Las puertas traseras suponen una amenaza crítica para la ciberseguridad, ya que permiten a los atacantes eludir las defensas estándar y acceder en secreto a los sistemas. A diferencia de los ataques frontales, que activan alarmas evidentes, una puerta trasera es un punto de entrada oculto que elude los controles normales de autenticación y seguridad. Una vez insertada, una puerta trasera puede conceder acceso persistente y de alto nivel a usuarios no autorizados, permitiendo el robo de datos, la vigilancia y otros ataques, a la vez que suele pasar desapercibida durante largos periodos. Este informe proporciona una visión en profundidad de las puertas traseras para los profesionales de la ciberseguridad - cubriendo definiciones, fundamentos técnicos, tipos de puertas traseras, ejemplos históricos de ataques, técnicas de detección y mejores prácticas para la prevención y mitigación (incluyendo plataformas modernas como Vectra AI para la detección avanzada de amenazas). El objetivo es dotar a los equipos de seguridad de un conocimiento profundo de las amenazas y defensas de las puertas traseras.
En ciberseguridad, una puerta trasera suele definirse como un método encubierto de eludir la autenticación o seguridad normales en un sistema, red o software, concediendo así acceso remoto no autorizado al atacante. En esencia, funciona como una "trampilla" secreta en software o hardware: una entrada alternativa que no está protegida por los mecanismos de seguridad habituales. Las puertas traseras pueden introducirse intencionadamente (por ejemplo, por desarrolladores o personas malintencionadas) o inadvertidamente (a través de vulnerabilidades o malas configuraciones).
Una puerta trasera puede adoptar muchas formas técnicas. Puede ser una sección oculta de código dentro de una aplicación, un programa malicioso independiente que se ejecuta con privilegios elevados, una modificación del firmware o incluso una cuenta secreta integrada en un sistema operativo . Algunas puertas traseras son tan sencillas como malware que abre un puerto de red a la escucha para aceptar comandos, mientras que otras son más sutiles; por ejemplo, las puertas traseras criptográficas que debilitan intencionadamente los algoritmos de cifrado. En el famoso caso Dual_EC_DRBG, el generador de números aleatorios se diseñó con una relación oculta entre sus constantes criptográficas; un atacante que conociera el secreto podría predecir todos los futuros números "aleatorios" que produjera , subvirtiendo de forma efectiva la seguridad del cifrado. Este tipo de puerta trasera algorítmica demuestra que incluso los componentes matemáticos pueden ser manipulados para socavar la seguridad.
Los atacantes instalan puertas traseras mediante diversos métodos. Entre los vectores más comunes se encuentran los troyanos malware distribuidos mediante phishing o descargas drive-by, la explotación de vulnerabilidades de software no parcheadas, el abuso de credenciales predeterminadas o los compromisos de la cadena de suministro en los que se inserta código malicioso durante el desarrollo de software o la distribución de actualizaciones. Una vez instalado, un backdoor suele establecer su persistencia (por ejemplo, modificando los scripts de inicio o el firmware) para sobrevivir a reinicios y actualizaciones. Muchas puertas traseras también emplean técnicas de ocultación (como rootkits que ocultan procesos o se hacen pasar por servicios legítimos) para evitar su detección. Con una puerta trasera instalada, los atacantes pueden ejecutar comandos con privilegios elevados, controlar la actividad de los usuarios, filtrar datos e incluso propagarse lateralmente a otros sistemas, todo ello eludiendo los controles de seguridad habituales y siendo a menudo muy difíciles de detectar.
Las puertas traseras pueden clasificarse según la capa o el componente al que se dirijan. A continuación se describen los principales tipos de puertas traseras, cada uno con características y riesgos distintos:
Estas puertas traseras operan a nivel del sistema operativo o del kernel, a menudo otorgando control de root o de administrador sobre la máquina objetivo. Pueden introducirse a través de rootkits, malware sigiloso que se engancha al kernel del sistema operativo para ocultar su presencia. Las puertas traseras a nivel de sistema también pueden adoptar la forma de cuentas de usuario del sistema operativo no documentadas o servicios que escuchan en puertos secretos. Como se ejecutan con privilegios elevados, pueden ser muy potentes y persistentes. Por ejemplo, una puerta trasera en modo kernel podría interceptar llamadas al sistema para ocultar actividades maliciosas, o permitir a un atacante iniciar sesión con una contraseña maestra desconocida para los usuarios legítimos. Se trata de las puertas traseras más peligrosas, ya que socavan la seguridad fundamental del sistema operativo.
Una puerta trasera a nivel de aplicación es un código malicioso incrustado en una aplicación o componente de software. Los atacantes pueden modificar una aplicación (o engañar a un desarrollador para que incluya una dependencia contaminada) de forma que contenga una funcionalidad oculta para eludir la autenticación o desviar datos. Como la puerta trasera opera dentro del contexto de una aplicación de confianza, puede no ser obvia para los usuarios o administradores. Por ejemplo, una aplicación web puede tener un modo de "depuración" oculto o una interfaz de administración (un gancho de mantenimiento) dejado por los desarrolladores que puede ser activado como una puerta trasera. Las puertas traseras de aplicaciones se limitan normalmente al ámbito de ese software, por lo que su impacto puede ser menor que el de una puerta trasera a nivel de sistema, pero siguen planteando graves riesgos al exponer potencialmente datos sensibles de aplicaciones o cuentas de usuario. En particular, algunos malware establecen puertas traseras web shell en aplicaciones de servidor web, lo que permite a los atacantes ejecutar comandos en el servidor a través de peticiones HTTP.
Se trata de puertas traseras instaladas en dispositivos de hardware o firmware de bajo nivel, a menudo durante la fabricación o en ataques a la cadena de suministro. Las puertas traseras de hardware pueden ser extremadamente sigilosas y persistentes. Algunos ejemplos son tarjetas de red, routers o placas base modificados con lógica oculta que acepta comandos especiales, o implantes de firmware en BIOS/UEFI o controladores de dispositivos. Como residen por debajo del sistema operativo, las puertas traseras de hardware pueden eludir el software de seguridad tradicional. Un ejemplo histórico fue el chip Clipper propuesto en la década de 1990 (un chip de cifrado con una puerta trasera de custodia de claves gubernamental incorporada). Más recientemente, malware como VPNFilter atacaban el firmware de los routers, instalando puertas traseras que sobrevivían a los reinicios y permitían a los atacantes espiar el tráfico de la red. Además, han surgido preocupaciones sobre puertas traseras en hardware crítico como aceleradores criptográficos o motores de gestión (por ejemplo, el subsistema AMT de Intel) que podrían otorgar a los atacantes un control casi total si se explotan. Las puertas traseras a nivel de hardware son difíciles de detectar y eliminar; a menudo la única solución es sustituir el hardware comprometido.
Una RAT es un programa malware que proporciona a un atacante el control administrativo remoto de un sistema a través de un canal de puerta trasera. Las RAT suelen camuflarse como archivos inofensivos o software legítimo, pero una vez ejecutadas abren un enlace de comunicación secreto entre el atacante y el ordenador de la víctima. Esto permite al atacante emitir comandos, vigilar al usuario (por ejemplo, mediante el registro de pulsaciones de teclas o la activación de la webcam), robar archivos e incluso manipular el sistema en tiempo real. Las RAT como Back Orifice (1998), SubSeven y Poison Ivy se hicieron famosas a finales de los 90 y en la década de 2000 por dar a los hackers el control total de las máquinas Windows de forma encubierta . Las RAT modernas se distribuyen a menudo a través de correos electrónicos phishing o descargas no autorizadas y se ejecutan silenciosamente en segundo plano, a menudo tratando de evadir la detección imitando el comportamiento normal de los procesos o utilizando el cifrado para su tráfico de red . Dado que las RAT son esencialmente puertas traseras (que proporcionan un punto de acceso remoto no autorizado), son una herramienta frecuente en las intrusiones. Los profesionales de la seguridad tratan cualquier infección detectada de RAT como una violación grave debido a la amplitud del control que da a los atacantes. (Cabe señalar que las puertas traseras también se pueden clasificar de otras maneras, por ejemplo, según la intención (puertas traseras maliciosas frente a legítimas de mantenimiento) o según la fase del ataque (preinstaladas frente a posteriores a la explotación). También hay que mencionar las puertas traseras criptográficas: se trata de puntos débiles introducidos intencionadamente en algoritmos o protocolos de cifrado. El caso de Dual_EC_DRBG, del que hablaremos más adelante, es un buen ejemplo de puerta trasera criptográfica en un algoritmo. Independientemente del tipo, todas las puertas traseras comparten el tema común de una ruta de acceso que elude la seguridad normal).
Ejemplos históricos notables de ataques con puertas traseras Las puertas traseras han desempeñado un papel en numerosos incidentes cibernéticos de gran repercusión. A continuación destacamos varios ejemplos notables que ilustran cómo se implantan las puertas traseras y el impacto que pueden tener:
El incidente de SolarWinds es uno de los ataques a la cadena de suministro más infames de la historia reciente. Los atacantes (atribuidos a la APT29 rusa, alias Cozy Bear) comprometieron el proceso de creación del software de gestión de TI Orion de SolarWinds e insertaron una puerta trasera oculta en una actualización de software rutinaria. Cuando los clientes (más de 18.000) instalaron la actualización troyanizada, la puerta trasera -denominada SUNBURST- se activó y permitió a los atacantes el acceso remoto a las redes de esas organizaciones. Este backdoor se utilizó para el reconocimiento encubierto y la exfiltración de datos, y permaneció sin ser detectado durante muchos meses en 2020. Afectó a objetivos de alto valor, como agencias gubernamentales estadounidenses (Seguridad Nacional, Tesoro, etc.) y empresas tecnológicas (Microsoft, FireEye). La brecha fue descubierta finalmente por FireEye en diciembre de 2020, cuando observaron un comportamiento anómalo en su propia red y lo rastrearon hasta el software Orion. El caso de SolarWinds puso de relieve el peligro de las puertas traseras en el software de terceros: aprovechando la confianza en las actualizaciones automáticas, los atacantes aprovecharon una única puerta trasera para infiltrarse potencialmente en miles de organizaciones a la vez.
Dual_EC_DRBG es un generador criptográfico de números pseudoaleatorios que fue estandarizado por el NIST en 2006 y que posteriormente se descubrió que contenía una presunta puerta trasera diseñada por la NSA. El algoritmo utiliza matemáticas de curva elíptica e incluye un conjunto de constantes (puntos de una curva elíptica) que, si se eligen de forma malintencionada, podrían permitir a quienquiera que conozca el secreto que se esconde tras esas constantes predecir los números aleatorios generados. En 2007, los investigadores demostraron por primera vez que las constantes podían ser una trampilla oculta que permitía predecir la salida del RNG tras observar una pequeña muestra de los datos de salida. A pesar de estas advertencias, el algoritmo siguió siendo un estándar aprobado durante años. Los documentos filtrados por la NSA en 2013 (las filtraciones de Snowden) sugerían con fuerza que la NSA diseñó deliberadamente Dual_EC_DRBG para que fuera débil, como parte de su programa Bullrun para debilitar los estándares de cifrado. Más tarde se informó de que RSA Security recibió un contrato secreto de 10 millones de dólares de la NSA para utilizar Dual_EC_DRBG como generador aleatorio predeterminado en su biblioteca de cifrado BSAFE, una decisión que daría a la NSA una puerta trasera potencial en cualquier producto que utilizara esa biblioteca. Una vez que esto se hizo público, el NIST retiró Dual_EC_DRBG y los principales proveedores lo abandonaron. La saga de Dual_EC_DRBG es un ejemplo emblemático de puerta trasera a nivel de algoritmo: un componente aparentemente seguro que fue subvertido para permitir a los conocedores romper la seguridad. Planteó serios problemas de confianza en la industria con respecto a la influencia del gobierno sobre los estándares.
En 2015, Juniper Networks reveló que se había encontrado código no autorizado en ScreenOS (el sistema operativo de sus cortafuegos NetScreen) que introducía dos puertas traseras. Una de ellas era una contraseña maestra administrativa que permitía a los atacantes iniciar sesión de forma remota en los cortafuegos con todos los privilegios. La segunda era una puerta trasera de cifrado probablemente relacionada con Dual_EC_DRBG: la VPN de Juniper utilizaba Dual_EC para la aleatoriedad, y los atacantes habían cambiado la constante Dual_EC en ScreenOS -presumiblemente a una para la que conocían la clave secreta, lo que les permitía descifrar el tráfico VPN . Los investigadores señalaron que se trataba de un "ejemplo de libro de texto" de explotación de la debilidad Dual_EC instigada por la NSA . El incidente de Juniper demostró el peligro de aprovecharse de las puertas traseras exigidas por el gobierno: aunque la NSA no fuera directamente el atacante, alguien más reutilizó la debilidad para su propio espionaje . También puso de relieve cómo un actor sofisticado puede deslizar código malicioso en el código fuente de un producto (una amenaza de la cadena de suministro/interna), creando un acceso de puerta trasera difícil de detectar. Juniper publicó rápidamente parches para eliminar el código malicioso, pero el incidente dejó muchas dudas sobre la integridad de sus procesos de seguridad del código.
Uso indebido de herramientas de administración remota: Back Orifice fue lanzado en 1998 por un grupo de hackers (Cult of the Dead Cow) como una herramienta "legítima" de administración remota para Windows, pero pronto se hizo famoso como malware. Básicamente, funcionaba como una RAT/puerta trasera que permitía el control remoto de los sistemas Windows 95/98. Los atacantes engañaban a los usuarios para que ejecutaran el programa. Los atacantes engañaban a los usuarios para que ejecutaran Back Orifice, que se ejecutaba sigilosamente y permitía al atacante hacer cosas como capturar pantallas, pulsar teclas o manipular archivos en el PC de la víctima. Este primer ejemplo mostraba cómo una herramienta de administración remota podía convertirse en una puerta trasera, poniendo de manifiesto los graves riesgos de este tipo de acceso oculto. Una vez instalado, Back Orifice podía comprometer completamente la confidencialidad e integridad de un sistema. Esto enseñó a los profesionales de la seguridad que cualquier herramienta que conceda acceso remoto debe ser estrictamente controlada, ya que la línea entre una útil utilidad de administración y un troyano de puerta trasera puede ser muy fina.
Otros ejemplos notables de puertas traseras incluyen Stuxnet (2010), que empleó múltiples puertas traseras en sistemas industriales iraníes como parte de su carga útil ; la brecha de Sony Pictures (2014), donde los atacantes instalaron puertas traseras para mantener el acceso y exfiltrar grandes cantidades de datos ; y puertas traseras a nivel de hardware como los supuestos implantes de placas base reportados (polémicamente) en 2018. Cada incidente subraya las diversas formas en que pueden manifestarse las puertas traseras -a través de actualizaciones de software, malware, subversión criptográfica o manipulación de hardware- y las consecuencias potencialmente devastadoras cuando se utilizan.
La prevención de las puertas traseras requiere un enfoque integral y multicapa de la seguridad. He aquí varias estrategias que los equipos SOC pueden aplicar para minimizar el riesgo de instalación y explotación de puertas traseras:
Mantener todo el software actualizado es crucial para evitar las puertas traseras. Los atacantes suelen aprovechar vulnerabilidades conocidas en software obsoleto para instalar puertas traseras.
Limitar el acceso a los sistemas y datos sensibles puede reducir el riesgo de que personas internas instalen puertas traseras.
Dividir una red en segmentos puede contener la propagación de un ataque y dificultar el desplazamiento lateral de los atacantes.
Despliegue herramientas avanzadas para detectar y responder a actividades sospechosas que puedan indicar la presencia de una puerta trasera.
Asegúrese de que el software interno y de terceros sigue prácticas de codificación seguras para minimizar las vulnerabilidades que podrían explotarse.
Educar a los empleados sobre las mejores prácticas de seguridad y las amenazas potenciales puede reducir el riesgo de amenazas internas y ataques de ingeniería social.
Prepárese para posibles incidentes de puerta trasera con un sólido plan de respuesta a incidentes.
Mediante la aplicación de estas estrategias, los equipos SOC pueden reducir significativamente el riesgo de instalación y explotación de puertas traseras, mejorando así la postura general de seguridad de su organización.
Vectra AI destaca en la detección y mitigación de puertas traseras a través de avanzadas capacidades de detección de amenazas y respuesta basadas en IA. Al monitorizar continuamente el tráfico de red y los comportamientos del sistema, Vectra AI identifica actividades inusuales que pueden indicar la presencia de una puerta trasera. Nuestra plataforma proporciona información procesable y respuestas automatizadas para neutralizar las amenazas rápidamente. Para ver cómo Vectra AI puede mejorar su postura de seguridad, le invitamos a ver una demostración autoguiada de nuestra plataforma.
En ciberseguridad, una puerta trasera se refiere a un método, a menudo instalado en secreto, que elude los procedimientos normales de autenticación para obtener acceso remoto a un sistema informático, una red o una aplicación de software. Puede ser utilizado con fines maliciosos por los atacantes o con fines legítimos por los administradores del sistema.
Las puertas traseras pueden instalarse por diversos medios, como la explotación de vulnerabilidades del sistema, ataques phishing , instalación de software malicioso, o durante el desarrollo inicial del software por parte de personas malintencionadas o a través de compromisos de la cadena de suministro.
Los riesgos incluyen el acceso no autorizado a los datos, el robo de datos, la instalación de malware adicional, daños en el sistema y la creación de un punto de apoyo para futuros ataques. Las puertas traseras comprometen la confidencialidad, integridad y disponibilidad de los sistemas y datos.
Las organizaciones pueden detectar las puertas traseras realizando escaneos periódicos del sistema y la red con herramientas avanzadas de detección de malware , vigilando el tráfico o el comportamiento inusual de la red y realizando auditorías de código en los procesos de desarrollo de software.
Las estrategias de prevención incluyen: Actualizar y parchear periódicamente los sistemas y el software para corregir vulnerabilidades. Utilizar controles de acceso y autenticación fuertes y multifactoriales. Impartir formación sobre seguridad para mitigar el riesgo de phishing y otros ataques de ingeniería social. Utilizar listas blancas de aplicaciones para impedir la ejecución de aplicaciones no autorizadas. Implementar la segmentación de la red para limitar el movimiento lateral.
Las puertas traseras pueden ser legítimas para fines como la administración remota o la resolución de problemas por parte del personal informático. Sin embargo, su uso requiere una gestión estricta mediante métodos de autenticación seguros, un registro detallado de todos los accesos y auditorías periódicas para garantizar que no se explotan con fines maliciosos.
Al detectar una puerta trasera, las organizaciones deben aislar inmediatamente los sistemas afectados, llevar a cabo una investigación exhaustiva para determinar el alcance de la violación, eliminar la puerta trasera y cualquier malware relacionado, y restaurar los sistemas afectados a partir de copias de seguridad limpias si es necesario.
El cifrado desempeña un papel fundamental al proteger los datos en tránsito y en reposo, dificultando que usuarios no autorizados que exploten una puerta trasera accedan a información sensible o la descifren.
La proliferación de dispositivos IoT e inteligentes amplía la superficie de ataque potencial para las puertas traseras, introduciendo nuevas vulnerabilidades en dispositivos que pueden no haber sido diseñados con la seguridad como prioridad. Garantizar que estos dispositivos están configurados de forma segura y se actualizan periódicamente es vital para mitigar las amenazas de puerta trasera.
Los desarrollos futuros pueden incluir el avance de la IA y las tecnologías de aprendizaje automático para mejorar las capacidades de detección, requisitos reglamentarios más estrictos para la seguridad del software y los dispositivos IoT, y la adopción de principios seguros por diseño en el desarrollo de software y hardware para minimizar las vulnerabilidades.