Ataques de backdoor en informática

¿Qué es un backdoor?

Imagina que eres un ladrón vigilando una casa para un robo potencial. Ves un cartel de "Protegido por..." clavado en el césped delantero y una cámara timbre Ring. Como el habilidoso ladrón que eres, saltas la cerca que lleva al fondo de la casa. Ves que hay una puerta trasera, cruzas los dedos y pruebas el pomo; está sin seguro. Para el observador casual, no hay señales de un robo. De hecho, no hay razón por la cual no podrías robar esta casa de nuevo por la misma puerta trasera, suponiendo que no saques todo de lugar.

Los backdoors en computadoras funcionan de manera muy similar.

En el mundo de la ciberseguridad, un backdoor se refiere a cualquier método por el cual usuarios autorizados y no autorizados pueden eludir medidas de seguridad normales y obtener acceso de usuario avanzado (también conocido como acceso root) a un sistema de computadoras, red o aplicación de software. Una vez dentro, los ciberdelincuentes pueden usar un backdoor para robar datos personales y financieros, instalar malware adicional y secuestrar dispositivos.

Pero los backdoors no son solo para los chicos malos. Los creadores de software o hardware también pueden instalarlos como un medio deliberado para acceder a su tecnología después de su uso. Los backdoors de tipo no criminal son útiles para ayudar a los clientes que están irremediablemente bloqueados de sus dispositivos o para solucionar y resolver problemas de software.

A diferencia de otras ciberamenazas que se hacen notar al usuario (mirándote a ti ransomware), los backdoors son conocidos por ser discretos. Los backdoors existen para que un grupo selecto de personas conocedoras tengan fácil acceso a un sistema o aplicación.

Como amenaza, las puertas traseras no van a desaparecer pronto. Según el informe State of Malware de Malwarebytes Labs, las puertas traseras fueron la cuarta detección de amenazas más común en 2018 tanto para consumidores como para empresas, con incrementos respectivos del 34 y 173 por ciento respecto al año anterior.

Si te preocupan los backdoors, has oído hablar de ellos en las noticias y quieres saber de qué se tratan, o tienes un backdoor en tu computadora y necesitas deshacerte de él ahora mismo, estás en el lugar correcto. Sigue leyendo y prepárate para aprender todo lo que siempre has querido saber sobre backdoors.

"Un backdoor se refiere a cualquier método por el cual usuarios autorizados y no autorizados pueden eludir medidas de seguridad normales y obtener acceso de usuario avanzado (también conocido como acceso root) en un sistema de computadora, red o aplicación de software."

Noticias sobre backdoors

• ¿Su sitio WordPress ha sido atacado por un skimmer?
• APT Kimsuky continúa atacando al gobierno surcoreano utilizando el backdoor AppleSeed
• Ataques a Microsoft Exchange causan pánico mientras los criminales recolectan shells
• Backdoors en servidores elásticos exponen datos privados
• Los backdoors son una vulnerabilidad de seguridad
• Malware en Mac combina el backdoor EmPyre y el minero XMRig
• La app de Mac para seguimiento de criptomonedas instala backdoors
• Se encontró otro dropper OSX.Dok instalando un nuevo backdoor

¿Cómo funcionan los backdoors?

Comencemos por averiguar cómo terminan los backdoors en tu computadora desde el principio. Esto puede suceder de un par de maneras diferentes. O bien el backdoor surge como resultado de malware o por una decisión de fabricación intencional (hardware o software).

El malware de puerta trasera suele clasificarse como troyano. Un troyano es un programa informático malicioso que se hace pasar por lo que no es con el fin de distribuir malware, robar datos o abrir una puerta trasera en el sistema. Al igual que el caballo de Troya de la antigua literatura griega, los troyanos informáticos siempre contienen una desagradable sorpresa.

Los troyanos son un instrumento increíblemente versátil dentro del conjunto de herramientas del cibercriminal. Se presentan bajo muchas formas, como un archivo adjunto de correo electrónico o una descarga de archivo, y entregan una serie de amenazas de malware.

Para agravar el problema, los troyanos muestran a veces una capacidad similar a la de los gusanos para replicarse y propagarse a otros sistemas sin necesidad de órdenes adicionales de los ciberdelincuentes que los crearon. Tomemos, por ejemplo, el troyano bancario Emotet. Emotet comenzó en 2014 como un ladrón de información, propagándose a través de dispositivos y robando datos financieros confidenciales. Desde entonces, Emotet ha evolucionado hasta convertirse en un vehículo de distribución de otras formas de malware. Emotet ayudó a que el troyano fuera la principal detección de amenazas de 2018, según el informe State of Malware.

En un ejemplo de malware de puerta trasera, los ciberdelincuentes ocultaron el malware dentro de un conversor de archivos gratuito. No es de extrañar: no convertía nada. De hecho, la descarga estaba diseñada únicamente para abrir una puerta trasera en el sistema de destino. En otro ejemplo, los ciberdelincuentes ocultaron malware de puerta trasera dentro de una herramienta utilizada para piratear aplicaciones de software de Adobe (que sirva de lección sobre la piratería de software). Y en un último ejemplo, una aplicación de ticker de criptomoneda aparentemente legítima llamada CoinTicker funcionaba como se anunciaba, mostrando información sobre diversas formas de criptomoneda y mercados, pero también abría una puerta trasera.

Una vez que los ciberdelincuentes han puesto el pie en la puerta, pueden emplear lo que se conoce como un rootkit. A rootkit es un paquete de malware diseñado para evitar la detección y ocultar la actividad en Internet (a usted y a su sistema operativo). Los rootkits proporcionan a los atacantes acceso continuo a los sistemas infectados. En esencia, el rootkit es el tope de la puerta que mantiene abierta la puerta trasera.

"Los backdoors fueron la cuarta detección de amenazas más común en 2018 tanto para consumidores como para empresas, con aumentos respectivos del 34 y 173 por ciento con respecto al año anterior."

Los backdoors incorporados o propietarios son puestos en su lugar por los propios fabricantes de hardware y software. A diferencia del malware de backdoor, los backdoors incorporados no son necesariamente concebidos con algún propósito criminal en mente. Más a menudo, los backdoors incorporados existen como artefactos del proceso de creación de software.

Los desarrolladores de software crean estas cuentas de backdoor para poder moverse rápidamente dentro y fuera de las aplicaciones mientras están siendo codificadas, probar sus aplicaciones y corregir errores de software (es decir, errores) sin tener que crear una cuenta "real". Estos backdoors no se supone que se envíen con el software final lanzado al público, pero a veces lo hacen. No es el fin del mundo, pero siempre existe la posibilidad de que un backdoor propietario caiga en manos de ciberdelincuentes.

Aunque la mayoría de los backdoors incorporados que conocemos caen en la primera categoría (es decir, la categoría de "ups, no quisimos poner eso ahí"), los miembros del pacto de intercambio de inteligencia Five Eyes (los EEUU, Reino Unido, Canadá, Australia y Nueva Zelanda) han pedido a Apple, Facebook y Google que instalen backdoors en sus tecnologías para ayudar en la recopilación de pruebas durante investigaciones criminales. Aunque las tres empresas han rechazado, las tres proporcionan datos downstream en la medida exigida por la ley.

Las naciones de los Five Eyes han enfatizado que estos backdoors son en el mejor interés de la seguridad global, pero hay mucho potencial para el abuso. CBS News encontró docenas de oficiales de policía en todo el país usaron bases de datos criminales actualmente disponibles para ayudar a ellos mismos y a sus amigos a acosar a sus ex, acechar a mujeres y acosar a periodistas que se incomodaron con su acoso y acecho.

Dicho esto, ¿qué pasa si las agencias gubernamentales deciden que no van a aceptar un no por respuesta?

Esto nos lleva al backdoor en la cadena de suministro. Como sugiere el nombre, un backdoor en la cadena de suministro se inserta subrepticiamente en el software o hardware en algún punto de la cadena de suministro. Esto podría suceder cuando se envían materias primas del proveedor al fabricante o cuando el producto terminado se envía del fabricante al consumidor.

Por ejemplo, una agencia gubernamental podría interceptar routers, servidores y equipos de redes diversos completados en su camino a un cliente, e instalar una puerta trasera en el firmware. Y, por cierto, la Agencia de Seguridad Nacional (NSA) de EE. UU. realmente hizo eso, como se reveló en las filtraciones globales de vigilancia de Edward Snowden en 2013.

Las infiltraciones en la cadena de suministro también podrían ocurrir en el software. Toma el código fuente abierto, por ejemplo. Las bibliotecas de código abierto son repositorios gratuitos de código, aplicaciones y herramientas de desarrollo a los que cualquier organización puede acudir en lugar de codificar todo desde cero. Suena genial, ¿no? Todos trabajando juntos por el bien común, compartiendo los frutos de su labor entre sí. En su mayoría, es genial. Cualquier contribución al código fuente está abierta a escrutinio, pero ha habido casos en los que el código malicioso ha llegado al usuario final.

Hasta ese punto, en julio de 2018 se encontró malware de cryptojacking dentro de una aplicación (o "snap", como lo llaman en el mundo de Linux) para Ubuntu y otros sistemas operativos basados en Linux. Canonical, los desarrolladores de Ubuntu admitieron, "Es imposible que un repositorio a gran escala solo acepte software después de que cada archivo individual haya sido revisado en detalle."

¿Son lo mismo un backdoor y un exploit?

Malwarebytes Labs define los exploits como "vulnerabilidades conocidas en el software de las que se puede abusar para obtener cierto nivel de control sobre los sistemas que ejecutan el software afectado." Y sabemos que una puerta trasera funciona como una entrada secreta en tu ordenador. Entonces, ¿son las puertas traseras y los exploits una misma cosa?

Aunque los backdoors y los exploits parecen increíblemente similares a primera vista, no son lo mismo.

Los exploits son vulnerabilidades accidentales de software utilizadas para acceder a tu computadora y potencialmente desplegar algún tipo de malware. Dicho de otra manera, los exploits son solo errores de software que los investigadores o los cibercriminales han encontrado una manera de explotar. Los backdoors, por otro lado, son puestos deliberadamente en su lugar por los fabricantes o cibercriminales para entrar y salir de un sistema a voluntad.

"Los exploits son vulnerabilidades accidentales de software utilizadas para acceder a tu computadora y potencialmente desplegar algún tipo de malware…. Por otro lado, los backdoors son puestos deliberadamente por los fabricantes o cibercriminales para entrar y salir de un sistema a voluntad."

¿Qué pueden hacer los hackers con un backdoor?

Los hackers pueden usar un backdoor para instalar todo tipo de malware en tu computadora.

• El spyware es un tipo de malware que, una vez instalado en su sistema, recopila información sobre usted, los sitios que visita en Internet, las cosas que descarga, los archivos que abre, nombres de usuario, contraseñas y cualquier otra cosa de valor. Una forma menor de spyware llamada keyloggers rastrea específicamente cada pulsación de tecla y cada clic que usted hace. Las empresas pueden utilizar spyware/keyloggers como medio legítimo y legal de controlar a sus empleados en el trabajo.
• Ransomware es un tipo de malware diseñado para cifrar tus archivos y bloquear tu computadora. Para recuperar esas fotos preciadas, documentos, etc. (o cualquier tipo de archivo que los atacantes elijan atacar) tienes que pagar a los atacantes a través de alguna forma de criptomoneda, generalmente Bitcoin.
• Utilizar su ordenador en un ataque DDoS. Utilizando la puerta trasera para obtener acceso de superusuario a su sistema, los ciberdelincuentes pueden tomar el control de su ordenador de forma remota, incorporándolo a una red de ordenadores pirateados, también conocida como botnet. Con esta botnet de ordenadores zombis, los delincuentes pueden saturar un sitio web o una red con tráfico procedente de la botnet en lo que se conoce como un ataque distribuido de denegación de servicio(DDoS). La avalancha de tráfico impide que el sitio web o la red respondan a las solicitudes legítimas, dejando el sitio fuera de servicio.
• El malware Cryptojacking está diseñado para utilizar los recursos del sistema para minar criptomonedas. En resumen, cada vez que alguien intercambia criptodivisas, la transacción se registra en un libro de contabilidad virtual cifrado conocido como blockchain. La minería de criptomonedas es el proceso de validar estas transacciones en línea a cambio de más criptomonedas y requiere una enorme cantidad de potencia informática. En lugar de comprar el costoso hardware necesario para la criptominería, los delincuentes han descubierto que pueden simplemente alistar ordenadores pirateados en una red de bots que funciona igual que las costosas granjas de criptominería.

¿Cuál es la historia de los backdoors?

Aquí hay un vistazo a algunos de los backdoors más (in)famosos, tanto reales como ficticios, desde el amanecer de las computadoras.

Se podría argumentar que las puertas traseras entraron en la conciencia pública en la película de ciencia ficción de 1983 Juegos de guerraprotagonizada por Matthew Broderick (en lo que parece un ensayo de Ferris Bueller). Broderick interpreta a un travieso hacker David Lightman utiliza una puerta trasera para acceder a un superordenador militar diseñado para realizar simulaciones de guerra nuclear. Sin que Lightman lo sepa, el esquizofrénico ordenador no puede distinguir la realidad de la simulación. Además, algún genio ha decidido darle acceso a todo el arsenal nuclear de los Estados Unidos. El ordenador amenaza con volar el mundo entero.

En 1993, la NSA desarrolló un chip de cifrado con una puerta trasera incorporada para su uso en ordenadores y teléfonos. Supuestamente, el chip mantendría seguras las comunicaciones confidenciales al tiempo que permitiría a las fuerzas del orden y a las agencias gubernamentales descifrar y escuchar las transmisiones de voz y datos cuando estuviera justificado. Las puertas traseras de hardware tienen grandes ventajas sobre las de software. Por ejemplo, son más difíciles de eliminar: hay que arrancar el hardware o actualizar el firmware. El chip, sin embargo, fue desbaratado por problemas de privacidad antes de ver ningún tipo de adopción.

En 2005 Sony BMG se metió en el negocio de los backdoors cuando enviaron millones de CDs de música con un rootkit de protección contra copia dañino. Ni te diste cuenta, mientras escuchabas lo último de Now That’s What I Call Music!, que tu CD incluía un rootkit, el cual se instalaría automáticamente una vez insertado en tu computadora.

Diseñado para monitorear tus hábitos de escucha, el rootkit de Sony BMG también te impedía grabar CDs y dejaba una vulnerabilidad enorme en tu computadora que los ciberdelincuentes podían aprovechar. Sony BMG pagó millones para resolver demandas relacionadas con el rootkit y retiró aún más millones de CDs.

En 2014 se descubrió que varios routers de Netgear y Linksys tenían puertas traseras integradas. SerComm, el fabricante externo que ensambló los routers, negó haber incluido las puertas traseras en su hardware a propósito. Pero cuando el parche que lanzó SerComm terminó ocultando la puerta trasera en lugar de solucionarlo, quedó claro que la compañía no estaba jugando limpio. Lo que SerComm intentaba lograr con la puerta trasera sigue siendo un misterio.

Ese mismo año, los desarrolladores de software que trabajaban en una derivación de Google Android de Google (llamado Replicant) descubrieron una puerta trasera en los dispositivos móviles de Samsung, incluidos los teléfonos de la serie Galaxy. La puerta trasera permitía supuestamente a Samsung o a cualquiera que la conociera acceder de forma remota a todos los archivos almacenados en los dispositivos afectados. En respuesta al descubrimiento, Samsung se refirió a la puerta trasera como una "característica" que no suponía "ningún riesgo para la seguridad".

El otro famoso fabricante de teléfonos, Apple, se niega a incluir puertas traseras en sus productos, a pesar de las repetidas solicitudes del FBI y el Departamento de Justicia de EE. UU. para que lo hagan. La presión aumentó después de los ataques terroristas de San Bernardino de 2015, en los que el FBI recuperó un iPhone de uno de los atacantes. En lugar de comprometer la seguridad de sus dispositivos iOS, Apple reforzó aún más la privacidad e hizo que sus iPhones y iPads fueran aún más difíciles de hackear. El FBI finalmente retiró su solicitud cuando pudo hackear el iPhone más antiguo y menos seguro con la ayuda de una misteriosa tercera parte.

Los complementos que contienen código oculto malicioso para WordPress, Joomla, Drupal y otros sistemas de gestión de contenido son un problema continuo. En 2017, investigadores de seguridad descubrieron una estafa de SEO que afectó a más de 300,000 sitios web de WordPress. La estafa giró alrededor de un complemento CAPTCHA de WordPress llamado Simply WordPress. Una vez instalado, Simply WordPress abría una puerta trasera, permitiendo acceso de administrador a los sitios web afectados. Desde allí, el hacker responsable insertaba enlaces ocultos a su sospechoso sitio web de préstamos de día de pago (otros sitios web que enlazan de vuelta a tu sitio es excelente para SEO).

2017 también fue testigo del destructivo ransomware NotPetya. El aparente paciente cero en este caso fue un troyano de puerta trasera disfrazado de actualización de software para una aplicación de contabilidad ucraniana llamada MeDoc. Cuando se le preguntó, MeDoc negó ser la fuente de NotPetya. La verdadera pregunta es: ¿por qué alguien elegiría una aplicación de contabilidad ucraniana llamada MeDoc?

En una noticia de 2018 que suena como el argumento de una película de bajo presupuesto directo a video, Bloomberg Businessweek informó que espías chinos patrocinados por el estado habían infiltrado el fabricante de servidores Supermicro. Supuestamente, los espías instalaron chips espías con puertas traseras de hardware en componentes de servidores destinados a docenas de empresas tecnológicas estadounidenses y organizaciones gubernamentales de EE. UU., sobre todo Amazon, Apple y la CIA.

Una vez instalados en un centro de datos, se decía que los chips espías se comunicaban de regreso con servidores de comando y control (C&C) de China, dando a los operativos chinos acceso ilimitado a los datos en la red. Amazon, Apple y varios funcionarios del gobierno de EE.UU. han refutado las afirmaciones hechas en la historia de Bloomberg. Supermicro, en su defensa, calificó la historia de “prácticamente imposible” y ningún otro medio de comunicación se ha hecho eco de ella.

Finalmente, como ejemplo de una situación en la que una empresa desearía haber tenido una puerta trasera, la bolsa de criptomonedas canadiense QuadrigaCX fue noticia a principios de 2019 cuando el fundador de la empresa murió repentinamente mientras estaba de vacaciones en India, llevándose consigo la contraseña de todo. QuadrigaCX afirma que todos los $190 millones en criptomonedas de los clientes están irremediablemente bloqueados en "almacenamiento en frío", donde se quedarán durante décadas y eventualmente valdrán una fortuna—o nada, dependiendo de cómo vaya la criptomoneda.

¿Cómo puedo protegerme contra los backdoors?

Buenas noticias, malas noticias. La mala noticia es que es difícil identificar y protegerse contra puertas traseras integradas. Más a menudo que no, los fabricantes ni siquiera saben que la puerta trasera está allí. La buena noticia es que hay cosas que puedes hacer para protegerte de los otros tipos de puertas traseras.

Cambia tus contraseñas predeterminadas. Las personas trabajadoras en el departamento de TI de tu empresa nunca tuvieron la intención de que tu contraseña real fuera "invitado" o "12345". Si dejas la contraseña predeterminada sin cambios, has creado inadvertidamente una puerta trasera. Cámbiala tan pronto como sea posible y habilita la autenticación multifactor (MFA) mientras lo haces. Sí, llevar un registro de una contraseña única para cada aplicación puede ser desalentador. Un informe sobre privacidad de datos de Malwarebytes Labs encontró que el 29 por ciento de los encuestados usaban la misma contraseña en numerosas aplicaciones y dispositivos. No está mal, pero todavía hay margen de mejora.

Monitoriza la actividad de la red. Cualquier aumento extraño en los datos podría significar que alguien está usando una puerta trasera en tu sistema. Para detener esto, utiliza cortafuegos para rastrear la actividad entrante y saliente de las diversas aplicaciones instaladas en tu computadora.

Elige aplicaciones y complementos cuidadosamente. Como hemos cubierto, a los ciberdelincuentes les gusta ocultar puertas traseras dentro de aplicaciones y complementos gratuitos aparentemente inofensivos. La mejor defensa aquí es asegurarse de que las aplicaciones y complementos que elijas provengan de una fuente confiable.

Los usuarios de Android y Chromebook deben ceñirse a las aplicaciones de la tienda Google Play, mientras que los usuarios de Mac e iOS deben ceñirse a la App Store de Apple. Sugerencia técnica adicional: cuando una aplicación recién instalada te pida permiso para acceder a datos o funciones en tu dispositivo, piénsalo dos veces. Se sabe que aplicaciones sospechosas han pasado los procesos de verificación de aplicaciones de Google y Apple.

Refiriéndose de nuevo al estudio de privacidad de datos, la mayoría de los encuestados hicieron un buen seguimiento de los permisos de la aplicación, pero el 26% dijo: "No lo sé". Tómate un tiempo, posiblemente ahora mismo, para revisar los permisos de las aplicaciones en tus dispositivos (Malwarebytes para Android lo hará por ti). En cuanto a los complementos de WordPress y similares, revisa las calificaciones y reseñas de los usuarios y evita instalar cualquier cosa con una calificación por debajo de la media.

Usa una buena solución de ciberseguridad. Cualquier buena solución antimalware debería poder impedir que los ciberdelincuentes desplieguen los troyanos y rootkits utilizados para abrir esas molestas puertas traseras. Malwarebytes, por ejemplo, tiene soluciones de ciberseguridad para Windows, Mac y Chromebook. Sin mencionar Malwarebytes para Android y Malwarebytes para iOS, para que puedas estar protegido en todos tus dispositivos. Usuarios de negocios, también los tenemos cubiertos. Echa un vistazo a todas las soluciones empresariales de Malwarebytes.

Y si tu interés en las puertas traseras va más allá de lo que has leído aquí, asegúrate de leer y suscribirte al blog de Malwarebytes Labs. Allí encontrarás todas las noticias más recientes sobre puertas traseras y todo lo demás que importa en el mundo de la ciberseguridad.