Información clave

  • En 2023, el 70% de las organizaciones informaron haber descubierto al menos una puerta trasera en sus sistemas (fuente: Cybersecurity Ventures).
  • Las puertas traseras estuvieron implicadas en el 30% de todas las filtraciones de datos en 2023 (fuente: Informe de Verizon sobre investigaciones de filtraciones de datos).

Las puertas traseras suponen una amenaza crítica para la ciberseguridad, ya que permiten a los atacantes eludir las defensas estándar y acceder en secreto a los sistemas. A diferencia de los ataques frontales, que activan alarmas evidentes, una puerta trasera es un punto de entrada oculto que elude los controles normales de autenticación y seguridad. Una vez insertada, una puerta trasera puede conceder acceso persistente y de alto nivel a usuarios no autorizados, permitiendo el robo de datos, la vigilancia y otros ataques, a la vez que suele pasar desapercibida durante largos periodos. Este informe proporciona una visión en profundidad de las puertas traseras para los profesionales de la ciberseguridad - cubriendo definiciones, fundamentos técnicos, tipos de puertas traseras, ejemplos históricos de ataques, técnicas de detección y mejores prácticas para la prevención y mitigación (incluyendo plataformas modernas como Vectra AI para la detección avanzada de amenazas). El objetivo es dotar a los equipos de seguridad de un conocimiento profundo de las amenazas y defensas de las puertas traseras.

¿Qué es una puerta trasera? (Definición y explicación técnica)

En ciberseguridad, una puerta trasera suele definirse como un método encubierto de eludir la autenticación o seguridad normales en un sistema, red o software, concediendo así acceso remoto no autorizado al atacante. En esencia, funciona como una "trampilla" secreta en software o hardware: una entrada alternativa que no está protegida por los mecanismos de seguridad habituales. Las puertas traseras pueden introducirse intencionadamente (por ejemplo, por desarrolladores o personas malintencionadas) o inadvertidamente (a través de vulnerabilidades o malas configuraciones).

Mecanismos técnicos

Una puerta trasera puede adoptar muchas formas técnicas. Puede ser una sección oculta de código dentro de una aplicación, un programa malicioso independiente que se ejecuta con privilegios elevados, una modificación del firmware o incluso una cuenta secreta integrada en un sistema operativo . Algunas puertas traseras son tan sencillas como malware que abre un puerto de red a la escucha para aceptar comandos, mientras que otras son más sutiles; por ejemplo, las puertas traseras criptográficas que debilitan intencionadamente los algoritmos de cifrado. En el famoso caso Dual_EC_DRBG, el generador de números aleatorios se diseñó con una relación oculta entre sus constantes criptográficas; un atacante que conociera el secreto podría predecir todos los futuros números "aleatorios" que produjera , subvirtiendo de forma efectiva la seguridad del cifrado. Este tipo de puerta trasera algorítmica demuestra que incluso los componentes matemáticos pueden ser manipulados para socavar la seguridad.

Instalación y persistencia

Los atacantes instalan puertas traseras mediante diversos métodos. Entre los vectores más comunes se encuentran los troyanos malware distribuidos mediante phishing o descargas drive-by, la explotación de vulnerabilidades de software no parcheadas, el abuso de credenciales predeterminadas o los compromisos de la cadena de suministro en los que se inserta código malicioso durante el desarrollo de software o la distribución de actualizaciones. Una vez instalado, un backdoor suele establecer su persistencia (por ejemplo, modificando los scripts de inicio o el firmware) para sobrevivir a reinicios y actualizaciones. Muchas puertas traseras también emplean técnicas de ocultación (como rootkits que ocultan procesos o se hacen pasar por servicios legítimos) para evitar su detección. Con una puerta trasera instalada, los atacantes pueden ejecutar comandos con privilegios elevados, controlar la actividad de los usuarios, filtrar datos e incluso propagarse lateralmente a otros sistemas, todo ello eludiendo los controles de seguridad habituales y siendo a menudo muy difíciles de detectar.

Tipos de puertas traseras

Las puertas traseras pueden clasificarse según la capa o el componente al que se dirijan. A continuación se describen los principales tipos de puertas traseras, cada uno con características y riesgos distintos:

Puertas traseras del sistema

Estas puertas traseras operan a nivel del sistema operativo o del kernel, a menudo otorgando control de root o de administrador sobre la máquina objetivo. Pueden introducirse a través de rootkits, malware sigiloso que se engancha al kernel del sistema operativo para ocultar su presencia. Las puertas traseras a nivel de sistema también pueden adoptar la forma de cuentas de usuario del sistema operativo no documentadas o servicios que escuchan en puertos secretos. Como se ejecutan con privilegios elevados, pueden ser muy potentes y persistentes. Por ejemplo, una puerta trasera en modo kernel podría interceptar llamadas al sistema para ocultar actividades maliciosas, o permitir a un atacante iniciar sesión con una contraseña maestra desconocida para los usuarios legítimos. Se trata de las puertas traseras más peligrosas, ya que socavan la seguridad fundamental del sistema operativo.

Puertas traseras a nivel de aplicación

Una puerta trasera a nivel de aplicación es un código malicioso incrustado en una aplicación o componente de software. Los atacantes pueden modificar una aplicación (o engañar a un desarrollador para que incluya una dependencia contaminada) de forma que contenga una funcionalidad oculta para eludir la autenticación o desviar datos. Como la puerta trasera opera dentro del contexto de una aplicación de confianza, puede no ser obvia para los usuarios o administradores. Por ejemplo, una aplicación web puede tener un modo de "depuración" oculto o una interfaz de administración (un gancho de mantenimiento) dejado por los desarrolladores que puede ser activado como una puerta trasera. Las puertas traseras de aplicaciones se limitan normalmente al ámbito de ese software, por lo que su impacto puede ser menor que el de una puerta trasera a nivel de sistema, pero siguen planteando graves riesgos al exponer potencialmente datos sensibles de aplicaciones o cuentas de usuario. En particular, algunos malware establecen puertas traseras web shell en aplicaciones de servidor web, lo que permite a los atacantes ejecutar comandos en el servidor a través de peticiones HTTP.

Puertas traseras de hardware/firmware

Se trata de puertas traseras instaladas en dispositivos de hardware o firmware de bajo nivel, a menudo durante la fabricación o en ataques a la cadena de suministro. Las puertas traseras de hardware pueden ser extremadamente sigilosas y persistentes. Algunos ejemplos son tarjetas de red, routers o placas base modificados con lógica oculta que acepta comandos especiales, o implantes de firmware en BIOS/UEFI o controladores de dispositivos. Como residen por debajo del sistema operativo, las puertas traseras de hardware pueden eludir el software de seguridad tradicional. Un ejemplo histórico fue el chip Clipper propuesto en la década de 1990 (un chip de cifrado con una puerta trasera de custodia de claves gubernamental incorporada). Más recientemente, malware como VPNFilter atacaban el firmware de los routers, instalando puertas traseras que sobrevivían a los reinicios y permitían a los atacantes espiar el tráfico de la red. Además, han surgido preocupaciones sobre puertas traseras en hardware crítico como aceleradores criptográficos o motores de gestión (por ejemplo, el subsistema AMT de Intel) que podrían otorgar a los atacantes un control casi total si se explotan. Las puertas traseras a nivel de hardware son difíciles de detectar y eliminar; a menudo la única solución es sustituir el hardware comprometido.

Troyanos de acceso remoto (RAT) y herramientas de administración remota

Una RAT es un programa malware que proporciona a un atacante el control administrativo remoto de un sistema a través de un canal de puerta trasera. Las RAT suelen camuflarse como archivos inofensivos o software legítimo, pero una vez ejecutadas abren un enlace de comunicación secreto entre el atacante y el ordenador de la víctima. Esto permite al atacante emitir comandos, vigilar al usuario (por ejemplo, mediante el registro de pulsaciones de teclas o la activación de la webcam), robar archivos e incluso manipular el sistema en tiempo real. Las RAT como Back Orifice (1998), SubSeven y Poison Ivy se hicieron famosas a finales de los 90 y en la década de 2000 por dar a los hackers el control total de las máquinas Windows de forma encubierta . Las RAT modernas se distribuyen a menudo a través de correos electrónicos phishing o descargas no autorizadas y se ejecutan silenciosamente en segundo plano, a menudo tratando de evadir la detección imitando el comportamiento normal de los procesos o utilizando el cifrado para su tráfico de red . Dado que las RAT son esencialmente puertas traseras (que proporcionan un punto de acceso remoto no autorizado), son una herramienta frecuente en las intrusiones. Los profesionales de la seguridad tratan cualquier infección detectada de RAT como una violación grave debido a la amplitud del control que da a los atacantes. (Cabe señalar que las puertas traseras también se pueden clasificar de otras maneras, por ejemplo, según la intención (puertas traseras maliciosas frente a legítimas de mantenimiento) o según la fase del ataque (preinstaladas frente a posteriores a la explotación). También hay que mencionar las puertas traseras criptográficas: se trata de puntos débiles introducidos intencionadamente en algoritmos o protocolos de cifrado. El caso de Dual_EC_DRBG, del que hablaremos más adelante, es un buen ejemplo de puerta trasera criptográfica en un algoritmo. Independientemente del tipo, todas las puertas traseras comparten el tema común de una ruta de acceso que elude la seguridad normal).

Ejemplos notables de puertas traseras

Ejemplos históricos notables de ataques con puertas traseras Las puertas traseras han desempeñado un papel en numerosos incidentes cibernéticos de gran repercusión. A continuación destacamos varios ejemplos notables que ilustran cómo se implantan las puertas traseras y el impacto que pueden tener:

SolarWinds "SUNBURST" Ataque a Supply Chain (2020)

El incidente de SolarWinds es uno de los ataques a la cadena de suministro más infames de la historia reciente. Los atacantes (atribuidos a la APT29 rusa, alias Cozy Bear) comprometieron el proceso de creación del software de gestión de TI Orion de SolarWinds e insertaron una puerta trasera oculta en una actualización de software rutinaria. Cuando los clientes (más de 18.000) instalaron la actualización troyanizada, la puerta trasera -denominada SUNBURST- se activó y permitió a los atacantes el acceso remoto a las redes de esas organizaciones. Este backdoor se utilizó para el reconocimiento encubierto y la exfiltración de datos, y permaneció sin ser detectado durante muchos meses en 2020. Afectó a objetivos de alto valor, como agencias gubernamentales estadounidenses (Seguridad Nacional, Tesoro, etc.) y empresas tecnológicas (Microsoft, FireEye). La brecha fue descubierta finalmente por FireEye en diciembre de 2020, cuando observaron un comportamiento anómalo en su propia red y lo rastrearon hasta el software Orion. El caso de SolarWinds puso de relieve el peligro de las puertas traseras en el software de terceros: aprovechando la confianza en las actualizaciones automáticas, los atacantes aprovecharon una única puerta trasera para infiltrarse potencialmente en miles de organizaciones a la vez.

Puerta trasera de cifrado Dual_EC_DRBG (2004-2013)

Dual_EC_DRBG es un generador criptográfico de números pseudoaleatorios que fue estandarizado por el NIST en 2006 y que posteriormente se descubrió que contenía una presunta puerta trasera diseñada por la NSA. El algoritmo utiliza matemáticas de curva elíptica e incluye un conjunto de constantes (puntos de una curva elíptica) que, si se eligen de forma malintencionada, podrían permitir a quienquiera que conozca el secreto que se esconde tras esas constantes predecir los números aleatorios generados. En 2007, los investigadores demostraron por primera vez que las constantes podían ser una trampilla oculta que permitía predecir la salida del RNG tras observar una pequeña muestra de los datos de salida. A pesar de estas advertencias, el algoritmo siguió siendo un estándar aprobado durante años. Los documentos filtrados por la NSA en 2013 (las filtraciones de Snowden) sugerían con fuerza que la NSA diseñó deliberadamente Dual_EC_DRBG para que fuera débil, como parte de su programa Bullrun para debilitar los estándares de cifrado. Más tarde se informó de que RSA Security recibió un contrato secreto de 10 millones de dólares de la NSA para utilizar Dual_EC_DRBG como generador aleatorio predeterminado en su biblioteca de cifrado BSAFE, una decisión que daría a la NSA una puerta trasera potencial en cualquier producto que utilizara esa biblioteca. Una vez que esto se hizo público, el NIST retiró Dual_EC_DRBG y los principales proveedores lo abandonaron. La saga de Dual_EC_DRBG es un ejemplo emblemático de puerta trasera a nivel de algoritmo: un componente aparentemente seguro que fue subvertido para permitir a los conocedores romper la seguridad. Planteó serios problemas de confianza en la industria con respecto a la influencia del gobierno sobre los estándares.

Backdoor ScreenOS de Juniper Networks (2015)

En 2015, Juniper Networks reveló que se había encontrado código no autorizado en ScreenOS (el sistema operativo de sus cortafuegos NetScreen) que introducía dos puertas traseras. Una de ellas era una contraseña maestra administrativa que permitía a los atacantes iniciar sesión de forma remota en los cortafuegos con todos los privilegios. La segunda era una puerta trasera de cifrado probablemente relacionada con Dual_EC_DRBG: la VPN de Juniper utilizaba Dual_EC para la aleatoriedad, y los atacantes habían cambiado la constante Dual_EC en ScreenOS -presumiblemente a una para la que conocían la clave secreta, lo que les permitía descifrar el tráfico VPN . Los investigadores señalaron que se trataba de un "ejemplo de libro de texto" de explotación de la debilidad Dual_EC instigada por la NSA . El incidente de Juniper demostró el peligro de aprovecharse de las puertas traseras exigidas por el gobierno: aunque la NSA no fuera directamente el atacante, alguien más reutilizó la debilidad para su propio espionaje . También puso de relieve cómo un actor sofisticado puede deslizar código malicioso en el código fuente de un producto (una amenaza de la cadena de suministro/interna), creando un acceso de puerta trasera difícil de detectar. Juniper publicó rápidamente parches para eliminar el código malicioso, pero el incidente dejó muchas dudas sobre la integridad de sus procesos de seguridad del código.

Orificio trasero (1998)

Uso indebido de herramientas de administración remota: Back Orifice fue lanzado en 1998 por un grupo de hackers (Cult of the Dead Cow) como una herramienta "legítima" de administración remota para Windows, pero pronto se hizo famoso como malware. Básicamente, funcionaba como una RAT/puerta trasera que permitía el control remoto de los sistemas Windows 95/98. Los atacantes engañaban a los usuarios para que ejecutaran el programa. Los atacantes engañaban a los usuarios para que ejecutaran Back Orifice, que se ejecutaba sigilosamente y permitía al atacante hacer cosas como capturar pantallas, pulsar teclas o manipular archivos en el PC de la víctima. Este primer ejemplo mostraba cómo una herramienta de administración remota podía convertirse en una puerta trasera, poniendo de manifiesto los graves riesgos de este tipo de acceso oculto. Una vez instalado, Back Orifice podía comprometer completamente la confidencialidad e integridad de un sistema. Esto enseñó a los profesionales de la seguridad que cualquier herramienta que conceda acceso remoto debe ser estrictamente controlada, ya que la línea entre una útil utilidad de administración y un troyano de puerta trasera puede ser muy fina.

Otros ejemplos notables de puertas traseras incluyen Stuxnet (2010), que empleó múltiples puertas traseras en sistemas industriales iraníes como parte de su carga útil ; la brecha de Sony Pictures (2014), donde los atacantes instalaron puertas traseras para mantener el acceso y exfiltrar grandes cantidades de datos ; y puertas traseras a nivel de hardware como los supuestos implantes de placas base reportados (polémicamente) en 2018. Cada incidente subraya las diversas formas en que pueden manifestarse las puertas traseras -a través de actualizaciones de software, malware, subversión criptográfica o manipulación de hardware- y las consecuencias potencialmente devastadoras cuando se utilizan.

Prevención de puertas traseras

La prevención de las puertas traseras requiere un enfoque integral y multicapa de la seguridad. He aquí varias estrategias que los equipos SOC pueden aplicar para minimizar el riesgo de instalación y explotación de puertas traseras:

1. Actualizaciones periódicas de software y gestión de parches

Mantener todo el software actualizado es crucial para evitar las puertas traseras. Los atacantes suelen aprovechar vulnerabilidades conocidas en software obsoleto para instalar puertas traseras.

  • Actualice periódicamente los sistemas operativos, las aplicaciones y el firmware.
  • Implantar un proceso de gestión de parches para garantizar la aplicación puntual de los parches de seguridad.

2. Controles de acceso estrictos

Limitar el acceso a los sistemas y datos sensibles puede reducir el riesgo de que personas internas instalen puertas traseras.

  • Aplique el principio del mínimo privilegio (PoLP): Proporcione a los usuarios únicamente el acceso necesario para realizar sus funciones laborales.
  • Utilice la autenticación multifactor (MFA) para añadir una capa adicional de seguridad.
  • Revise y actualice periódicamente los permisos de acceso para asegurarse de que son adecuados.

3. Segmentación de la red

Dividir una red en segmentos puede contener la propagación de un ataque y dificultar el desplazamiento lateral de los atacantes.

  • Implemente la segmentación de la red para aislar los sistemas críticos y los datos confidenciales.
  • Utilice VLAN y cortafuegos para controlar el tráfico entre segmentos.

4. Detección y vigilancia avanzadas de amenazas

Despliegue herramientas avanzadas para detectar y responder a actividades sospechosas que puedan indicar la presencia de una puerta trasera.

  • Utilice soluciones de detección de amenazas basadas en IA para identificar anomalías y comportamientos inusuales.
  • Implemente herramientas de detección y respuesta de puntos finales (EDR) para supervisar los puntos finales en busca de indicios de peligro.
  • Realice una supervisión continua de la red para detectar accesos no autorizados y filtración de datos.

5. Prácticas seguras de desarrollo de software

Asegúrese de que el software interno y de terceros sigue prácticas de codificación seguras para minimizar las vulnerabilidades que podrían explotarse.

  • Realice evaluaciones periódicas de la seguridad y revisiones del código durante el proceso de desarrollo.
  • Utilice herramientas automatizadas para buscar vulnerabilidades y fallos de seguridad en el código.
  • Implantar normas de codificación seguras e impartir formación a los desarrolladores.

6. Formación y sensibilización de los empleados

Educar a los empleados sobre las mejores prácticas de seguridad y las amenazas potenciales puede reducir el riesgo de amenazas internas y ataques de ingeniería social.

  • Imparta periódicamente cursos de concienciación sobre seguridad a todos los empleados.
  • Simule ataques phishing para educar a los empleados en el reconocimiento y la notificación de correos electrónicos sospechosos.
  • Fomente una cultura de seguridad en la que los empleados se sientan responsables de proteger los activos de la organización.

7. Planificación de la respuesta a incidentes

Prepárese para posibles incidentes de puerta trasera con un sólido plan de respuesta a incidentes.

  • Desarrollar y actualizar periódicamente un plan de respuesta a incidentes que incluya procedimientos para detectar, aislar y eliminar puertas traseras.
  • Realice simulacros y ejercicios de simulación periódicos para garantizar que el equipo de respuesta está preparado para incidentes reales.
  • Establecer protocolos de comunicación para notificar a las partes interesadas y coordinar los esfuerzos de respuesta.

Mediante la aplicación de estas estrategias, los equipos SOC pueden reducir significativamente el riesgo de instalación y explotación de puertas traseras, mejorando así la postura general de seguridad de su organización.

Cómo puede ayudar Vectra AI

Vectra AI destaca en la detección y mitigación de puertas traseras a través de avanzadas capacidades de detección de amenazas y respuesta basadas en IA. Al monitorizar continuamente el tráfico de red y los comportamientos del sistema, Vectra AI identifica actividades inusuales que pueden indicar la presencia de una puerta trasera. Nuestra plataforma proporciona información procesable y respuestas automatizadas para neutralizar las amenazas rápidamente. Para ver cómo Vectra AI puede mejorar su postura de seguridad, le invitamos a ver una demostración autoguiada de nuestra plataforma.

Más fundamentos de ciberseguridad

Preguntas frecuentes

¿Qué es una puerta trasera en ciberseguridad?

¿Cómo se instalan las puertas traseras?

¿Cuáles son los riesgos asociados a las puertas traseras?

¿Cómo pueden detectar las organizaciones las puertas traseras?

¿Cuáles son las estrategias eficaces para evitar la instalación de puertas traseras?

¿Pueden ser legítimas las puertas traseras y, en caso afirmativo, cómo se gestionan?

¿Cómo responden las organizaciones a una puerta trasera detectada?

¿Qué papel desempeña el cifrado en la protección contra las amenazas de puerta trasera?

¿Cómo cambia el panorama de las amenazas con la llegada del IoT y los dispositivos inteligentes?

¿Qué novedades se esperan en la lucha contra las puertas traseras?