Soy nuevo en este foro, así que pido disculpas por adelantado si esta pregunta no parece estar dentro de su alcance, o si parece demasiado larga:
En dos ocasiones durante las últimas 3 semanas, un pirata informático obtuvo acceso remoto a mi computadora portátil (PC con Windows 10), como lo demuestra el movimiento del cursor del mouse. En ambas ocasiones, me conecté a la red WiFi de mi universidad y apagué rápidamente la computadora tan pronto como vi lo que estaba pasando.
En la primera ocasión, estaba en negación, asumiendo que el movimiento del cursor se debió a un mal funcionamiento del touchpad. La segunda vez, el movimiento del cursor parecía muy útil y similar al humano; Confío en que se haya accedido a mi computadora de forma remota.
Desde entonces, solo he usado esta computadora portátil fuera de línea. Me estoy preparando para hacer una instalación limpia del sistema operativo. Antes de ese punto, sin embargo, estoy tratando de encontrar cualquier evidencia que confirme mi sospecha inicial de que se haya accedido a mi computadora a través del Servidor RealVNC que tenía funcionando allí. Esto supone que alguien pudo identificar mi contraseña a través de la fuerza bruta.
Lo complicado es que me falta evidencia de que este era el medio de acceso. Por lo general, las conexiones del servidor VNC deberían solicitar una notificación en pantalla, que nunca vi. Tampoco puedo encontrar pruebas de conexiones VNC si busco en el Registro de eventos las fechas / horas en que noté el movimiento del cursor. Entonces, ahora me pregunto si (a) el pirata informático suprimió el registro / notificación, o (b) se accedió a mi computadora portátil de alguna otra manera.
Hay otras tres piezas de información que podrían ser útiles:
(1) Si busco en el registro de eventos la fecha / hora del primer incidente, puedo encontrar un inicio de sesión de tipo 3, con ID de seguridad "ANONYMOUS LOGIN", ID de seguridad "NULL SID", un proceso de inicio de sesión de "NtLmSsp", y espacios en blanco o 0 en cualquier campo que proporcione información sobre el origen (sin nombre de estación de trabajo, sin dirección IP, etc.). ¿Es esto coherente con un inicio de sesión VNC basado en la web, o algo más?
(2) En ambos casos noté el movimiento del cursor cuando estaba usando Chrome. Quizás solo sea una coincidencia.
(3) He ejecutado análisis completos con Symantec y MalwareBytes; ninguno detectó nada.
Parece que entender la causa de estos incidentes será importante para evitar que vuelvan a suceder. Como se indicó anteriormente, planeo reinstalar el sistema operativo, y como no tengo necesidad futura de un servidor VNC, no lo reinstalaré. También he estado cambiando las contraseñas relevantes. Pero no estoy seguro de si eso será suficiente.
Gracias de antemano por su tiempo.