Hackers desentierran un comando que incluso Microsoft había olvidado y lo están utilizando para hackear
Este comando, heredado de los sistemas Unix, está siendo aprovechado por los ciberdelincuentes para engañar, ejecutar código remoto y robar datos personales sin levantar sospechas.
Entre las herramientas menos conocidas que siguen funcionando en el sistema operativo Windows, hay un comando prácticamente olvidado que está siendo usado de nuevo en ciberataques, se trata de Finger.
No destaca por su complejidad ni por su uso legítimo, pero sigue operativo, y eso ha permitido que algunos grupos de hackers lo utilicen como vía para descargar código y ejecutar acciones sin activar sospechas.
La mayoría de usuarios ni sabe que existe, y precisamente esa falta de atención es la que lo ha convertido en una herramienta muy peligrosa, pero también muy útil para ciertos grupos criminales.
Los expertos en ciberseguridad han detectado que varios ataques recientes se apoyan en finger para descargar instrucciones desde servidores externos y ejecutarlas en el ordenador de la víctima sin generar señales evidentes.
Qué es finger y por qué vuelve a aparecer
Finger es un comando que pertenece a la época en la que los sistemas Unix y Windows intercambiaban datos básicos de usuario. Permitía consultar información sencilla, como el nombre de una cuenta o su directorio personal.
Durante décadas fue irrelevante, pero nunca se eliminó del todo y sigue operativo en versiones modernas del sistema operativo de Microsoft, y es por esta vía donde los atacantes han encontrado un hueco para explotarlo.
No suele estar monitorizado, por lo que casi ningún antivirus lo revisa y muchos cortafuegos permiten su tráfico porque se considera obsoleto y sin utilidad. Cuando un mecanismo mantiene ese estatus durante tanto tiempo, es fácil que se pase por alto en auditorías y revisiones de seguridad.
El procedimiento empieza fuera del propio sistema, donde los hackers suelen arrancar con una página falsa que simula un control de seguridad, normalmente un CAPTCHA.
La víctima cree que debe ejecutar un comando para validar su identidad y, al introducirlo en la consola, establece una comunicación directa con un servidor controlado por los ciberdelincuentes.
El resto del proceso ya no depende de clics, sino que el comando consulta el servidor remoto y devuelve una cadena preparada para ejecutarse en Windows.
Qué ocurre después de la consulta remota con finger
Las investigaciones muestran patrones repetidos, donde el comando finger solicita datos a un servidor externo, obtiene una respuesta con nuevas instrucciones y las entrega a Windows para que las ejecute.
Esta secuencia puede desencadenar la descarga de archivos que simulan ser documentos legítimos, pero que contienen scripts o paquetes comprimidos con software adicional.
En varios casos se han detectado descargas de ficheros que incluyen fragmentos de Python preparados para ejecutarse sin mostrar ventana alguna. También se han encontrado variantes que utilizan este mecanismo para desplegar NetSupport Manager, una herramienta de acceso remoto.
Cuando se instala de forma manipulada, permite a otra persona ver la pantalla, mover el ratón, copiar archivos y mantener acceso al equipo mientras siga encendido. El objetivo es obtener control sobre el PC sin despertar sospechas.
Es importante mencionar que este tipo de incidentes pone sobre la mesa un problema recurrente, donde los sistemas mantienen componentes antiguos durante años y, aunque no tengan uso práctico, siguen funcionando.
Cuando nadie los revisa, terminan convertidos en oportunidades para operaciones maliciosas que no necesitan técnicas avanzadas.
Además, combina dos factores que funcionan muy bien en manos de hackers: ingeniería social para que la víctima ejecute una orden por iniciativa propia y un mecanismo antiguo que el sistema no controla con la misma atención que otros canales modernos.
Cómo puedes protegerte
La recomendación de los investigadores es sencilla: bloquear el puerto TCP 79 en el cortafuegos. Ese puerto es el que utiliza este comando para comunicarse y no afecta a funciones habituales del sistema porque hoy no se usa para tareas legítimas.
También conviene evitar ejecutar comandos que aparezcan en páginas web o verificaciones poco creíbles. Si una supuesta comprobación te pide abrir la consola, es señal suficiente para desconfiar.
El caso demuestra que no hace falta una técnica novedosa para comprometer un sistema. Basta con aprovechar un componente que nadie vigila y combinarlo con un engaño bien planteado.