¿Qué es un ataque de puerta trasera o backdoor? Consejos profesionales para detectarlos y protegerte

TIEMPO DE LECTURA: 14 MIN | Última actualización: Ene 23, 2024 | Por

Tabla de contenidos
¿Qué son los backdoors o puertas traseras en un ordenador?
Funcionamiento de los troyanos de puerta trasera
Ejemplos de ataques de puerta trasera
Formas de protegerte de un ataque de puerta trasera
Maneras de detectar un troyano de puerta trasera
Modos de eliminar un virus de puerta trasera
Preguntas frecuentes

Cada vez hay más ataques de ransomware (también llamados de cibersecuestro) y es posible que le estés dejando la puerta abierta a los ciberdelincuentes.

Esto es lo que suele decir una nota de rescate de un troyano ransomware:

«Ya no puedes acceder a tus archivos. Nadie te ayudará a recuperarlos: solo podrás hacerlo con nuestro servicio de descifrado. Para restaurar los archivos, debes comprar nuestra clave de descifrado».

Quizá te preguntes cómo han conseguido los atacantes acceder a tu sistema. La respuesta es que lo hicieron mediante la puerta trasera (o backdoor). Si dejas abierta la puerta trasera de tu casa es como si invitaras a los ladrones a pasar. Si dejas abierta la puerta trasera de tu casa digital, estarás expuesto a ciberataques.

Es posible que tu red sea vulnerable sin que lo sepas. Si no has cambiado la información predeterminada de tu router wifi, la puerta trasera digital está abierta de par en par. ¿Has cambiado la contraseña predeterminada a «contraseña» o «abresésamo»? Eso es como si dejaras una llave debajo de la maceta: todo el mundo revisa allí.

Si no sabes cómo funcionan las puertas traseras, es posible que quedes expuesto sin querer a un ataque, del mismo modo que los ciudadanos de Troya abrieron sus puertas a un tentador regalo de los griegos. A diferencia del mitológico caballo de Troya, las puertas traseras de los ordenadores son muy reales y pueden pasar desapercibidas durante años.

Llegó el momento de actuar. Sigue leyendo para informarte de qué es una puerta trasera y de cómo puedes protegerte de este tipo de ciberataque.

¿Qué son los backdoors o puertas traseras en un ordenador?

Una puerta trasera se refiere en informática a un mecanismo que permite a un usuario no autorizado acceder fácilmente y con un alto nivel a una aplicación, red o dispositivo. Los ciberdelincuentes pueden utilizar puertas traseras para eludir los procesos normales de seguridad y autenticación.

Las contraseñas predeterminadas o poco seguras son una posible vía de entrada para los ataques de puerta trasera. Una vez que un ciberdelincuente tiene acceso a tu dispositivo, puede registrar lo que tecleas, copiar información confidencial de tus discos duros o espiarte mediante el micrófono y la cámara.

Puedes encontrarte con 3 tipos de ataques de puerta trasera:

1. Puertas traseras integradas (las buenas)

Los fabricantes de dispositivos o los ingenieros de software crean y utilizan estas puertas traseras durante el desarrollo del producto. También se conocen como puertas traseras del fabricante.

Las puertas traseras integradas hacen que los ingenieros tengan acceso fácil durante las fases de programación y corrección de errores. No se conciben para que sigan en el producto final, pero a veces se cuelan.

Si los desarrolladores no las eliminan, los ciberdelincuentes podrían encontrar y aprovecharse de las puertas traseras integradas.

2. Troyanos de puerta trasera (las malas)

Un troyano es un tipo de software malintencionado que parece legítimo, pero que puede dañar tus datos o tu red. Al descargar y ejecutar el malware, creas una puerta trasera que los atacantes pueden utilizar para hacerse con el control del equipo.

Hay veces que los troyanos se aprovechan de programas legítimos de empresas de fiar. Los atacantes también pueden aprovecharse de vulnerabilidades, como contraseñas poco seguras, que les permiten acceder directamente a tu red e instalar ellos mismos el malware.

Los ciberdelincuentes pueden utilizar troyanos de puertas traseras como trampolín para acceder a redes más seguras, para desviar sus recursos hacia la minería ilegal de criptomonedas o como herramienta de recopilación de datos.

3. Puertas traseras de la cadena de suministro (las feas)

Hay entes externos que pueden interceptar dispositivos o programas durante su fabricación e introducir programas malintencionados. Los routers de wifi son una diana usada con frecuencia, ya que son fáciles de manipular y los ciberdelincuentes pueden utilizarlos para acceder a información confidencial.

A menos que un experto en ciberseguridad inspeccione cada nueva adquisición antes de que pase a producción, las puertas traseras de la cadena de suministro pueden pasar desapercibidas. Nadie sospecha que los productos nuevos contengan este tipo de vulnerabilidades.

Las puertas traseras de la cadena de suministro suelen atacar redes y dispositivos que llevan información muy confidencial, lo que las hace especialmente destructivas. Un ataque de puerta trasera al software Orion de SolarWinds le costó a esta empresa más de 18 millones de dólares.

No puedes hacer mucho para evitar las puertas traseras integradas o de la cadena de suministro, aparte de comprar en tiendas de confianza o hacer que un experto en ciberseguridad compruebe el producto.

Sin embargo, puedes tomar medidas para evitar troyanos de puerta trasera. Veamos cómo funcionan y qué puedes hacer para evitarlos.

Funcionamiento de los troyanos de puerta trasera

Los ataques de troyanos de puerta trasera tienen como objetivo:

  1. sortear toda la seguridad; y
  2. obtener acceso root a un sistema, es decir, privilegios de administrador.

Cuando un ciberdelincuente consigue acceder a tu red o tus dispositivos, puede desplegar una serie de programas más complejos.

Puede hacerlo siguiendo una serie de pasos: el atacante utiliza un nivel bajo de acceso para obtener más privilegios y repite el proceso hasta que tiene acceso total a tus sistemas. Este método sistemático ayuda a evitar que el atacante sea detectado.

Una vez has instalado la puerta trasera, los ciberdelincuentes pueden vigilar todos tus movimientos y hackear tus dispositivos. Pueden apoderarse de tu vida digital sin que sospeches nada.

Ejemplos de ataques de puerta trasera

Veamos con más detalle dos ejemplos de ataques de puerta trasera.

El ransomware de DarkSide

El ransomware de DarkSide provocó escasez de combustible en la costa este de Estados Unidos cuando atacó a un importante operador de oleoductos en mayo de 2021. Fue uno de los ciberataques más destructivos llevados a cabo en contra de infraestructuras cruciales.

Los ciberdelincuentes de DarkSide utilizaron una combinación de ataques de phishing selectivos y aprovechamiento de vulnerabilidades conocidas en los sistemas operativos para desplegar su software malintencionado. El malware se infiltraba en sistemas seguros a través de estas puertas traseras, bloqueaba los ordenadores de los usuarios y mostraba un mensaje de estafa como el siguiente.

Los ciberdelincuentes recurren a la ingeniería social para lograr que las víctimas paguen. Además de interrumpir las operaciones de la empresa Coastal Pipeline, Darkside amenazó con hacer pública información confidencial si la empresa no pagaba el rescate.

Es posible evitar sufrir ataques de puerta trasera como resultado del phishing y las contraseñas poco seguras. Si un empleado hubiera utilizado contraseñas seguras y exclusivas o si hubiera tenido autenticación multifactor no se habría producido el ataque

NotPetya (familia Petya)

Al igual que DarkSide, NotPetya denegaba al usuario el acceso a una máquina o red y mostraba un mensaje de rescate. Pedían a los usuarios que pagaran en criptomonedas si querían obtener una clave que desbloqueara su sistema.

El ataque NotPetya tuvo lugar en junio de 2017 y afectó a más de 80 empresas de Estados Unidos, Reino Unido, Alemania, Polonia, Italia, Rusia y Ucrania. Una evaluación de la Casa Blanca estimó que NotPetya causó pérdidas superiores a los 10.000 millones de dólares.

Los creadores de NotPetya ocultaron la puerta trasera en una actualización legítima del programa de contabilidad ucraniano MeDoc. Los desarrolladores de software de MeDoc dijeron que la puerta trasera se infiltró como una descarga malintencionada y que no tenían ni idea de que su actualización contuviera código de ransomware.

Cuando las víctimas actualizaron su versión de MeDoc, instalaron involuntariamente el malware. El ransomware se propagó rápidamente por decenas de países y empresas. Como la puerta trasera se instaló con un programa informático de confianza, el ataque NotPetya fue casi imposible de prevenir.

Lo irónico es que esta versión del malware Petya se basaba en una vulnerabilidad para Windows (EternalBlue) desarrollada por la Agencia Nacional de Seguridad (NSA) de Estados Unidos.

Formas de protegerte de un ataque de puerta trasera

Si te vas a quedar con una idea clave de este artículo, que sea que pagar por protección contra ataques de puerta trasera es mejor que ser hackeado. No solo hay que tener cuidado con los terceros malintencionados, la NSA te vigila e incluso el FBI está financiando puertas traseras con fines de vigilancia.

¿Qué puedes hacer para estar a salvo de los ataques de puerta trasera? Algunas cosas muy sencillas:

          • No adquieras hardware de fuentes dudosas. Asegúrate de que todo lo que compres tenga garantía del fabricante y del vendedor.
          • No confíes en las credenciales de inicio de sesión que vengan predeterminadas. Una contraseña exclusiva es la mejor protección contra las puertas traseras y el malware. Usa autenticación multifactor siempre que sea posible
          • No te descargues archivos ni instales software de fuentes poco fiables.
          • No te conectes a internet mediante redes públicas no seguras. Compra CyberGhost VPN ahora para cifrar tu conexión.
          • Mantén el antivirus actualizado y lleva a cabo análisis completos del sistema con regularidad.

Las empresas de hardware rara vez tienen un control total sobre las prácticas de seguridad de sus proveedores. Un eslabón débil en una cadena de suministro puede dar lugar a una puerta trasera de este tipo. Aunque se pueden parchear las vulnerabilidades al actualizar periódicamente el firmware, no todos los fabricantes se enfrentan a los virus de forma proactiva.

Las puertas traseras del fabricante a veces se dejan abiertas para proporcionar un servicio de mantenimiento poscompra de alto nivel. Las empresas menos reputadas pueden tener motivos más turbios para dejar sus productos sin proteger.

Una puerta trasera integrada es la forma más fácil para que el atacante consiga acceso directo a un sistema seguro o red. Además de elegir un fabricante de confianza, no puedes hacer mucho más para protegerte de este tipo de ataques

.

Maneras de detectar un troyano de puerta trasera

Los malwares de puerta trasera no siempre son fáciles de detectar. Los ciberdelincuentes innovan constantemente para atacar a usuarios específicos, como ocurrió con los ataques NotPetya y DarkSide.

Los cortafuegos antimalware comprueban archivos, enlaces y procesos, y los comparan con bases de datos de amenazas conocidas para protegerte de los programas malintencionados. Este método es eficaz, pero no es infalible.

Otros métodos llevan tu protección  al siguiente nivel. El paquete de seguridad de CyberGhost incluye el software antivirus de primera categoría de Intego. Este antivirus utiliza análisis avanzados de comportamiento para detectar programas malintencionados que todavía no figuran en las bases de datos de ciberseguridad.

Algunas puertas traseras pueden penetrar incluso los protocolos de ciberseguridad más complejos. Estas puertas traseras son difíciles de desarrollar y suelen dirigirse a redes y sistemas corporativos.

Los expertos en ciberseguridad pueden detectarlas y eliminarlas manualmente, pero esto consume muchos recursos.

En pocas palabras, los equipos de ciberseguridad:

          • Implementan los cortafuegos.
          • Supervisan detenidamente todos los procesos en ejecución, las solicitudes de comunicación (y a menudo supervisan puertos individuales) y las modificaciones de archivos.
          • Ubican el malware mediante un proceso iterativo de descubrimiento y análisis.

El lado bueno es que, para el ransomware, la detección no es un problema. Esto se debe a que cuando te aparece un mensaje de rescate, sabes que estás en problemas.

Modos de eliminar un virus de puerta trasera

Es difícil detectar troyanos de puerta trasera, pero al menos eliminarlos es fácil, ¿no? Ojalá.

Tu mejor opción es elegir un antivirus que disponga de herramientas de eliminación automática. CyberGhost VPN tiene una herramienta de detección y eliminación de puertas traseras que se actualiza constantemente.

Si se trata de un troyano de puerta trasera común y corriente, puedes intentar eliminarlo con tu antivirus. Así es como puedes hacerlo:

  1. Instala el antivirus en el equipo infectado. Si el antivirus ya estaba instalado cuando el equipo se infectó, elige otro.
  2. Comprueba que la aplicación y las definiciones de virus estén actualizadas.
  3. Desconecta el ordenador de internet. Apaga el adaptador de red y desconecta físicamente el cable. Si sospechas que hay malware en el router, apaga también el router o el módem.
  4. Reinicia el ordenador en modo a prueba de fallos y analiza el sistema por completo.
  5. Reinicia el ordenador en modo a prueba de fallos y vuelve a analizar el sistema por completo. Asegúrate de incluir todos los dispositivos de red.
  6. Restaura el ordenador a una fecha anterior para que te deshagas de cualquier modificación de archivos realizada por el programa de puerta trasera.
  7. Repite estos pasos en todos los dispositivos que utilicen la red. Los virus backdoor tienen la capacidad de replicarse como gusanos, así que mejor comprueba toda la red antes de bajar la guardia.

En caso de que sean puertas traseras más complicadas tendrás que hacer una limpieza completa del sistema. Es una solución segura y asequible para garantizar que detectes, pongas en cuarentena y elimines todos los archivos infectados.

En este caso, no utilices ninguna copia de seguridad que hayas almacenado en tu equipo.

Ni siquiera un borrado completo del sistema puede hacer algo contra los ataques de la cadena de suministro y puertas traseras de hardware. En el mejor de los casos, tendrás que instalar una versión del firmware que no sea vulnerable a la puerta trasera. Si eso no funciona, tendrás que deshacerte del hardware infectado.

Afortunadamente, los sistemas operativos se han vuelto mucho menos vulnerables a las puertas traseras. Ya no recuerdo cuántas veces tuve que reinstalar Windows XP porque uno de mis amigos hizo clic en la ventana emergente equivocada.

¿Tienes alguna experiencia personal con troyanos persistentes? Cuéntamelo en los comentarios al final del artículo.

Preguntas frecuentes

¿Cuál es la diferencia entre una puerta trasera y un troyano?

Una puerta trasera (o backdoor) es un método oculto de acceder a una aplicación, equipo o red que elude las medidas de seguridad habituales. En el desarrollo de software, tienen un uso legítimo, pero se supone que las empresas los eliminan antes de enviar los productos.
Un troyano es un programa malintencionado que engaña al usuario para que lo descargue aparentando ser legítimo. Los troyanos suelen camuflarse como un documento de Word, un pdf, un mp3 o un archivo ejecutable (.exe). Si alguna vez has visto una ventana emergente que afirma que puede descargar e instalar más RAM o un mensaje de correo electrónico de una dirección desconocida titulado «PETICIÓN URGENTE», probablemente te hayas topado ya con un troyano.

¿Qué crea una puerta trasera en un ordenador?

Los desarrolladores crean las puertas traseras de fabricante durante el desarrollo del software. Por lo general, no se quedan en el producto final, pero es posible que haya errores. Los ciberdelincuentes pueden aprovechar estas puertas traseras para atacar equipos y redes.
Algunos terceros malintencionados, como los hackers o los ciberdelincuentes (que a veces trabajan en nombre de agencias de inteligencia) crean puertas traseras para saltarse los protocolos de seguridad. Pueden utilizar puertas traseras para recabar información, tomar el control de los sistemas o dañar físicamente las redes.
Las puertas traseras también se producen cuando la gente no sigue las prácticas óptimas de seguridad, por ejemplo, si usan una contraseña poco segura para proteger la información confidencial o se saltan la autenticación de dos factores. Los ciberdelincuentes pueden aprovechar estas vulnerabilidades de seguridad involuntarias para acceder a redes y dispositivos.

¿Cuál es la diferencia entre una puerta trasera y una trampilla?

En informática, las puertas traseras se llamaron inicialmente trampillas (o trapdoors). Hoy en día, el término «trampilla» está vinculado a la función de trampilla, que forma parte del funcionamiento interno de los algoritmos de cifrado.
Una función de trampilla es una operación matemática fácil de realizar en una dirección, pero muy difícil de calcular en sentido inverso, a menos que se disponga de información especial (la trampilla). Si la función de trampilla es un candado, la trampilla sería la llave.
Las puertas traseras se asocian hoy en día con el acceso encubierto al sistema, mientras que las trampillas tienen que ver con criptografía.

¿Cómo instalan los hackers el malware?

Los ciberdelincuentes pueden instalar programas malintencionados mediante las credenciales de inicio de sesión fáciles de descifrar, los ataques de phishing, las descargas no autorizadas, los registradores de pulsaciones de teclado, los troyanos, las redes vulnerables o mediante el acceso físico al propio equipo. Las puertas traseras son una de las formas que tienen los ciberdelincuentes de acceder a tus dispositivos para instalar malware.

Autor Vlad Melnic

Vlad es un experto escritor de tecnología y un firme defensor de la privacidad en internet. Cuando no está trabajando está aprendiendo Python, probando las más nuevas recetas veganas con su esposa, o leyendo un buen libro. Nunca ha tenido una PC que él no haya construido.

Sígueme

Dejar un comentario

Escribir un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con un asterisco (*).