La modificación del archivo hosts es una práctica habitual de los ciberdelincuentes para bloquear el acceso a ciertos sitios y redireccionar a los usuarios a páginas falsas. Se trata de un pequeño archivo de texto que se encuentra en todos los sistemas operativos, su función consiste en resolver nombres de dominio.
Hoy en día este trabajo lo realizan los proveedores de internet y otras empresas, por lo tanto si el archivo se borra o está vacío no pasa nada. Aún así se sigue utilizando, puede resultar útil para realizar redirecciones y bloqueos locales.
El archivo hosts en Windows:
En la imagen anterior se puede ver el aspecto original de un archivo hosts, las líneas que se observan son simplemente comentarios que explican como funciona el archivo, si se borran no pasa nada. El signo # indica que la línea es un comentario.
La ubicación del archivo hosts varía según los sistemas operativos, en Windows XP/Vista/7 se encuentra en C:\Windows\System32\drivers\etc. Se puede abrir con el bloc de notas y editar, en Vista y 7 es necesario ejecutar el bloc de notas con permisos de administrador y luego buscar el archivo desde el menú Abrir.
C:\Windows\System32\drivers\etc
Ejemplos, redirecciones y bloqueos en el archivo hosts:
En la siguiente imagen se puede ver un archivo hosts modificado, hay 2 zonas resaltadas, la verde es la que comentaba anteriormente y básicamente no cumple ninguna función; la roja es la zona donde se agregan las líneas para resolver los nombres de dominio, es aquí donde los ciberdelincuentes agregan decenas e incluso miles de redirecionamientos maliciosos.
127.0.0.1 forospamloco.net:
Se pueden ver 2 líneas agregadas, la primera cumple la función de bloquear el acceso a la página, es decir, si se intenta acceder a «forospamloco.net» el sitio no cargará.
De esta forma los atacantes generalmente bloquean el acceso a los sitios de seguridad y portales desde los cuales se pueden descargar herramientas de desinfección.
200.40.0.83 spamloco.net:
Con la segunda línea, cuando se intenta acceder a «spamloco.net» se realiza una redirección automática hacia la dirección IP «200.40.0.83» que en este caso corresponde a Google.com, es decir, cuando se entra a spamloco.net el navegador carga la página google.com.
De esta forma los atacantes redireccionan a las víctimas hacia IPs maliciosas, por ejemplo, al intentar acceder a la página de un banco se podría terminar en un sitio falso (phishing).
Limpiando el archivo hosts:
Si tu equipo se ha infectado, una de las verificaciones que deberás hacer es la de este archivo, si detectas líneas desconocidas elimínalas a todas y guarda los cambios, recuerda que se trata de un archivo sin extensión (ver extensiones de Windows).
Inmunizando el equipo desde el archivo hosts:
Algunos programas de seguridad modifican el archivo para bloquear el acceso a sitios peligrosos, uno de estos programas es Spybot – Search & Destroy. Gracias a su herramienta Inmunizar se pueden agregar automáticamente miles de líneas para bloquear sitios maliciosos conocidos, como las páginas de los falsos antivirus.
Archivo hosts inmunizado, sitios maliciosos bloqueados:
Espero que la información sea útil, si tienes alguna duda deja un comentario o pasa por el foro de ayuda!