Una puerta trasera es un método alternativo de acceso a un programa o sistema de hardware que evita los mecanismos de seguridad habituales como por ejemplo el cifrado y los sistemas de autenticación. Puede ser establecida por un fabricante de hardware (puertas traseras integradas) o instalada por un pirata informático de forma silenciosa mediante el uso de malware.
Aunque se establezca como una herramienta «administrativa», una puerta trasera siempre supone un gran riesgo de seguridad porque siempre hay ciberdelincuentes que buscan cualquier vulnerabilidad para explotar.
Por ejemplo, en 2020 cerca de 100.000 dispositivos de la marca Zyxel (fabricante de routers y otros dispositivos de red) fueron susceptibles de permitir un acceso remoto, con privilegios de administración, debido a que sus fabricantes habían instalado una puerta trasera de manera consciente sin el conocimiento de sus clientes.
Un caramelo para los piratas informáticos que suelen buscar puertas traseras creadas por los fabricantes de hardware.
La empresa, que en su momento publicó un parche para su firmware, sostiene que mantenía ese acceso para actualizaciones remotas a través FTP.
Cómo se implementan
Sin embargo, los delincuentes también pueden instalar sus propias puertas traseras en un sistema específico utilizando malware como un troyano de acceso remoto (RAT).
Para entregar el malware pueden emplear técnicas de ingeniería social como correos electrónicos de phishing.
También explotando una vulnerabilidad en el sistema operativo, o en las aplicaciones, u ocultando la carga útil de malware en una pieza de software descargada de internet.
Una vez que se instala, los piratas informáticos pueden usar la puerta trasera para controlar de forma remota el sistema o robar datos.
Una puerta trasera típica consta de dos componentes:
- El servidor: viene dentro de la carga útil del malware y se instala en el sistema del usuario.
- El cliente: se comunica con el servidor y sirve para controlar de manera remota el dispositivo infectado.
Una vez que el programa servidor está instalado, abrirá un puerto de red y se comunicará con el programa cliente (en manos del villano) para recibir órdenes.
Debido a que las puertas traseras son invisibles es posible que las víctimas no se den cuenta de que su dispositivo está siendo controlado.
Una pista que puede hacer sospechar de que un equipo puede estar siendo monitorizado es la disminución de su rendimiento o la de su velocidad de internet.
Aunque hoy en día, con los procesadores de última generación y las velocidades de fibra de hasta 1 GB la merma en la velocidad de conexión puede ser imperceptible.
También es posible que se abran de forma esporádica y sin intervención por parte del usuario la consola del símbolo del sistema o la de PowerShell.
¿Qué pueden hacer los delincuentes?
- Registrar las pulsaciones del teclado.
- Crear, eliminar, renombrar, editar, o copiar cualquier archivo.
- Ejecutar comandos en el sistema operativo.
- Modificar o borrar el registro de Windows.
- Instalar, ejecutar, controlar, corromper o desinstalar aplicaciones.
- Robar datos como contraseñas y credenciales de inicio de sesión.
- Realizar ataques DDoS en otros sistemas.
- Instalar nuevo malware.
- Controlar el dispositivo de modo remoto.
- Reiniciar o apagar el equipo.
Los piratas informáticos no son la única amenaza.
Algunos gobiernos podrían verse tentados a proponer a los programadores de software y a los fabricantes de hardware implementar puertas traseras en sus productos para espiar a los ciudadanos sin una orden judicial.
Seguramente, algunos tienen buenas intenciones, todos queremos acabar con la lacra del terrorismo, pero su enfoque es equivocado y peligroso.
Los estados autoritarios y represivos podrían servirse de esto para perseguir a periodistas, disidentes, minorías étnicas, la comunidad LGBT y a cualquier otra persona que les apeteciera.
Cómo prevenir los ataques de puerta trasera
Este tipo de intrusión, puede ser difícil de detectar, ya que el malware está diseñado para pasar desapercibido.
En la mayoría de los casos, los usuarios ni siquiera son conscientes de que sus sistemas están comprometidos, pero existen estrategias preventivas para ayudar a reducir los riesgos.
Utilizar software de seguridad
Un programa antimalware puede detectar vulnerabilidades y prevenir ataques maliciosos.
Dado que la mayoría de malware usado para crear puertas traseras son troyanos de acceso remoto (RAT), un software de seguridad puede detectarlos antes de que se implementen en el sistema.
Los cortafuegos y los sistemas de detección y prevención de intrusiones de red, también deben ser una parte estándar del arsenal de seguridad.
Los firewalls pueden limitar el acceso desde el exterior a usuarios no autorizados, ya que su función básica es bloquear las conexiones (tanto entrantes como salientes) que puedan representar un riesgo para nuestra seguridad.
Si tienes un router, es probable que este aparato ya tenga un cortafuegos de hardware incorporado.
Además, Windows tiene un excelente cortafuegos que viene de serie con el sistema operativo, que configurado correctamente acostumbra a ser más que suficiente.
Pero ¿sabías que existen firewalls alternativos y completamente gratuitos que puedes instalar?
Las herramientas de monitoreo de red te ayudarán a mantener tu red doméstica funcionando correctamente al permitirte verificar las conexiones entre dispositivos, la pérdida de paquetes, posibles intrusiones y la latencia entre conexiones entre otros parámetros.
Snort es el sistema de prevención de intrusiones (IPS) de código abierto más utilizado para la de detección de intrusiones en red, y se puede instalar en Windows, Linux y Unix.
Configurarlo y aprender como funciona requiere dedicarle un poco de tiempo, pero merece la pena y existen buenos tutoriales en internet.
Actualizar el sistema operativo y el software con regularidad
Es fundamental actualizar el sistema operativo y el software para que cuente con los últimos parches de seguridad.
Los ciberdelincuentes siempre están buscando vulnerabilidades en el software para explotarlas.
Los parches corrigen vulnerabilidades del software y de los sistemas operativos, haciéndolos más resistentes ante posibles ataques.
¿Cambiar las contraseñas con regularidad?
Dado que las puertas traseras evitan los mecanismos de seguridad habituales como el cifrado y los demás sistemas de autenticación cambiarlas no sirve de mucho, pero todo lo que pueda dificultar el trabajo de los delincuentes: bienvenido sea.
En cualquier caso, y como regla general, es aconsejable crear contraseñas complejas y únicas para cada servicio y sobre todo habilitar la autenticación de dos factores siempre que sea posible.
Supervisar la actividad de la red
Cualquier pico de datos extraño podría significar que alguien está usando una puerta trasera en tu sistema.
Para detener esto, puedes echarle un vistazo de vez en cuando al registro proporcionado por el cortafuegos, para rastrear la actividad entrante y saliente de las diversas aplicaciones instaladas en tu ordenador.
Conclusión
Los piratas informáticos han estado utilizando puertas trasera durante años porque es un método efectivo y sus víctimas no son conscientes del ataque.
El malware de puerta trasera es difícil de detectar, y una vez que se ha apoderado de un dispositivo, también es difícil de eliminar.
Al estar basado en una estructura de cliente y servidor, nada impide a los piratas informáticos actualizar el malware con regularidad.
Y puede permanecer en un dispositivo durante meses antes de que la víctima se dé cuenta de que algo anda mal.
Por lo tanto, la mejor protección contra los ataques de puerta trasera es implementar las medidas de prevención adecuadas.
