PorTony Anscombe, Global Security Evangelist and Industry Partnerships Ambassador, ESET
Un backdoor, o puerta trasera, cuando se lo relaciona al software y hardware, es la habilidad de obtener acceso a un endpoint, servidor, dispositivo o red traspasando la autenticación, junto con otros procedimientos y mecanismos de seguridad estándar.
En ocasiones, si se dejan métodos de acceso alternativos y sin publicar al escribir el código, los desarrolladores pueden crear backdoors para saltear la autenticación, o como método de acceso alternativo en caso de que algo salga mal. Edward Snowden reveló en 2013 que un número de compañías ha sido presionado por agencias de espionaje gubernamentales para instalar backdoors en sus productos.
Popular entre los ciberatacantes, los backdoors les permite entrar y salir de los sistemas a los que apuntan como les plazca. Esto podría ser simétrico, accesible por quien conozca su existencia o la encuentre, o, asimétrico, accesible únicamente para el atacante o desarrollador que lo controle.
Cómo lo hacen los profesionales maliciosos – una mirada a Gazer
Sin importar el motivo detrás del backdoor, el acceso ilimitado que habilita representa un enorme riesgo de seguridad potencial que la mayoría de las compañías preferiría evitar.
Recientemente, los investigadores de ESET han descubierto backdoors maliciosos instalados, que se supone son producto del trabajo del conocido grupo de espionaje cibernético Turla. El malware, llamado “Gazer”, ha sido implementado en ataques dirigidos contra gobiernos y diplomáticos desde al menos 2016. Pueden conocerse más detalles de este ataque aquí.
Los backdoors maliciosos suelen utilizar métodos conocidos para crear oportunidades que le permitan instalarse, en términos más conocidos, para generar una infección. Por ejemplo, el grupo Turla ejecuta campañas watering hole y spear-phishing para atrapar a sus víctimas.
Estos se instalan utilizando vulnerabilidades de los buscadores o extensiones, y se implementan para iniciar el proceso de infección de un dispositivo con malware, llevando, eventualmente, a la creación de un backdoor.
Spear-phishing es un ataque de phishing dirigido – una campaña de correo que parece ser legítima, pero busca entregar contenido malicioso mediante adjuntos, o convenciendo al usuario de hacer clic sobre un enlace que lo llevará a un sitio web infectado o fraudulento.
Conoce cómo ESET Endpoint Security protege contra el phishing y otras amenazas.
Cuando una puerta se cierra, otra se abre
Una vez que el malware ingresa a la red, intentará hallar métodos para comunicarse, buscará un puerto abierto en el servidor y se “pegará” a él. Si lo consigue, el atacante puede obtener el control y el manejo de la red a la que se dirige. Idealmente, en esta instancia, el firewall y la protección perimetral habrán bloqueado los intentos de conexión de fuentes externas, mientras que el tráfico de fuentes internas que utilizan puertos abiertos pueden ser menos restringidos.
Sin embargo, una vez que el backdoor entra en operación, puede ser utilizado para crear nuevos backdoors, configurando un laberinto que se vuelve difícil de detectar y destruir. De esta manera, protegerse de incursiones a través de backdoors requiere tanto de la tecnología como de la participación de los empleados, ya que los ataques suelen comenzar vía ataques dirigidos de ingeniería social, como spear-phishing.
Educar a los empleados para que identifiquen correos de phishing y no hagan clic sobre ellos, es una tarea de cada día para muchas compañías. La gente es curiosa, y los ataques de ingeniería social que simulan ser noticias, eventos actuales y correos pueden pasar como legítimos.
Educación, enfoque y buenas prácticas
Para enfrentarse a estas amenazas, un monitoreo minucioso de la red en busca de patrones o conexiones inusuales de tráfico debería ser parte de un procedimiento estándar de operación. Esto es recomendable considerando que el uso activo de tus dispositivos o red requiere un alto conocimiento técnico.
Actualizar los sistemas para reducir el número de vulnerabilidades que puede explotar el atacante es una buena práctica. Esto no debería limitarse al software; el hardware opera junto a él, y asegurarse de tener instaladas las últimas versiones es igual de importante. Realizar un monitoreo de las versiones de software a través de la red hará posible una fácil identificación de sistemas y hardware con vulnerabilidades conocidas.
Una solución de malware actualizada protegiendo endpoints, servidores y servicios, reduce significativamente las oportunidades de los atacantes de realizar un intento de penetración. La protección anti-phishing asiste en la eliminación de riesgos que los empleados curiosos (y su comportamiento a la hora de hacer clic) suman a la compañía.
“Recomiendo visitar las tecnologías de ESET disponibles para protegerse contra estos riesgos; los productos corporativos pueden encontrarse aquí. La administración remota y de parches también son herramientas esenciales para proteger la red. ESET Remote Management (ERA) es una solución galardonada que vale la pena considerar”