Ataques de backdoor en informática

¿Qué es un backdoor?

Imagina que eres un ladrón vigilando una casa para un robo potencial. Ves un cartel de "Protegido por..." clavado en el césped delantero y una cámara timbre Ring. Como el habilidoso ladrón que eres, saltas la cerca que lleva al fondo de la casa. Ves que hay una puerta trasera, cruzas los dedos y pruebas el pomo; está sin seguro. Para el observador casual, no hay señales de un robo. De hecho, no hay razón por la cual no podrías robar esta casa de nuevo por la misma puerta trasera, suponiendo que no saques todo de lugar.

Los backdoors en computadoras funcionan de manera muy similar.

En el mundo de la ciberseguridad, un backdoor se refiere a cualquier método por el cual usuarios autorizados y no autorizados pueden eludir medidas de seguridad normales y obtener acceso de usuario avanzado (también conocido como acceso root) a un sistema de computadoras, red o aplicación de software. Una vez dentro, los ciberdelincuentes pueden usar un backdoor para robar datos personales y financieros, instalar malware adicional y secuestrar dispositivos.

Pero los backdoors no son solo para los chicos malos. Los creadores de software o hardware también pueden instalarlos como un medio deliberado para acceder a su tecnología después de su uso. Los backdoors de tipo no criminal son útiles para ayudar a los clientes que están irremediablemente bloqueados de sus dispositivos o para solucionar y resolver problemas de software.

A diferencia de otras ciberamenazas que se hacen notar al usuario (mirándote a ti ransomware), los backdoors son conocidos por ser discretos. Los backdoors existen para que un grupo selecto de personas conocedoras tengan fácil acceso a un sistema o aplicación.

Como amenaza, las puertas traseras no van a desaparecer pronto. Según el informe State of Malware de Malwarebytes Labs, las puertas traseras fueron la cuarta detección de amenazas más común en 2018 tanto para consumidores como para empresas, con incrementos respectivos del 34 y 173 por ciento respecto al año anterior.

Si te preocupan los backdoors, has oído hablar de ellos en las noticias y quieres saber de qué se tratan, o tienes un backdoor en tu computadora y necesitas deshacerte de él ahora mismo, estás en el lugar correcto. Sigue leyendo y prepárate para aprender todo lo que siempre has querido saber sobre backdoors.

"Un backdoor se refiere a cualquier método por el cual usuarios autorizados y no autorizados pueden eludir medidas de seguridad normales y obtener acceso de usuario avanzado (también conocido como acceso root) en un sistema de computadora, red o aplicación de software."

Noticias sobre backdoors

• ¿Su sitio WordPress ha sido atacado por un skimmer?
• APT Kimsuky continúa atacando al gobierno surcoreano utilizando el backdoor AppleSeed
• Ataques a Microsoft Exchange causan pánico mientras los criminales recolectan shells
• Backdoors en servidores elásticos exponen datos privados
• Los backdoors son una vulnerabilidad de seguridad
• Malware en Mac combina el backdoor EmPyre y el minero XMRig
• La app de Mac para seguimiento de criptomonedas instala backdoors
• Se encontró otro dropper OSX.Dok instalando un nuevo backdoor

¿Cómo funcionan los backdoors?

Comencemos por averiguar cómo terminan los backdoors en tu computadora desde el principio. Esto puede suceder de un par de maneras diferentes. O bien el backdoor surge como resultado de malware o por una decisión de fabricación intencional (hardware o software).

El malware de backdoor generalmente se clasifica como un troyano. Un troyano es un programa informático malicioso que pretende ser algo que no es con el propósito de entregar malware, robar datos, o abrir un backdoor en tu sistema. Al igual que el caballo de Troya de la literatura griega antigua, los troyanos informáticos siempre contienen una sorpresa desagradable.

Los troyanos son un instrumento increíblemente versátil dentro del conjunto de herramientas del cibercriminal. Se presentan bajo muchas formas, como un archivo adjunto de correo electrónico o una descarga de archivo, y entregan una serie de amenazas de malware.

Para agravar el problema, los troyanos a veces muestran una capacidad similar a un gusano para replicarse y propagarse a otros sistemas sin comandos adicionales de los cibercriminales que los crearon. Toma, por ejemplo, el troyano bancario Emotet. Emotet comenzó en 2014 como un ladrón de información, propagándose a través de dispositivos y robando datos financieros sensibles. Desde entonces Emotet ha evolucionado en un vehículo de entrega para otras formas de malware. Emotet ayudó a hacer del troyano la principal detección de amenazas para 2018, según el informe State of Malware.

En un ejemplo de malware de backdoor, los cibercriminales ocultaron malware dentro de un convertidor de archivos gratuito. No es de extrañar—no convertía nada. De hecho, la descarga estaba diseñada únicamente para abrir un backdoor en el sistema objetivo. En otro ejemplo, los cibercriminales ocultaron malware de backdoor dentro de una herramienta utilizada para piratear aplicaciones de software de Adobe (que esto sirva como una lección sobre la piratería de software). Y en un ejemplo final, una aplicación aparentemente legítima de seguimiento de criptomonedas llamada CoinTicker funcionaba como se anunciaba, mostrando información sobre varias formas de criptomonedas y mercados, pero también abría un backdoor.

Una vez que los cibercriminales tienen su pie en la puerta, podrían emplear lo que se conoce como un rootkit. Un rootkit es un paquete de malware diseñado para evitar la detección y ocultar la actividad en Internet (de ti y tu sistema operativo). Los rootkits proporcionan a los atacantes acceso continuo a sistemas infectados. En esencia, el rootkit es el tope que mantiene la puerta trasera abierta.

"Los backdoors fueron la cuarta detección de amenazas más común en 2018 tanto para consumidores como para empresas, con aumentos respectivos del 34 y 173 por ciento con respecto al año anterior."

Los backdoors incorporados o propietarios son puestos en su lugar por los propios fabricantes de hardware y software. A diferencia del malware de backdoor, los backdoors incorporados no son necesariamente concebidos con algún propósito criminal en mente. Más a menudo, los backdoors incorporados existen como artefactos del proceso de creación de software.

Los desarrolladores de software crean estas cuentas de backdoor para poder moverse rápidamente dentro y fuera de las aplicaciones mientras están siendo codificadas, probar sus aplicaciones y corregir errores de software (es decir, errores) sin tener que crear una cuenta "real". Estos backdoors no se supone que se envíen con el software final lanzado al público, pero a veces lo hacen. No es el fin del mundo, pero siempre existe la posibilidad de que un backdoor propietario caiga en manos de ciberdelincuentes.

Aunque la mayoría de los backdoors incorporados que conocemos caen en la primera categoría (es decir, la categoría de "ups, no quisimos poner eso ahí"), los miembros del pacto de intercambio de inteligencia Five Eyes (los EEUU, Reino Unido, Canadá, Australia y Nueva Zelanda) han pedido a Apple, Facebook y Google que instalen backdoors en sus tecnologías para ayudar en la recopilación de pruebas durante investigaciones criminales. Aunque las tres empresas han rechazado, las tres proporcionan datos downstream en la medida exigida por la ley.

Las naciones de los Five Eyes han enfatizado que estos backdoors son en el mejor interés de la seguridad global, pero hay mucho potencial para el abuso. CBS News encontró docenas de oficiales de policía en todo el país usaron bases de datos criminales actualmente disponibles para ayudar a ellos mismos y a sus amigos a acosar a sus ex, acechar a mujeres y acosar a periodistas que se incomodaron con su acoso y acecho.

Dicho esto, ¿qué pasa si las agencias gubernamentales deciden que no van a aceptar un no por respuesta?

Esto nos lleva al backdoor en la cadena de suministro. Como sugiere el nombre, un backdoor en la cadena de suministro se inserta subrepticiamente en el software o hardware en algún punto de la cadena de suministro. Esto podría suceder cuando se envían materias primas del proveedor al fabricante o cuando el producto terminado se envía del fabricante al consumidor.

Por ejemplo, una agencia gubernamental podría interceptar routers, servidores y equipos de redes diversos completados en su camino a un cliente, e instalar una puerta trasera en el firmware. Y, por cierto, la Agencia de Seguridad Nacional (NSA) de EE. UU. realmente hizo eso, como se reveló en las filtraciones globales de vigilancia de Edward Snowden en 2013.

Las infiltraciones en la cadena de suministro también podrían ocurrir en el software. Toma el código fuente abierto, por ejemplo. Las bibliotecas de código abierto son repositorios gratuitos de código, aplicaciones y herramientas de desarrollo a los que cualquier organización puede acudir en lugar de codificar todo desde cero. Suena genial, ¿no? Todos trabajando juntos por el bien común, compartiendo los frutos de su labor entre sí. En su mayoría, es genial. Cualquier contribución al código fuente está abierta a escrutinio, pero ha habido casos en los que el código malicioso ha llegado al usuario final.

Hasta ese punto, en julio de 2018 se encontró malware de cryptojacking dentro de una aplicación (o "snap", como lo llaman en el mundo de Linux) para Ubuntu y otros sistemas operativos basados en Linux. Canonical, los desarrolladores de Ubuntu admitieron, "Es imposible que un repositorio a gran escala solo acepte software después de que cada archivo individual haya sido revisado en detalle."

¿Son lo mismo un backdoor y un exploit?

Malwarebytes Labs define los exploits como “vulnerabilidades conocidas en el software que pueden abusarse para obtener cierto nivel de control sobre los sistemas que ejecutan el software afectado”. Y sabemos que una puerta trasera funciona como una entrada secreta a tu computadora. Entonces, ¿son puertas traseras y exploits lo mismo?

Aunque los backdoors y los exploits parecen increíblemente similares a primera vista, no son lo mismo.

Los exploits son vulnerabilidades accidentales de software utilizadas para acceder a tu computadora y potencialmente desplegar algún tipo de malware. Dicho de otra manera, los exploits son solo errores de software que los investigadores o los cibercriminales han encontrado una manera de explotar. Los backdoors, por otro lado, son puestos deliberadamente en su lugar por los fabricantes o cibercriminales para entrar y salir de un sistema a voluntad.

"Los exploits son vulnerabilidades accidentales de software utilizadas para acceder a tu computadora y potencialmente desplegar algún tipo de malware…. Por otro lado, los backdoors son puestos deliberadamente por los fabricantes o cibercriminales para entrar y salir de un sistema a voluntad."

¿Qué pueden hacer los hackers con un backdoor?

Los hackers pueden usar un backdoor para instalar todo tipo de malware en tu computadora.

• Spyware es un tipo de malware que, una vez desplegado en tu sistema, recopila información sobre ti, los sitios que visitas en Internet, las cosas que descargas, los archivos que abres, nombres de usuario, contraseñas y cualquier otra cosa de valor. Una forma menor de spyware llamada keyloggers realiza un seguimiento específico de cada pulsación de tecla y clic que haces. Las empresas pueden usar spyware/keyloggers de manera legítima y legal para monitorear a los empleados en el trabajo.
• Ransomware es un tipo de malware diseñado para cifrar tus archivos y bloquear tu computadora. Para recuperar esas fotos preciadas, documentos, etc. (o cualquier tipo de archivo que los atacantes elijan atacar) tienes que pagar a los atacantes a través de alguna forma de criptomoneda, generalmente Bitcoin.
• Usa tu computadora en un ataque DDoS. Usando el backdoor para obtener acceso de súper usuario en tu sistema, los cibercriminales pueden tomar el control de tu computadora de forma remota, reclutándola en una red de computadoras hackeadas, también conocida como botnet. Con esta botnet de computadoras zombis, los criminales pueden entonces saturar un sitio web o red con tráfico de la botnet en lo que se conoce como un ataque de denegación de servicio distribuido (DDoS). La avalancha de tráfico impide que el sitio web o red responda a solicitudes legítimas, sacando efectivamente al sitio de servicio.
• El malware de cryptojacking está diseñado para usar los recursos de tu sistema para minar criptomonedas. En pocas palabras, cada vez que alguien intercambia criptomoneda la transacción se registra en un libro mayor virtual encriptado conocido como blockchain. Cryptomining es el proceso de validar estas transacciones en línea a cambio de más criptomonedas y requiere una gran cantidad de poder de cómputo. En lugar de comprar el costoso hardware requerido para el cryptomining, los criminales han encontrado que pueden simplemente reclutar computadoras hackeadas en una botnet que funciona igual que las costosas granjas de cryptomining.

¿Cuál es la historia de los backdoors?

Aquí hay un vistazo a algunos de los backdoors más (in)famosos, tanto reales como ficticios, desde el amanecer de las computadoras.

Se podría argumentar que los backdoors entraron a la conciencia pública en la película de ciencia ficción de 1983 WarGames, protagonizada por Matthew Broderick (en lo que se siente como una prueba para Ferris Bueller). Broderick como el adolescente hacker travieso David Lightman usa un backdoor incorporado para acceder a una supercomputadora militar diseñada para ejecutar simulaciones de guerra nuclear. Sin que Lightman lo sepa, la computadora esquizofrénica no puede diferenciar la realidad de la simulación. Y también algún genio decidió darle a la computadora acceso a todo el arsenal nuclear de los Estados Unidos. La hilaridad surge cuando la computadora amenaza con volar todo el mundo.

En 1993 la NSA desarrolló un chip de encriptación con un backdoor incorporado para su uso en computadoras y teléfonos. Supuestamente, el chip mantendría seguras las comunicaciones sensibles mientras permitía a las fuerzas del orden y agencias gubernamentales descifrar y escuchar las transmisiones de voz y datos cuando fuera necesario. Los backdoors de hardware tienen grandes ventajas sobre los de software. Principalmente, son más difíciles de eliminar—tienes que arrancar el hardware o volver a flashear el firmware para hacerlo. Sin embargo, el chip fue descartado por preocupaciones de privacidad antes de ver cualquier tipo de adopción.

En 2005 Sony BMG se metió en el negocio de los backdoors cuando enviaron millones de CDs de música con un rootkit de protección contra copia dañino. Ni te diste cuenta, mientras escuchabas lo último de Now That’s What I Call Music!, que tu CD incluía un rootkit, el cual se instalaría automáticamente una vez insertado en tu computadora.

Diseñado para monitorear tus hábitos de escucha, el rootkit de Sony BMG también te impedía grabar CDs y dejaba una vulnerabilidad enorme en tu computadora que los ciberdelincuentes podían aprovechar. Sony BMG pagó millones para resolver demandas relacionadas con el rootkit y retiró aún más millones de CDs.

En 2014 se descubrió que varios routers de Netgear y Linksys tenían puertas traseras integradas. SerComm, el fabricante externo que ensambló los routers, negó haber incluido las puertas traseras en su hardware a propósito. Pero cuando el parche que lanzó SerComm terminó ocultando la puerta trasera en lugar de solucionarlo, quedó claro que la compañía no estaba jugando limpio. Lo que SerComm intentaba lograr con la puerta trasera sigue siendo un misterio.

Ese mismo año, desarrolladores de software que trabajaban en un derivado del sistema operativo Android de Google (llamado Replicant) descubrieron una puerta trasera en dispositivos móviles de Samsung, incluida la serie Galaxy de Samsung. Supuestamente, la puerta trasera permitía a Samsung o quien supiera sobre ella acceder remotamente a todos los archivos almacenados en los dispositivos afectados. En respuesta al descubrimiento, Samsung se refirió a la puerta trasera como una "característica" que no representaba "ningún riesgo de seguridad".

El otro famoso fabricante de teléfonos, Apple, se niega a incluir puertas traseras en sus productos, a pesar de las repetidas solicitudes del FBI y el Departamento de Justicia de EE. UU. para que lo hagan. La presión aumentó después de los ataques terroristas de San Bernardino de 2015, en los que el FBI recuperó un iPhone de uno de los atacantes. En lugar de comprometer la seguridad de sus dispositivos iOS, Apple reforzó aún más la privacidad e hizo que sus iPhones y iPads fueran aún más difíciles de hackear. El FBI finalmente retiró su solicitud cuando pudo hackear el iPhone más antiguo y menos seguro con la ayuda de una misteriosa tercera parte.

Los complementos que contienen código oculto malicioso para WordPress, Joomla, Drupal y otros sistemas de gestión de contenido son un problema continuo. En 2017, investigadores de seguridad descubrieron una estafa de SEO que afectó a más de 300,000 sitios web de WordPress. La estafa giró alrededor de un complemento CAPTCHA de WordPress llamado Simply WordPress. Una vez instalado, Simply WordPress abría una puerta trasera, permitiendo acceso de administrador a los sitios web afectados. Desde allí, el hacker responsable insertaba enlaces ocultos a su sospechoso sitio web de préstamos de día de pago (otros sitios web que enlazan de vuelta a tu sitio es excelente para SEO).

2017 también fue testigo del destructivo ransomware NotPetya. El aparente paciente cero en este caso era un troyano de puerta trasera disfrazado de actualización de software para una aplicación de contabilidad ucraniana llamada MeDoc. Cuando se les cuestionó, MeDoc negó ser la fuente de NotPetya. La verdadera pregunta es—¿por qué alguien elegiría una aplicación de contabilidad ucraniana tan sospechosa llamada MeDoc?

En una noticia de 2018 que suena como el argumento de una película de bajo presupuesto directo a video, Bloomberg Businessweek informó que espías chinos patrocinados por el estado habían infiltrado el fabricante de servidores Supermicro. Supuestamente, los espías instalaron chips espías con puertas traseras de hardware en componentes de servidores destinados a docenas de empresas tecnológicas estadounidenses y organizaciones gubernamentales de EE. UU., sobre todo Amazon, Apple y la CIA.

Una vez instalados en un centro de datos, se decía que los chips espías se comunicaban de regreso con servidores de comando y control (C&C) de China, dando a los operativos chinos acceso ilimitado a los datos en la red. Amazon, Apple y varios funcionarios del gobierno de EE.UU. han refutado las afirmaciones hechas en la historia de Bloomberg. Supermicro, en su defensa, calificó la historia de “prácticamente imposible” y ningún otro medio de comunicación se ha hecho eco de ella.

Finalmente, como ejemplo de una situación en la que una empresa desearía haber tenido una puerta trasera, la bolsa de criptomonedas canadiense QuadrigaCX fue noticia a principios de 2019 cuando el fundador de la empresa murió repentinamente mientras estaba de vacaciones en India, llevándose consigo la contraseña de todo. QuadrigaCX afirma que todos los $190 millones en criptomonedas de los clientes están irremediablemente bloqueados en "almacenamiento en frío", donde se quedarán durante décadas y eventualmente valdrán una fortuna—o nada, dependiendo de cómo vaya la criptomoneda.

¿Cómo puedo protegerme contra los backdoors?

Buenas noticias, malas noticias. La mala noticia es que es difícil identificar y protegerse contra puertas traseras integradas. Más a menudo que no, los fabricantes ni siquiera saben que la puerta trasera está allí. La buena noticia es que hay cosas que puedes hacer para protegerte de los otros tipos de puertas traseras.

Cambia tus contraseñas predeterminadas. Las personas trabajadoras en el departamento de TI de tu empresa nunca tuvieron la intención de que tu contraseña real fuera "invitado" o "12345". Si dejas la contraseña predeterminada sin cambios, has creado inadvertidamente una puerta trasera. Cámbiala tan pronto como sea posible y habilita la autenticación multifactor (MFA) mientras lo haces. Sí, llevar un registro de una contraseña única para cada aplicación puede ser desalentador. Un informe sobre privacidad de datos de Malwarebytes Labs encontró que el 29 por ciento de los encuestados usaban la misma contraseña en numerosas aplicaciones y dispositivos. No está mal, pero todavía hay margen de mejora.

Monitoriza la actividad de la red. Cualquier aumento extraño en los datos podría significar que alguien está usando una puerta trasera en tu sistema. Para detener esto, utiliza cortafuegos para rastrear la actividad entrante y saliente de las diversas aplicaciones instaladas en tu computadora.

Elige aplicaciones y complementos cuidadosamente. Como hemos cubierto, a los ciberdelincuentes les gusta ocultar puertas traseras dentro de aplicaciones y complementos gratuitos aparentemente inofensivos. La mejor defensa aquí es asegurarse de que las aplicaciones y complementos que elijas provengan de una fuente confiable.

Los usuarios de Android y Chromebook deben ceñirse a las aplicaciones de la tienda Google Play, mientras que los usuarios de Mac e iOS deben ceñirse a la App Store de Apple. Sugerencia técnica adicional: cuando una aplicación recién instalada te pida permiso para acceder a datos o funciones en tu dispositivo, piénsalo dos veces. Se sabe que aplicaciones sospechosas han pasado los procesos de verificación de aplicaciones de Google y Apple.

Refiriéndose de nuevo al estudio de privacidad de datos, la mayoría de los encuestados hicieron un buen seguimiento de los permisos de la aplicación, pero el 26% dijo: "No lo sé". Tómate un tiempo, posiblemente ahora mismo, para revisar los permisos de las aplicaciones en tus dispositivos (Malwarebytes para Android lo hará por ti). En cuanto a los complementos de WordPress y similares, revisa las calificaciones y reseñas de los usuarios y evita instalar cualquier cosa con una calificación por debajo de la media.

Usa una buena solución de ciberseguridad. Cualquier buena solución antimalware debería poder impedir que los ciberdelincuentes desplieguen los troyanos y rootkits utilizados para abrir esas molestas puertas traseras. Malwarebytes, por ejemplo, tiene soluciones de ciberseguridad para Windows, Mac y Chromebook. Sin mencionar Malwarebytes para Android y Malwarebytes para iOS, para que puedas estar protegido en todos tus dispositivos. Usuarios de negocios, también los tenemos cubiertos. Echa un vistazo a todas las soluciones empresariales de Malwarebytes.

Y si tu interés en las puertas traseras va más allá de lo que has leído aquí, asegúrate de leer y suscribirte al blog de Malwarebytes Labs. Allí encontrarás todas las noticias más recientes sobre puertas traseras y todo lo demás que importa en el mundo de la ciberseguridad.