Por lo general, preguntas como esta no pueden ser respondidas adecuadamente debido a la falta de esfuerzo/comprensión por parte del que pregunta, pero usted ha hecho no sólo un buen trabajo al tratar de mitigar el acceso del atacante, sino que también lo ha explicado claramente. Es triste que otras respuestas hayan pasado por alto tu historia completa.
Dado que hay un límite de palabras en la pregunta, permíteme pegar tu historia completa en la respuesta:
Hace unos meses, tenía mi teléfono rooteado para cambiar la fuente del sistema. Un día, descubrí que alguien escribió: «Hola. No me conoces pero te odio. I’ll haunt you brb.» en una aplicación de notas de mi smartphone. Me sorprendió y sospeché que podía comprometer mi teléfono porque lo había rooteado. Así que flasheé la ROM de stock y todo parecía estar bien durante un tiempo.
Después, un día, estaba escribiendo algo en un documento en Google Drive en mi portátil. Entonces me di cuenta de que alguien había escrito «yhuij» al final del documento. Pensé que había hecho esta errata sin querer y la borré.
Al día siguiente mi ordenador iba muy lento. Todo se ralentizaba y no podía hacer ningún trabajo. Conseguí abrir la ventana del Administrador de Tareas y vi que svchost.exe ocupaba todos los recursos. Por la noche el portátil funcionaba bien, así que ejecuté un antivirus (Kaspersky) pero no encontró nada.
Ejecuté un antivirus en cada dispositivo que tiene nuestra familia, y encontró un archivo .apk que contenía un troyano en el teléfono de mi madre. Eliminé el archivo y pensé que estaría bien porque el teléfono de mi madre no está rooteado y ella no lo instaló. (Es Android.)
Sospeché que el hacker tenía acceso a mi cuenta de Google. Pero cuando comprobé los dispositivos utilizados recientemente en la página de mi cuenta de Google no había ninguno inusual.
Así que sospeché que nuestro router Wi-Fi está infectado, así que lo reinicié y puse una contraseña más potente. Pero cuando estaba trabajando en un documento en Google Drive, descubrí que se había escrito «sin uso» al final del documento.
Así que sospeché que mi portátil Y nuestro router Wi-Fi están infectados. Así que reinicié mi portátil Y nuestro router Wi-Fi. Pero hoy he descubierto que alguien ha reordenado mis notas en Google Keep y las ha nombrado con un galimatías.
Temo que aunque reinstale Windows 10 en mi portátil, se vea comprometido de nuevo. Me gustaría hacer lo que pueda primero antes de avisar a las autoridades porque probablemente no se preocupen o no sepan cómo manejar asuntos como este donde vivo. También existe la posibilidad de que esta persona viva en el extranjero o utilice su servidor proxy, haciéndose así ilocalizable.
Sólo quiero saber qué puedo hacer para asegurar mis dispositivos y mi router y librarme de esta persona.
¡En primer lugar, gran trabajo! Has pasado por casi todos los pasos estándar. Es hora de pensar fuera de la caja.
Para recapitular la situación:
- Tienes acceso a tu cuenta de Google pero el atacante parece tener acceso a ella también.
- Muchos dispositivos en tu casa han sido comprometidos. Es razonable (o incluso recomendable) considerar que todos ellos no son de confianza ahora.
Procedamos.
(Puedes vender tu teléfono/router existente para cubrir los costes de las cosas de abajo. Me gustaría tener una solución más fácil / más barato, pero quienquiera que sea la persona que está fijado con usted.
- Comprar un nuevo iPhone de una tienda de Apple.
- Ponerlo en un nuevo número.
- No conecte su iPhone con nada, aparte de la tienda de WiFi para la activación.
- Comprar un nuevo cable módem / router, configurarlo en casa. Asegúrese de que es diferente del que ya tiene.
- Cambie la contraseña por defecto de su router. (Gracias a Sid Plait por señalar esto.)
- Cree un nombre inalámbrico oculto y una contraseña fuerte (con WPA2).
- Conecte su iPhone al nuevo WiFi.
- No conecte ningún dispositivo a él excepto su iPhone. Ni a tu madre, ni a tu mejor amigo. No te puedes fiar de nadie.
- Ingresa en tu cuenta de Google.
- Cambia tu contraseña.
- Cierra todas las sesiones/dispositivos existentes.
- Configura la autenticación de 2 factores con tu nuevo número.
- Mantén un ojo en tu cuenta de Google durante unos días para ver si sigue habiendo actividad maliciosa.
- Si detectas que sigue habiendo actividad maliciosa en tu cuenta sería muy interesante. En orden de probabilidad, alguien probablemente ha comprometido su ISP o Google. Las probabilidades de este último o bastante bajo.
- Si usted don’t detectar cualquier actividad maliciosa por un tiempo, usted ha pateado con éxito el gilipollas de su cuenta de Google y la nueva red. Es hora de reintegrar sus dispositivos poco a poco.
- Para cada dispositivo:
- Haga una copia de seguridad de los contenidos de cada dispositivo antiguo (fotos, etc.) en una copia de seguridad/disco duro portátil.
- Haga que le cambien/sustituyan el dispositivo por uno más nuevo del mismo tipo.
- No copie sus datos al nuevo dispositivo todavía.
- Borre el nuevo dispositivo.
- Actualice el firmware.
- Añádalo a su red.
- Siga vigilando su cuenta en busca de actividad sospechosa. Si la actividad sospechosa aparece ahora, ese dispositivo será interesante. Lo más probable es que tenga un error en el firmware/OS.
- Dé unos días’ de diferencia antes de añadir el siguiente dispositivo.
- Si usted’ ha conseguido añadir todos sus dispositivos a su nueva red hasta ahora, entonces’ será el momento de migrar sus datos.
- Compre un portátil barato, arrancarlo en una distribución de Linux en vivo. Un portátil de este tipo se puede comprar por menos de 100 dólares.
- Conecte el antiguo disco duro de copia de seguridad.
- Conecte un nuevo disco duro vacío, limpio y formateado.
- Copie sus archivos de datos del antiguo disco duro al nuevo. Uno por uno. No hagas suposiciones, no uses Ctrl-A para seleccionar nada. Copie sus fotos una por una. Copie sus vídeos uno por uno. No copie ningún archivo que no entienda/reconozca.
- Conecte el nuevo disco duro de copia de seguridad a un ordenador portátil en su red segura, transfiera los datos de vuelta.
Si, en este punto, el atacante reaparece mágicamente en su cuenta, el probable culpable son sus datos. El único recurso en este caso sería volver a seguir todos los pasos y deshacerse de sus datos esta vez. Aunque, la probabilidad de que eso ocurra es muy baja si sigues todos los pasos correctamente.