¿Cómo funciona una puerta trasera?
Cada sistema informático tiene un medio oficial por el cual se supone que los usuarios deben acceder a él. A menudo, esto incluye un sistema de autenticación donde el usuario proporciona una contraseña u otro tipo de credencial para demostrar su identidad. Si el usuario se autentica correctamente, se le concede acceso al sistema con sus permisos limitados a los asignados a su cuenta particular.
While this authentication system provides security, it can also be inconvenient for some users, both legitimate and illegitimate. A system administrator may need to gain remote access to a system that is not designed to allow it. An attacker may want to access a company’s database server despite lacking the credentials to do so. The manufacturer of a system may include a default account to simplify configuration, testing, and deployment of updates to a system.
En estos casos, se puede insertar una puerta trasera en un sistema. Por ejemplo, un administrador del sistema puede configurar un shell web en un servidor. Cuando quieren acceder al servidor, visitan el sitio apropiado y pueden enviar comandos directamente al servidor sin necesidad de autenticar o configurar políticas de seguridad corporativas para aceptar un protocolo de acceso remoto seguro como SSH.
¿Cómo utilizan los hackers una puerta trasera?
Una puerta trasera proporciona acceso a un sistema que pasa por encima de los mecanismos de autenticación normales de una organización. Los ciberdelincuentes, que teóricamente carecen de acceso a cuentas legítimas en los sistemas de una organización, pueden usarlo para acceder remotamente a los sistemas corporativos. Con este acceso remoto, pueden robar datos confidenciales, implementar ransomware, software espía, u otro malware, y tomar otras acciones maliciosas en el sistema.
A menudo, las puertas traseras se utilizan para proporcionar a un atacante acceso inicial al entorno de una organización. Si un administrador del sistema u otro usuario legítimo ha creado una puerta trasera en el sistema, un atacante que descubra esta puerta trasera puede usarla para sus propios fines. Alternativamente, si un atacante identifica una vulnerabilidad que le permitiría implementar su propia puerta trasera en un sistema, entonces puede usar la puerta trasera para ampliar su acceso y capacidades en el sistema.
Tipos de puertas traseras
Las puertas traseras pueden venir en varias formas diferentes. Algunos de los tipos más comunes incluyen:
- Trojans: La mayoría del malware de puerta trasera está diseñado para burlar las defensas de una organización, proporcionando al atacante un punto de apoyo en los sistemas de una empresa. Por esta razón, comúnmente son troyanos, que pretenden ser un archivo benigno o deseable mientras contienen funcionalidades maliciosas, como admitir acceso remoto a un equipo infectado.
- Puertas traseras incorporadas: los fabricantes de dispositivos pueden incluir puertas traseras en forma de cuentas predeterminadas, sistemas de acceso remoto no documentados y características similares. Si bien estos sistemas generalmente solo están destinados al uso del fabricante, a menudo están diseñados para ser imposibles de deshabilitar y ninguna puerta trasera permanece secreta para siempre, exponiendo estos agujeros de seguridad a los atacantes.
- Conchas web: Un shell web es una página web diseñada para tomar la entrada del usuario y ejecutarla dentro de la terminal del sistema. Estas puertas traseras las instalan habitualmente los administradores de sistemas y de red para facilitar el acceso y la gestión remota de los sistemas corporativos.
- Exploits de la cadena de suministro: La aplicación web y otro software a menudo incorporan bibliotecas y códigos de terceros. Un atacante puede incorporar código de puerta trasera en una biblioteca con la esperanza de que se utilice en una aplicación corporativa, proporcionando acceso de puerta trasera a los sistemas que ejecutan el software.
Cómo prevenir un ataque por puerta trasera
Algunas de las mejores prácticas para proteger contra la explotación de puertas traseras incluyen:
- Cambio de credenciales predeterminadas: Las cuentas predeterminadas son algunos de los tipos más comunes de puertas traseras. Al configurar un nuevo dispositivo, deshabilite las cuentas predeterminadas si es posible y, si no, cambie la contraseña a otra que no sea la configuración predeterminada.
- Implementación de soluciones de seguridad de terminales: Las puertas traseras se implementan comúnmente como malware troyano. Un Seguridad de los endpoints La solución puede detectar y bloquear malware conocido o identificar amenazas novedosas basadas en comportamientos inusuales.
- Monitoreo del tráfico de red: Las puertas traseras están diseñadas para proporcionar acceso remoto a los sistemas a través de medios alternativos que eluden los sistemas de autenticación. La supervisión del tráfico de red inusual puede permitir la detección de estos canales encubiertos.
- Aplicación de escaneo web: Las puertas traseras pueden implementarse como proyectiles web o integrarse en bibliotecas o complementos de terceros. El escaneo regular de vulnerabilidades puede ayudar a identificar estas puertas traseras en la infraestructura web de una organización.
Evite ataques de puerta trasera con Check Point
Las puertas traseras proporcionan a los atacantes acceso no autorizado a los sistemas de una organización. Para obtener más información sobre esta y otras amenazas cibernéticas importantes, consulte el artículo de Check Point. Reporte de Ciberseguridad 2023.
Check Point Harmony Endpoint proporciona prevención de amenazas y detección de muchos tipos de malware, incluido el malware de puerta trasera. Obtenga más información sobre las capacidades de Harmony Endpoint registrarse para una demostración gratuita hoy.
Comentarios