Puerta trasera

Una puerta trasera o Backdoor es un método utilizado para sortear las barreras de autentificación y encriptación de un ordenador y crear un acceso secreto que permita acceder y controlar un equipo o dispositivo sin que el usuario se dé cuenta.

Backdoor o Puerta Trasera: qué es

Algunas son instaladas voluntariamente para dar acceso a usuarios remotos. Aplicado al malware, los virus de puerta trasera son aquellos en los que los hackers acceden a funciones del ordenador de manera oculta y trabajan en segundo plano. Este tipo de virus son, en realidad, una combinación de diferentes amenazas de seguridad, y algunos funcionan automáticamente y no necesitan ser controlados de manera remota.

 

Cómo se extienden

A menudo, las puertas traseras se introducen en el sistema gracias a otros programas nocivos como troyanos, virus o incluso spyware. Consiguen acceso sin que el administrador se de cuenta y luego infectan las sesiones a cada uno de los usuarios conectados a la red comprometida. Es posible que algunas amenazas puedan ser colocadas con carácter previo por usuarios que tienen los privilegios adecuados, para ganar acceso más tarde.

Ciertas backdoors se integran en aplicaciones específicas. En ocasiones programas legítimos pueden tener vulnerabilidades no documentadas que permiten el acceso remoto. En estos casos los atacantes siguen necesitando alguna forma de entrar en contacto con el equipo afectado para obtener inmediatamente un acceso no autorizado al sistema.

Los propios usuarios pueden instalar accidentalmente puertas traseras en sus ordenadores sin darse cuenta. Un virus de puerta trasera puede venir adjunto a aplicaciones de intercambio de archivos o mensajes de correo electrónico. A veces utilizan técnicas análogas a las del scareware y el ransomware.

Algunas puertas traseras pueden utilizarse mediante la explotación de sistemas remotos con vulnerabilidades de seguridad específicas, en los equipos o la red.

 

¿Qué daños pueden causar?

Los virus que se introducen mediante backdoors a menudo tienen capacidades destructivas adicionales: realizan capturas de pantalla, registran de pulsaciones de teclas o infectan y cifran archivos. Una puerta trasera permite al intruso crear, eliminar, renombrar, editar o copiar cualquier archivo, ejecutar diferentes comandos, cambiar cualquier configuración del sistema, borrar el registro de Windows, ejecutar, controlar y terminar aplicaciones, o instalar nuevo malware.

Asimismo permite al atacante controlar los dispositivos de hardware, modificar la configuración relacionada, reiniciar o apagar un equipo sin pedir permiso y robar datos personales confidenciales, contraseñas, nombres de inicio de sesión, detalles de identidad y documentos valiosos.

Algunos ataques de puerta trasera son rentabilizados registrando la actividad de los usuarios y rastreando los hábitos de navegación web o infectando archivos, dañando el sistema y corrompiendo las aplicaciones.

 

Ejemplos de ataques de puerta trasera

Un ejemplo es Sticky Attacks, detectado por por PandaLabs en 2017. En este caso, los atacantes recurren a un ataque de fuerza bruta contra un servidor que tiene habilitado el Remote Desktop Protocol (RDP) y consiguen las credenciales para acceder al equipo. A partir de ahí, los ciberdelincuentes hacen uso de scripts y herramientas del propio sistema operativo para pasar desapercibidos e instalar una sencilla puerta trasera.

Aunque la víctima se dé cuenta de que ha sido comprometida y modifique las credenciales de acceso del Escritorio Remoto, el atacante puede aprovechar las Sticky keys (teclas especiales) para acceder al equipo sin necesidad de introducir las credenciales de acceso.

Otra muestra reciente es DoublePulsar, una herramienta para implantar puertas traseras desarrollada por la Agencia Nacional de Seguridad de EE.UU. (NSA) que fue filtrada y utilizada por el grupo de hackers Shadow Brokers a principios de 2017. Según las revelaciones, esta herramienta infectó a más de 200.000 ordenadores con Microsoft Windows en tan sólo unas semanas y se utilizó junto con EternalBlue en el ataque de WannaCry en mayo de 2017.