Una puerta trasera (en inglés backdoor) es un método alternativo de acceso a un programa informático o sistema de hardware que evita los mecanismos de seguridad habituales como por ejemplo el cifrado y los sistemas de autenticación.
Puede ser establecida por un fabricante de hardware (puertas traseras integradas) o instalada por un pirata informático de forma silenciosa mediante el uso de malware.
Aunque se establezca como una herramienta «administrativa», una puerta trasera puede suponer un gran riesgo de seguridad porque siempre hay ciberdelincuentes que buscan cualquier vulnerabilidad para explotar.
Por ejemplo, en 2020 cerca de 100.000 dispositivos de la marca Zyxel (fabricante de routers y otros dispositivos de red) fueron susceptibles de permitir un acceso remoto, con privilegios de administración.
El motivo fue que sus fabricantes habían instalado una puerta trasera de manera consciente sin el conocimiento de sus clientes.
Un caramelo para los piratas informáticos que suelen buscar puertas traseras creadas por los fabricantes de hardware.
La empresa, que en su momento publicó un parche para su firmware, sostiene que mantenía ese acceso para actualizaciones remotas a través FTP.
Cómo se implementan
Los delincuentes pueden instalar sus propias puertas traseras en un dispositivo, explotando las debilidades del sistema operativo y las aplicaciones, o utilizando malware como troyanos de acceso remoto (RAT).
También pueden ocultar la carga útil de malware en una pieza de software descargada de internet.
Otro método (bastante veterano) son las falsas actualizaciones de software.
Para engañar a la víctima para que lo haga ella misma, los villanos pueden recurrir a las clásicas técnicas de ingeniería social como el phishing.
En algunos casos, se pueden instalar puertas traseras mediante acceso físico al sistema.
Tipos de puertas traseras
Si bien en este artículo solo hacemos referencia al concepto genérico de lo que es una puerta trasera, existen varios tipos de ellas.
A continuación, podemos ver algunos ejemplos, con una breve descripción:
- Puertas traseras basadas en software: se implementan explotando vulnerabilidades en el software del sistema
- Puertas traseras basadas en hardware: pueden ser difíciles de detectar y eliminar, ya que están integradas en los componentes físicos del dispositivo.
- Puertas traseras de acceso remoto: se crean para proporcionar acceso remoto a un sistema para la resolución de problemas y el mantenimiento.
- Web Shells: permiten a un atacante acceder y controlar de forma remota (y persistente) un sistema a través de una interfaz web.
- Cuentas de usuario ocultas: son cuentas de usuario que se crean en un sistema, pero no son visibles para las personas que utilizan el dispositivo.
- Firmware malicioso: se puede instalar en dispositivos, como routers, conmutadores de red y otros componentes integrados en un sistema.
- Procesos ocultos: implica la creación de procesos maliciosos que se ejecutan en segundo plano.
Debido a que las puertas traseras son invisibles, es posible que las víctimas no se den cuenta de que su dispositivo está siendo controlado.
Una pista que puede hacer sospechar de que un equipo puede estar siendo monitorizado es la disminución de su rendimiento o la de su velocidad de internet.
Aunque hoy en día, con los procesadores de última generación y las velocidades de fibra de hasta 1 GB, la merma en el rendimiento y la velocidad de conexión suele ser imperceptible.
También es posible que en algunos casos se abran de forma esporádica y sin intervención por parte del usuario la consola del símbolo del sistema o la de PowerShell.
Pero, posiblemente, no notes nada.
¿Qué pueden hacer los delincuentes?
Una vez que se instala con éxito, los piratas informáticos pueden usar la puerta trasera para controlar de forma remota el sistema o robar datos.
- Registrar las pulsaciones del teclado.
- Crear, eliminar, renombrar, editar, o copiar cualquier archivo.
- Ejecutar comandos en el sistema operativo.
- Modificar o borrar el registro de Windows.
- Instalar, ejecutar, controlar, corromper o desinstalar aplicaciones.
- Robar datos como contraseñas y credenciales de inicio de sesión.
- Realizar ataques DDoS en otros sistemas.
- Instalar nuevo malware.
- Controlar el dispositivo de modo remoto.
- En casos muy raros, reiniciar o apagar el equipo.
Cómo prevenir los ataques de puerta trasera
Este tipo de intrusión, puede ser difícil de detectar, ya que el malware está diseñado para pasar desapercibido.
Por otro lado, la mayoría de puertas traseras, basadas en hardware, son muy insidiosas y muchas veces no se pueden eliminar.
Ni siquiera reinstalando el sistema operativo.
En la mayoría de los casos, los usuarios no son conscientes de que sus sistemas están comprometidos, pero siempre se puede hacer algo para ayudar a reducir los riesgos.
Utilizar software de seguridad
Un programa antimalware puede detectar vulnerabilidades y prevenir ataques maliciosos.
Dado que la mayoría de malware usado para crear puertas traseras son troyanos de acceso remoto (RAT), un software de seguridad puede detectarlos antes de que se implementen en el sistema.
Los cortafuegos y los sistemas de detección y prevención de intrusiones de red, también deben ser una parte estándar del arsenal de seguridad.
Los firewalls pueden limitar el acceso desde el exterior a usuarios no autorizados, ya que su función básica es bloquear las conexiones (tanto entrantes como salientes) que puedan representar un riesgo para nuestra seguridad.
Si tienes un router, es probable que este aparato ya tenga un cortafuegos de hardware incorporado.
Además, Windows tiene un excelente cortafuegos que viene de serie con el sistema operativo, que configurado correctamente acostumbra a ser más que suficiente.
Actualizar el sistema operativo y el software con regularidad
Es fundamental actualizar el sistema operativo y el software para que cuente con los últimos parches de seguridad.
Los ciberdelincuentes siempre están buscando vulnerabilidades en el software para explotarlas.
Los parches corrigen vulnerabilidades del software y de los sistemas operativos, haciéndolos más resistentes ante posibles ataques.
¿Cambiar las contraseñas con regularidad?
Dado que las puertas traseras evitan los mecanismos de seguridad habituales como el cifrado y los demás sistemas de autenticación, cambiarlas no sirve de mucho, pero todo lo que pueda dificultar el trabajo de los delincuentes: bienvenido sea.
En cualquier caso, y como regla general, es aconsejable crear contraseñas complejas y únicas para cada servicio y sobre todo habilitar la autenticación de dos factores siempre que sea posible.
Supervisar la actividad de la red
Cualquier pico de datos extraño podría significar que alguien está usando una puerta trasera en tu sistema.
Para comprobarlo puedes echarle un vistazo de vez en cuando al registro proporcionado por el cortafuegos, para rastrear la actividad entrante y saliente de las diversas aplicaciones instaladas en tu ordenador.
Si algo no te cuadra, puedes denegarle el acceso a internet.
Conclusión
Los piratas informáticos han estado utilizando puertas traseras durante años porque es un método efectivo y sus víctimas no son conscientes del ataque.
El malware de puerta trasera es difícil de detectar, y una vez que se ha apoderado de un dispositivo, también es difícil de eliminar.
Al estar basado en una estructura de cliente y servidor, nada impide a los piratas informáticos actualizar el malware con regularidad.
Y puede permanecer en un dispositivo durante meses antes de que la víctima se dé cuenta de que algo anda mal.
Por lo tanto, la mejor protección contra los ataques de puerta trasera es implementar las medidas de prevención adecuadas.
En este sentido, tenemos que tener mucha precaución a la hora de comprar hardware de segunda mano.Siempre hay que hacerlo desde tiendas que ofrezcan garantías.