webs que utilizas (cosa que esto último me resultaría muy muy raro, ya que el Sistema MFA/F2A de Google e Instagram no son iguales), por lo que siempre puede haber una posibilidad de que haya algo novedoso que se nos escape.

Personalmente creo que una vez hayas seguido nuestros pasos de eliminar las extensiones de los navegadores, de deactivar la sincronzacion de los navegadores por ahora temporalmente, de formatear e instalar Windows 10/11 o el que sea, y de tener cuidado con lo que instalas, el problema debería de haberse acabado.

Aqui el compañero a dado en el clavo . Secuestro de cookies de autenticación. El atacante las pasa a su navegador y puede hacer todo lo que quiera.

Hasta que el usuario no cierra sesión en su equipo las cookies no cambian.