Una puerta trasera, o backdoor, es un mecanismo que permite acceder a un sistema sin pasar por los controles normales de autenticación, autorización o monitoreo. Puede existir en una aplicación, un servidor, una cuenta cloud, un dispositivo de red o incluso en un proceso operativo mal controlado.

Su propósito central es mantener acceso persistente. En un incidente, eso significa que un atacante puede intentar volver a entrar aunque se cambie una contraseña, se corrija una vulnerabilidad visible o se reinicie un servicio. Por eso una puerta trasera no debe tratarse como un archivo aislado, sino como una señal de compromiso que exige revisar identidad, infraestructura, aplicaciones y registros.

Este artículo tiene un enfoque defensivo: entender para detectar, contener y cerrar accesos no autorizados sin perder evidencia.

Diagrama defensivo de una puerta trasera con acceso inicial, persistencia, evasión, movimiento y respuesta

Qué busca lograr una puerta trasera

Una puerta trasera puede tener varios objetivos, pero casi siempre gira alrededor de una idea: conservar una ruta de entrada confiable.

En un ataque, puede servir para:

  • volver a entrar después del compromiso inicial;
  • ejecutar comandos sin pasar por el flujo normal de autenticación;
  • crear usuarios, llaves SSH, tokens o reglas persistentes;
  • mantener control mientras se prepara otra acción;
  • consultar o mover información fuera del sistema;
  • evadir alertas, bitácoras o revisiones manuales;
  • recuperar acceso después de una limpieza incompleta.

También existen accesos administrativos mal diseñados que se comportan como puerta trasera aunque no hayan nacido con intención maliciosa. Un usuario compartido sin trazabilidad, una llave que nadie inventaría hoy pero que “siempre ha estado ahí”, una excepción permanente en firewall o una cuenta de proveedor sin dueño claro pueden terminar con el mismo riesgo: acceso sin control suficiente.

Por qué es peligrosa

El peligro no está solo en que alguien pueda entrar. Está en que puede entrar otra vez, con menor fricción y menos visibilidad.

Cuando una puerta trasera permanece activa, el atacante puede observar horarios, probar privilegios, buscar información valiosa y esperar un mejor momento para actuar. Si la respuesta solo elimina el síntoma visible, el acceso oculto puede seguir disponible y convertir una corrección rápida en un incidente recurrente.

Por eso, ante una sospecha, la pregunta no debe ser solo “qué archivo borramos”, sino:

  • cómo se obtuvo el acceso inicial;
  • qué cuentas, tokens o llaves pudieron usarse;
  • qué cambios se hicieron en servicios, tareas y permisos;
  • qué conexiones salientes aparecieron después del evento;
  • qué evidencia confirma que la ruta de entrada quedó cerrada.

Señales de posible puerta trasera

Ninguna señal aislada confirma compromiso por sí sola, pero sí justifica investigación. La prioridad sube cuando varias aparecen juntas o cuando afectan sistemas críticos.

Revisa:

  • cuentas nuevas sin solicitud, ticket o responsable;
  • llaves SSH, tokens API o secretos agregados sin autorización;
  • tareas programadas desconocidas o modificadas recientemente;
  • servicios que reinician procesos extraños;
  • procesos con nombres parecidos a componentes legítimos;
  • conexiones salientes hacia destinos no habituales;
  • reglas de firewall, NAT o proxy que nadie reconoce;
  • accesos administrativos fuera de horario o desde ubicaciones inusuales;
  • cambios en rutas sensibles de aplicaciones o sistema operativo;
  • logs borrados, incompletos o con huecos de tiempo.

La detección mejora cuando existe una línea base. Si sabes qué cuentas, procesos, destinos y tareas son normales, las desviaciones dejan de perderse entre el ruido operativo.

Dónde suelen aparecer

Una puerta trasera puede vivir en distintas capas. Limitar la revisión a una sola ruta puede dejar activo el acceso real.

Las ubicaciones comunes incluyen:

  • servidores Linux o Windows;
  • aplicaciones web y sus plugins;
  • bases de datos;
  • paneles administrativos;
  • cuentas cloud y llaves de acceso;
  • dispositivos de red;
  • tareas programadas y servicios;
  • repositorios, runners y pipelines;
  • integraciones de terceros;
  • cuentas de proveedores o personal que ya no participa.

La respuesta debe seguir el alcance del incidente. Si el acceso inicial fue por una aplicación web, también hay que revisar credenciales, archivos modificados, tareas persistentes, conexiones externas y cualquier cuenta creada durante la ventana de compromiso.

Controles que reducen el riesgo

No existe un control único que elimine el problema. La defensa funciona mejor cuando combina prevención, monitoreo y respuesta ordenada.

Identidad y acceso

Mantén MFA, cuentas nominales, contraseñas robustas, rotación de secretos y baja oportuna de usuarios. Las cuentas compartidas hacen más difícil saber quién hizo qué y cuándo.

Mínimo privilegio

Reduce permisos administrativos permanentes. Un usuario, servicio o token no debe tener más acceso del necesario. Si una cuenta se compromete, el daño potencial será menor.

Gestión de cambios

Registra altas de usuarios, llaves, servicios, reglas de firewall, excepciones y tareas programadas. Lo que no tiene dueño ni cambio asociado debe investigarse.

Monitoreo defensivo

Observa eventos de autenticación, cambios de permisos, integridad de archivos, conexiones externas, ejecución de procesos y actividad administrativa. El monitoreo no debe limitarse a alertas ruidosas; debe producir evidencia útil para investigar.

Parches y hardening

Vulnerabilidades conocidas, servicios expuestos y configuraciones débiles facilitan el acceso inicial. Mantener parches, segmentación, configuración segura y respaldos probados sigue siendo parte básica de la defensa.

Qué hacer si sospechas de una puerta trasera

Actúa con orden. Borrar archivos o reiniciar servidores sin preservar evidencia puede dificultar la investigación.

  1. Aísla el activo si el riesgo lo amerita.
  2. Conserva logs, muestras, artefactos y líneas de tiempo.
  3. Revoca credenciales, tokens, sesiones y llaves potencialmente comprometidas.
  4. Revisa cuentas, permisos, tareas, servicios y reglas creadas o modificadas recientemente.
  5. Analiza conexiones salientes, procesos persistentes y cambios en archivos sensibles.
  6. Corrige la causa raíz, no solo el síntoma visible.
  7. Restaura desde respaldo confiable si el sistema ya no es confiable.
  8. Monitorea actividad posterior durante varios días.

La meta no es “limpiar rápido”. La meta es cerrar la ruta de entrada, eliminar mecanismos de persistencia y confirmar con evidencia que el acceso no autorizado ya no funciona.

Preguntas para tu equipo

Estas preguntas ayudan a medir exposición operativa:

  • ¿sabemos qué cuentas administrativas existen y quién las usa?;
  • ¿tenemos inventario de llaves SSH, tokens y secretos?;
  • ¿se auditan cambios de permisos y altas de usuarios?;
  • ¿podemos detectar tareas programadas nuevas o modificadas?;
  • ¿sabemos qué conexiones salientes son normales para cada servidor?;
  • ¿existen respaldos confiables y pruebas de restauración?;
  • ¿tenemos un plan de respuesta documentado y practicado?;
  • ¿podemos reconstruir una línea de tiempo con logs suficientes?

Si varias respuestas son “no”, el problema no es solo técnico. Es de visibilidad, gobierno operativo y capacidad de respuesta.

Enlaces útiles

Una puerta trasera busca permanencia. Tu defensa debe buscar evidencia, trazabilidad y cierre completo de las rutas de acceso.