¿Hay puertas traseras en su entorno?
¿Alguna vez ha escondido una llave de su casa debajo de un felpudo o de una maceta en el porche para que un amigo de confianza la utilizara en alguna ocasión? ¿Alguna vez ha hecho una copia para dársela a uno de sus vecinos para que la utilice en situaciones de emergencia cuando usted no está en casa? ¿Alguna vez ha pegado una llave de su coche debajo del parachoques trasero? Estos son ejemplos de puertas traseras creadas intencionadamente. Una puerta trasera es una vía de acceso secreta que, si alguna vez se ve comprometida, permite el acceso fácil a un intruso.
Puertas traseras convencionales en su red
Las puertas traseras también existen en las redes informáticas. Al igual que la llave oculta de una casa, son un punto de entrada secreto que permite el acceso remoto a la red. Estas puertas traseras a veces son creadas intencionadamente por un administrador del sistema que las crea para acceder mientras está de vacaciones o para utilizarlas con fines de prueba. Pueden adoptar la forma de un puerto abierto, un cortafuegos del sistema local desactivado o una cuenta con privilegios ocultos que sólo conoce el administrador. A menos que haya negligencia de por medio, estos puntos de entrada siguen estando protegidos por algún tipo de mecanismo de control de acceso, pero no dejan de ser una vía de entrada poco segura que puede ser aprovechada por un atacante autorizado.
Estos puntos de entrada intencionados suelen denominarse puertas traseras convencionales. Algunos desarrolladores incorporan este tipo de puertas traseras en su software o hardware con fines de soporte y mantenimiento del producto. Una aplicación también puede incluir servicios o comandos ocultos que permiten el acceso remoto a las funciones del programa. Incluso la credencial de inicio de sesión administrativa predeterminada es una forma de puerta trasera que facilita el acceso a los instaladores remotos en las instalaciones iniciales.
Puertas traseras accidentales
A veces, se puede crear una puerta trasera por accidente. El administrador de un cortafuegos puede modificar una política del cortafuegos o una tabla de enrutamiento y crear sin saberlo una vía de ataque. Las puertas traseras accidentales pueden crearse a veces por fallos de software o errores de configuración del sistema. Esto supone un grave riesgo para la seguridad, ya que el personal informático no es consciente de su existencia, lo que permite que existan durante largos periodos de tiempo.
Puertas traseras no convencionales
Por último, está la puerta trasera más peligrosa de todas. Imagine a un delincuente capaz de copiar la llave de su casa sin que usted lo sepa. Eso equivale a una puerta trasera no convencional en su red. Estas puertas traseras son creadas por ciberdelincuentes con intenciones maliciosas y, por lo general, las crean una vez que se han infiltrado en la red y han establecido algún tipo de punto de control. Algunos ejemplos de puertas traseras no convencionales son los siguientes:
- Código malicioso que se inyecta en un sistema o aplicación.
- Rootkits u otras herramientas maliciosas utilizadas para crear una puerta trasera mediante la creación de cuentas ocultas, la modificación de los mecanismos de autenticación, la manipulación del tráfico de red o la desactivación del software de seguridad.
- Canales de comunicación encubiertos creados para transmitir código y datos hacia y desde un sistema comprometido.
- Ataques de canal lateral que se aprovechan de los puntos débiles de las características físicas o eléctricas de un sistema con el fin de obtener información sobre el mismo y ponerlo en peligro.
Las puertas traseras se pueden crear prácticamente en cualquier sitio. El ejemplo más famoso fue la brecha de datos de Target en 2014, en la que los atacantes accedieron a la red de la empresa a través del sistema de climatización. Un ejemplo más reciente fue el ataque a SolarWinds, en el que los atacantes accedieron al software de SolarWinds e insertaron una puerta trasera en una actualización de software. Posteriormente, muchos clientes de SolarWinds descargaron la actualización, lo que permitió a los atacantes acceder a sus redes. Las puertas traseras no intencionadas pueden ser muy difíciles de detectar. En un incidente de ransomware, los investigadores determinaron que los autores del ataque habían instalado una puerta trasera cinco meses antes de empezar a desplazarse lateralmente por la red para estudiarla.
Medidas preventivas para cerrar las puertas traseras
Aunque las puertas traseras no convencionales pueden ser difíciles de detectar, hay algunas medidas básicas que se pueden adoptar a modo de prevención.
- Elimine todas las cuentas de administrador predeterminadas de todos los sistemas recién adquiridos. Si no puede eliminarlas, cambie al menos la contraseña predeterminada. En Internet se pueden encontrar fácilmente nombres de usuario predeterminados para casi cualquier dispositivo.
- Aplique una política estricta de contraseñas. Aunque muchas organizaciones siguen utilizando un estándar de 8 caracteres, muchos profesionales de la ciberseguridad recomiendan contraseñas de 12 caracteres, ya que los procesadores informáticos avanzados pueden descifrar fácilmente una contraseña de sólo ocho caracteres. Además, la política debe imponer la complejidad de las contraseñas y prohibir el uso de ciudades, equipos deportivos y otras palabras o frases que puedan adivinarse fácilmente.
- Aunque la protección de los dispositivos informáticos mediante listas de permisos puede resultar incómoda, es muy eficaz para evitar la creación de puertas traseras. Este nivel granular de protección impide la instalación de programas no autorizados en los equipos. La protección mediante listas de permisos convierte un ordenador en un dispositivo de sólo lectura.
- Utilice su cortafuegos para bloquear las solicitudes DNS salientes y dirija todos los dispositivos conectados hacia un servidor DNS interno autorizado que reenvíe las solicitudes externas desde allí. Esto simplificará el registro e interferirá con el malware que intente eludir los ajustes DNS configurados.
- Los EDR pueden ayudar a evitar las puertas traseras detectando los comportamientos sospechosos que pueden indicar la presencia de una puerta trasera y respondiendo a ellos mediante la vigilancia del comportamiento o el uso de firmas. También proporcionan una mayor visibilidad de los dispositivos y aprovechan la información más reciente sobre amenazas.
Cómo puede ayudar un SOC
Si consideramos el hecho de que algunas de las mayores corporaciones son víctimas de puertas traseras, nos asalta la duda de si las PYMES y las organizaciones que se enfrentan a carencias de personal de seguridad tienen alguna posibilidad de detenerlas. Muchas empresas están recurriendo a un centro de operaciones de seguridad (SOC) de terceros. Los SOC se han vuelto tan eficaces a la hora de proteger las redes empresariales que se están convirtiendo en uno de los principales requisitos de los proveedores de ciberseguros. Los SOC cuentan con personal experimentado y formado específicamente para llevar a cabo actividades de detección de amenazas y estudios forenses que pueden identificar y frenar las puertas traseras antes de que se pongan en marcha. Un ejemplo de ello fue cuando un equipo de CYREBRO identificó una conexión de tráfico saliente de un cliente de un casino norteamericano. Además, cuentan con años de experiencia, lo que los convierte en expertos en unir todos los puntos que conducen a puertas traseras de todo tipo. Los SOC pueden realizar evaluaciones periódicas de vulnerabilidades y priorizar el parcheado de las vulnerabilidades que suelen aprovechar los hackers.
Conclusión
El concepto de puerta trasera en una red es sencillo de entender, pero, como en la mayoría de las situaciones relacionadas con la ciberseguridad, no es fácil de identificar ni de detener. Por eso necesita a las personas adecuadas con las herramientas apropiadas para neutralizar los intentos de creación de puertas traseras antes de que lleguen a estar operativas y permitan la entrada de los malos.