Ataques informáticos de puerta trasera

Una puerta trasera se refiere a cualquier método por el cual los usuarios autorizados y no autorizados son capaces de eludir las medidas de seguridad normales y obtener acceso de usuario de alto nivel (también conocido como acceso root) en un sistema informático, red o aplicación de software.

DESCARGAR MALWAREBYTES GRATIS

También para Windows, iOS, Android, Chromebook y Para empresas

¿Qué es una puerta trasera?

Imagina que eres un ladrón que inspecciona una casa en busca de un posible robo. Ves una señal de seguridad "Protegido por..." clavada en el jardín delantero y una cámara Ring en el timbre. Como eres un ladrón astuto, saltas la valla que lleva a la parte trasera de la casa. Ves que hay una puerta trasera, cruzas los dedos y pruebas el pomo: está abierto. Para el observador casual, no hay signos externos de robo. De hecho, no hay ninguna razón por la que no puedas volver a robar en esta casa por la misma puerta trasera, suponiendo que no saquees el lugar.

Las puertas traseras de los ordenadores funcionan de forma muy parecida.

En el mundo de la ciberseguridad, una puerta trasera se refiere a cualquier método mediante el cual los usuarios autorizados y no autorizados son capaces de eludir las medidas de seguridad normales y obtener acceso de usuario de alto nivel (también conocido como acceso root) en un sistema informático, red o aplicación de software. Una vez dentro, los ciberdelincuentes pueden utilizar una puerta trasera para robar datos personales y financieros, instalar malware adicional y secuestrar dispositivos.

Pero las puertas traseras no son sólo para los malos. Los fabricantes de software o hardware también pueden instalar puertas traseras para acceder a su tecnología a posteriori. Las puertas traseras de tipo no delictivo son útiles para ayudar a los clientes que no pueden acceder a sus dispositivos o para solucionar problemas de software.

A diferencia de otras ciberamenazas que se dan a conocer al usuario (como el ransomware), las puertas traseras son conocidas por su discreción. Las puertas traseras existen para que un grupo selecto de personas con conocimientos pueda acceder fácilmente a un sistema o aplicación.

Como amenaza, los backdoors no van a desaparecer pronto. Según elinforme Malwarebytes Labs State of Malware, las puertas traseras fueron la cuarta amenaza más común detectada en 2018 tanto para consumidores como para empresas, lo que supone un aumento del 34% y del 173% con respecto al año anterior.

Si te preocupan las puertas traseras, has oído hablar de ellas en las noticias y quieres saber de qué se trata, o tienes una puerta trasera en tu ordenador y necesitas deshacerte de ella ahora mismo, estás en el lugar adecuado. Sigue leyendo y prepárate para aprender todo lo que siempre has querido saber sobre los backdoors.

"Una puerta trasera se refiere a cualquier método por el cual los usuarios autorizados y no autorizados son capaces de eludir las medidas de seguridad normales y obtener acceso de usuario de alto nivel (también conocido como acceso root) en un sistema informático, red o aplicación de software."

Noticias sobre puertas traseras

¿Cómo funcionan las puertas traseras?

Empecemos por averiguar cómo acaban las puertas traseras en su ordenador. Esto puede ocurrir de dos maneras diferentes. O bien la puerta trasera llega como resultado de un malware o por una decisión intencionada de fabricación (hardware o software).

El malware de puerta trasera suele clasificarse como troyano. Un troyano es un programa informático malicioso que se hace pasar por lo que no es con el fin de distribuir malware, robar datos o abrir una puerta trasera en el sistema. Al igual que el caballo de Troya de la antigua literatura griega, los troyanos informáticos siempre contienen una desagradable sorpresa.

Los troyanos son un instrumento increíblemente versátil dentro de las herramientas de los ciberdelincuentes. Se presentan bajo muchas apariencias, como un archivo adjunto de correo electrónico o una descarga de archivos, y ofrecen un gran número de amenazas de malware.

Para agravar el problema, los troyanos muestran a veces una capacidad similar a la de los gusanos para replicarse y propagarse a otros sistemas sin necesidad de órdenes adicionales de los ciberdelincuentes que los crearon. Tomemos, por ejemplo, el troyano bancario Emotet. Emotet comenzó en 2014 como un ladrón de información, propagándose a través de dispositivos y robando datos financieros confidenciales. Desde entonces, Emotet ha evolucionado hasta convertirse en un vehículo de distribución de otras formas de malware. Emotet ayudó a que el troyano fuera la principal detección de amenazas de 2018, según el informe State of Malware.

En un ejemplo de malware de puerta trasera, los ciberdelincuentes ocultaron el malware dentro de un conversor de archivos gratuito. No es de extrañar: no convertía nada. De hecho, la descarga estaba diseñada únicamente para abrir una puerta trasera en el sistema de destino. En otro ejemplo, los ciberdelincuentes ocultaron malware de puerta trasera dentro de una herramienta utilizada para piratear aplicaciones de software de Adobe (que sirva de lección sobre la piratería de software). Y en un último ejemplo, una aplicación de ticker de criptomoneda aparentemente legítima llamada CoinTicker funcionaba como se anunciaba, mostrando información sobre diversas formas de criptomoneda y mercados, pero también abría una puerta trasera.

Una vez que los ciberdelincuentes han puesto el pie en la puerta, pueden emplear lo que se conoce como un rootkit. Un rootkit es un paquete de malware diseñado para evitar la detección y ocultar la actividad en Internet (de ti y de tu sistema operativo). Los rootkits proporcionan a los atacantes acceso continuo a los sistemas infectados. En esencia, el rootkit es el tope de la puerta que mantiene abierta la puerta trasera.

"Los backdoors fueron la cuarta detección de amenazas más común en 2018, tanto para los consumidores como para las empresas -incrementos respectivos del 34 y 173 por ciento con respecto al año anterior."

Las puertas traseras integradas o propietarias son creadas por los propios fabricantes de hardware y software. A diferencia del malware de puerta trasera, las puertas traseras integradas no se conciben necesariamente con fines delictivos. En la mayoría de los casos, las puertas traseras integradas existen como artefactos del proceso de creación del software.

Los desarrolladores de software crean estas cuentas de puerta trasera para poder entrar y salir rápidamente de las aplicaciones a medida que se codifican, probar sus aplicaciones y corregir fallos de software (es decir, errores) sin tener que crear una cuenta "real". Se supone que estas puertas traseras no se incluyen en el software final que se lanza al público, pero a veces lo hacen. No es el fin del mundo, pero siempre existe la posibilidad de que una puerta trasera propietaria caiga en manos de ciberdelincuentes.

Aunque la mayoría de las puertas traseras integradas que conocemos pertenecen a la primera categoría (es decir, a la categoría de "vaya, no queríamos poner eso ahí"), los miembros del pacto de intercambio de inteligencia Five Eyes (Estados Unidos, Reino Unido, Canadá, Australia y Nueva Zelanda) han pedido a Apple, Facebook y Google que instalen puertas traseras en su tecnología para ayudar en la obtención de pruebas durante investigaciones criminales. Aunque las tres empresas se han negado, las tres proporcionan datos en la medida en que lo exige la ley.

Las naciones de los Cinco Ojos han subrayado que estas puertas traseras redundan en beneficio de la seguridad mundial, pero hay muchas posibilidades de abuso. CBS News descubrió que docenas de agentes de policía de todo el país utilizaban las bases de datos de delincuentes disponibles para ayudarse a sí mismos y a sus amigos a acosar a sus ex, espiar a las mujeres y acosar a los periodistas que se sentían ofendidos por su acoso y espionaje.

Dicho esto, ¿qué pasaría si las agencias gubernamentales decidieran que no van a aceptar un no por respuesta?

Esto nos lleva a la puerta trasera de la cadena de suministro. Como su nombre indica, una puerta trasera de la cadena de suministro se inserta subrepticiamente en el software o hardware en algún punto de la cadena de suministro. Esto puede ocurrir cuando las materias primas se envían del proveedor al fabricante o cuando el producto acabado llega del fabricante al consumidor.

Por ejemplo, una agencia gubernamental podría interceptar routers, servidores y otros equipos de red de camino a un cliente e instalar una puerta trasera en el firmware. Y, por cierto, la Agencia Nacional Security de Estados Unidos (NSA) lo hizo realmente, como revelaron las revelaciones de vigilancia global de Edward Snowden en 2013.

Las infiltraciones en la cadena de suministro también podrían producirse en el software. Tomemos como ejemplo el código fuente abierto. Las bibliotecas de código fuente abierto son depósitos gratuitos de código, aplicaciones y herramientas de desarrollo en los que cualquier organización puede sumergirse en lugar de codificarlo todo desde cero. Suena bien, ¿verdad? Todos trabajando juntos por un bien mayor, compartiendo los frutos de su trabajo con los demás. En su mayor parte, es estupendo. Cualquier contribución al código fuente está sujeta a escrutinio, pero ha habido casos en los que un código malicioso ha llegado al usuario final.

Hasta ese punto, en julio de 2018 se encontró malware de minería de criptomonedas dentro de una app (o "snap", como lo llaman en el mundo de Linux) para Ubuntu y otros sistemas operativos basados en Linux. Canonical, los desarrolladores de Ubuntu admitieron: "Es imposible que un repositorio a gran escala solo acepte software después de que cada archivo individual haya sido revisado en detalle."

¿Son lo mismo las puertas traseras y los exploits?

Malwarebytes Labs define los exploits como "vulnerabilidades conocidas en el software de las que se puede abusar para obtener cierto nivel de control sobre los sistemas que ejecutan el software afectado". Y sabemos que una puerta trasera funciona como una entrada secreta en tu ordenador. Entonces, ¿son las puertas traseras y los exploits una misma cosa?

Aunque las puertas traseras y los exploits parecen muy similares a primera vista, no son lo mismo.

Los exploits son vulnerabilidades de software accidentales que se utilizan para obtener acceso a tu ordenador y, potencialmente, desplegar algún tipo de malware. Dicho de otro modo, los exploits no son más que fallos de software que los investigadores o los ciberdelincuentes han encontrado la forma de aprovechar. Las puertas traseras, por otro lado, son colocadas deliberadamente por fabricantes o ciberdelincuentes para entrar y salir de un sistema a voluntad.

"Los exploits son vulnerabilidades accidentales del software que se utilizan para acceder al ordenador y, potencialmente, desplegar algún tipo de malware..... Las puertas traseras, por otro lado, son colocadas deliberadamente por fabricantes o ciberdelincuentes para entrar y salir de un sistema a voluntad".

¿Qué pueden hacer los hackers con una puerta trasera?

Los hackers pueden utilizar una puerta trasera para instalar todo tipo de malware en tu ordenador.

  • El spyware es un tipo de malware que, una vez instalado en su sistema, recopila información sobre usted, los sitios que visita en Internet, las cosas que descarga, los archivos que abre, nombres de usuario, contraseñas y cualquier otra cosa de valor. Una forma menor de spyware llamada keyloggers rastrea específicamente cada pulsación de tecla y cada clic que usted hace. Las empresas pueden utilizar spyware/keyloggers como medio legítimo y legal de controlar a sus empleados en el trabajo.
  • El ransomware es un tipo de malware diseñado para cifrar tus archivos y bloquear tu ordenador. Para recuperar esas preciadas fotos, documentos, etc. (o cualquier tipo de archivo que los atacantes elijan como objetivo) tienes que pagar a los atacantes a través de algún tipo de criptomoneda, normalmente Bitcoin.
  • Utilizar su ordenador en un ataque DDoS. Utilizando la puerta trasera para obtener acceso de superusuario a su sistema, los ciberdelincuentes pueden tomar el control de su ordenador de forma remota, incorporándolo a una red de ordenadores pirateados, también conocida como botnet. Con esta botnet de ordenadores zombis, los delincuentes pueden saturar un sitio web o una red con tráfico procedente de la botnet en lo que se conoce como un ataque distribuido de denegación de servicio (DDoS). La avalancha de tráfico impide que el sitio web o la red respondan a las solicitudes legítimas, dejando el sitio fuera de servicio.
  • El malware Cryptojacking está diseñado para utilizar los recursos del sistema para minar criptomonedas. En resumen, cada vez que alguien intercambia criptodivisas, la transacción se registra en un libro de contabilidad virtual cifrado conocido como blockchain. La minería de criptomonedas es el proceso de validar estas transacciones en línea a cambio de más criptomonedas y requiere una enorme cantidad de potencia informática. En lugar de comprar el costoso hardware necesario para la criptominería, los delincuentes han descubierto que pueden simplemente alistar ordenadores pirateados en una red de bots que funciona igual que las costosas granjas de criptominería.

¿Cuál es la historia de las puertas traseras?

He aquí un repaso a algunas de las puertas traseras más (in)famosas, tanto reales como ficticias, desde los albores de la informática.

Se podría argumentar que las puertas traseras entraron en la conciencia pública en la película de ciencia ficción de 1983 Juegos de guerraprotagonizada por Matthew Broderick (en lo que parece un ensayo de Ferris Bueller). Broderick interpreta al travieso hacker adolescente David Lightman, que utiliza una puerta trasera para acceder a un superordenador militar diseñado para simular una guerra nuclear. Sin que Lightman lo sepa, el esquizofrénico ordenador no puede distinguir la realidad de la simulación. Además, algún genio ha decidido darle acceso a todo el arsenal nuclear de los Estados Unidos. El ordenador amenaza con volar el mundo entero.

En 1993, la NSA desarrolló un chip de cifrado con una puerta trasera incorporada para su uso en ordenadores y teléfonos. Supuestamente, el chip mantendría seguras las comunicaciones confidenciales al tiempo que permitiría a las fuerzas de seguridad y a las agencias gubernamentales descifrar y escuchar las transmisiones de voz y datos cuando estuviera justificado. Las puertas traseras de hardware tienen grandes ventajas sobre las de software. Por ejemplo, son más difíciles de eliminar: hay que arrancar el hardware o actualizar el firmware. El chip, sin embargo, fue desbaratado por problemas de privacidad antes de ver ningún tipo de adopción.

En 2005, Sony BMG se metió en el negocio de las puertas traseras al enviar millones de CD de música con una dañina protección anticopia rootkit. Lo que no sabías es que, mientras escuchabas la última edición de Now That's What I Call Music, tu CD incluía rootkit, que se instalaba automáticamente al introducirlo en el ordenador.

Diseñado para controlar tus hábitos de escucha, Sony BMG rootkit también te impedía grabar CD y dejaba una enorme vulnerabilidad en tu ordenador de la que podían aprovecharse los ciberdelincuentes. Sony BMG pagó millones para resolver las demandas relacionadas con rootkit y retiró aún más millones de CD.

En 2014 se descubrió que varios routers Netgear y Linksys tenían puertas traseras integradas. SerComm, el fabricante que ensambló los routers, negó haber colocado las puertas traseras en su hardware a propósito. Pero cuando el parche que SerComm lanzó acabó ocultando la puerta trasera en lugar de arreglarla, quedó claro que la empresa no tramaba nada bueno. Aún no está claro qué pretendía exactamente SerComm con la puerta trasera.

Ese mismo año, unos desarrolladores de software que trabajaban en una derivación del sistema operativo Android de Google (llamada Replicant) descubrieron una puerta trasera en dispositivos móviles Samsung, incluida la serie de teléfonos Galaxy de Samsung. La puerta trasera permitía supuestamente a Samsung o a cualquiera que la conociera acceder de forma remota a todos los archivos almacenados en los dispositivos afectados. En respuesta al descubrimiento, Samsung se refirió a la puerta trasera como una "característica" que no suponía "ningún riesgo para la seguridad".

El otro famoso fabricante de teléfonos, Apple, se niega a incluir puertas traseras en sus productos, a pesar de las reiteradas peticiones del FBI y del Departamento de Justicia de Estados Unidos para que lo haga. La presión aumentó tras los atentados terroristas de San Bernardino de 2015, en los que el FBI recuperó un iPhone propiedad de uno de los tiradores. En lugar de comprometer la seguridad de sus dispositivos iOS , Apple redobló la apuesta por la privacidad e hizo sus iPhones y iPads aún más difíciles de descifrar. Al final, el FBI retiró su petición cuando pudo piratear el iPhone más antiguo y menos seguro con la ayuda de un misterioso tercero.

Los plugins que contienen código malicioso oculto para WordPress, Joomla, Drupal y otros sistemas de gestión de contenidos son un problema constante. En 2017, investigadores de seguridad descubrieron una estafa SEO que afectó a más de 300.000 sitios web de WordPress. La estafa se centraba en un plugin CAPTCHA para WordPress llamado Simply WordPress. Una vez instalado, Simply WordPress abría una puerta trasera, permitiendo el acceso de administrador a los sitios web afectados. A partir de ahí, el hacker responsable incrustaba enlaces ocultos a su fraudulento sitio web de préstamos de día de pago (otros sitios web que enlazan a su sitio web es ideal para el SEO).

2017 también fue testigo del destructivo ransomware NotPetya. El aparente paciente cero en este caso fue un troyano de puerta trasera disfrazado de actualización de software para una aplicación de contabilidad ucraniana llamada MeDoc. Cuando se le preguntó, MeDoc negó ser la fuente de NotPetya. La verdadera pregunta es: ¿por qué alguien elegiría una aplicación de contabilidad ucraniana llamada MeDoc?

En una noticia de 2018 que parece el montaje de una película de suspense de serie B, Bloomberg Businessweek informó de que espías chinos patrocinados por el Estado se habían infiltrado en el fabricante de servidores Supermicro. Los espías supuestamente instalaron chips espía con puertas traseras de hardware en componentes de servidores destinados a docenas de empresas tecnológicas y organizaciones gubernamentales estadounidenses, sobre todo Amazon, Apple y la CIA.

Una vez instalados en un centro de datos, los chips espía se comunicaban con los servidores chinos de mando y control (C&C), dando a los agentes chinos acceso ilimitado a los datos de la red. Amazon, Apple y varios funcionarios del Gobierno estadounidense han desmentido las afirmaciones de Bloomberg. Supermicro, en su defensa, calificó la historia de "prácticamente imposible", y ninguna otra organización de noticias la ha recogido.

Por último, como ejemplo de una situación en la que una empresa desearía tener una puerta trasera, la bolsa de criptomonedas canadiense QuadrigaCX fue noticia a principios de 2019 cuando el fundador de la empresa murió abruptamente mientras estaba de vacaciones en la India, llevándose la contraseña de todo con él. QuadrigaCX afirma que todos los 190 millones de dólares en tenencias de criptodivisas de los clientes están irremediablemente encerrados en "almacenamiento en frío", donde permanecerán durante décadas y eventualmente valdrán zillones de dólares, o nada, dependiendo de cómo vaya la criptodivisa.

¿Cómo puedo protegerme de las puertas traseras?

Buenas y malas noticias. La mala es que es difícil identificar y protegerse contra las puertas traseras integradas. La mayoría de las veces, los fabricantes ni siquiera saben que la puerta trasera está ahí. La buena noticia es que hay cosas que puedes hacer para protegerte de los otros tipos de puertas traseras.

Cambia tus contraseñas por defecto. Los trabajadores del departamento informático de tu empresa nunca pensaron que tu contraseña real fuera "invitado" o "12345". Si dejas esa contraseña por defecto, habrás creado una puerta trasera sin saberlo. Cámbiela lo antes posible y, de paso, active la autenticación multifactor (MFA). Sí, mantener una contraseña única para cada aplicación puede ser desalentador. Uninforme de Malwarebytes Labs sobre privacidad de datos reveló que el 29% de los encuestados utilizaba la misma contraseña en numerosas aplicaciones y dispositivos. No está mal, pero aún se puede mejorar.

Supervisa la actividad de la red. Cualquier pico extraño de datos podría significar que alguien está utilizando una puerta trasera en tu sistema. Para evitarlo, utiliza cortafuegos para rastrear la actividad entrante y saliente de las distintas aplicaciones instaladas en tu ordenador.

Elija con cuidado las aplicaciones y los plugins. Como ya hemos dicho, a los ciberdelincuentes les gusta ocultar puertas traseras en aplicaciones y plugins gratuitos aparentemente benignos. La mejor defensa en este caso es asegurarse de que las aplicaciones y plugins que elijas provengan de una fuente de confianza.

Android y Chromebook deberían utilizar aplicaciones de la tienda Google Play, mientras que los usuarios de Mac y iOS deberían recurrir a la App Store de Apple. Consejo técnico adicional: cuando una aplicación recién instalada te pida permiso para acceder a datos o funciones de tu dispositivo, piénsatelo dos veces. Se sabe de aplicaciones sospechosas que han logrado pasar los respectivos procesos de verificación de aplicaciones de Google y Apple.

Volviendo al estudio sobre privacidad de datos, la mayoría de los encuestados hizo un buen seguimiento de los permisos de las apps, pero el 26% dijo: "No lo sé". Tómate un tiempo, posiblemente ahora mismo, para revisar los permisos de las apps en tus dispositivos (Malwarebytes para Android lo hará por ti). En cuanto a los plugins de WordPress y similares. Comprueba las valoraciones y reseñas de los usuarios y evita instalar nada que tenga una puntuación menos que estelar.

Utiliza una buena solución de ciberseguridad. Cualquier buena solución antimalware debería ser capaz de impedir que los ciberdelincuentes desplieguen los troyanos y rootkits utilizados para abrir esas molestas puertas traseras. Malwarebytes, por ejemplo, dispone de soluciones de ciberseguridad para Windows, Macy Chromebook. Por no hablar de Malwarebytes para Android y Malwarebytes para iOS, para que pueda estar protegido en todos sus dispositivos. Los usuarios empresariales también están cubiertos. Consulte todas las soluciones para empresas deMalwarebytes .

Y si tu interés por los backdoors va más allá de lo que has leído aquí, no dejes de leer y suscribirte al blogMalwarebytes Labs . Allí encontrarás las últimas noticias sobre backdoors y todo lo que importa en el mundo de la ciberseguridad.