troyanos

Que es un Trojano (backdoor)?

Los ataques de troyanos constituyen una de las más serias amenazas a la seguridad informática. Es probable que usted o yo hemos sido atacado por algún troyano en algún momento o que nuestros computadores estén siendo usados para atacar a otros sin conocimiento nuestro. La definición en nuestro mundo informático de troyano es la siguiente: "Todo programa malicioso o violador de la seguridad de un sistema disfrazado de programa benigno".

Qué es un Troyano?
El nombre troyano proviene de Caballo de Troya, que fue un instrumento de guerra usado por los griegos para acceder a la ciudad de Troya. Según cuenta la historia, "al pasar diez años de la guerra troyana, los griegos todavía no podían entrar en la ciudad de Troya porque las paredes de la ciudad la hacían impenetrable. Por aquél entonces, Aquiles, que lideraba a los griegos, dejó la guerra; por ello, las cosas se pusieron más difíciles. Los troyanos, liderizados por Héctor, empezaron a repeler a los griegos. Eventualmente los griegos se replegaron hacia los barcos y en ese entonces, Aquiles volvió a la batalla, para vengar a un amigo muerto; los griegos recuperaron la moral y el ánimo para seguir combatiendo.
Los griegos necesitaban una máquina de guerra totalmente nueva para poder combatir a los troyanos en su propio patio. Desarrollaron un caballo gigante de madera con un estómago grande y profundo. Un puñado de griegos armados se escondieron en el caballo. Mientras tanto, el resto de los griegos abordaron los barcos y zarparon. Gracias a las gestiones de un espía griego, los troyanos salieron de la ciudad para recibir al enorme caballo como un ofrecimiento griego de paz.
Luego de la gran celebración de los troyanos, en la cual se emborracharon, los griegos que estaban dentro del caballo salieron, mataron a todos los centinelas que estaban en las puertas de la ciudad y abrieron las puertas para que entrara un carnicero ejército griego, que en medio de la noche se había devuelto para entrar en la ciudad. Asesinaron a hombres, adolescentes y niños. Mantuvieron a las mujeres, a las cuales vendieron como esclavas."

Un troyano puede ser una de las siguientes cosas:

Instrucciones no autorizadas dentro de un programa legítimo. Estas instrucciones ejecutan funciones desconocidas al usuario y casi seguramente no deseadas por el mismo.
Un programa legítimo que ha sido alterado por la colocación de instrucciones no autorizadas dentro del mismo, probablemente como consecuencia del ataque de un virus. Estas instrucciones ejecutan funciones desconocidas al usuario y casi seguramente no deseadas por el mismo.
Cualquier programa que aparentemente haga una función deseable y necesaria pero que no la cumpla y/o contenga instrucciones no autorizadas en el mismo, las cuales ejecutan funciones desconocidas para el usuario.
Cualquier programa que contenga otro subprograma con instrucciones no deseadas o virus.
Cualquier programa que permita operaciones de monitoreo y/o control remoto del computador sin conocimiento del usuario. Este tipo de programas son llamados también "Backdoor" lo que se traduce a Puerta Trasera.

Los troyanos funcionan mejor en computadores sin muchas restricciones para los usuarios, ya que en ambientes restringidos no pueden hacer mucho daño; sin embargo, en los ambientes de servidor, que son muy restringidos per se, hay troyanos que han sido muy dañinos.

Troyanos de Administración Remota
Este tipo de troyanos ha sido el que tiene la mayor popularidad en la actualidad. Muchas personas con intenciones maliciosas quieren tener este tipo de programas para lanzar ataques a víctimas inocentes porque les permiten tener acceso al disco duro de las mismas, y además proporcionan acceso remoto a muchas de las funciones del computador, como por ejemplo abrir y cerrar la unidad de CD-ROM, colocar mensajes en el computador, ver en una ventana lo que escribe el usuario, incluyendo contraseñas y números de tarjetas de crédito, etc.
Los troyanos modernos de este tipo son muy fáciles de usar, hasta para una persona sin experiencia alguna. Generalmente vienen en dos archivos, un archivo cliente que es instalado en el computador del atacante y un archivo servidor que es instalado en el computador de la víctima. Algunos troyanos de este tipo están limitados en sus funciones, porque más funciones equivalen a archivos de servidor más grandes. Otros son usados por el atacante para copiar al computador de la víctima otro troyano más potente para acceder a todas las funciones posibles.

Las funciones principales de este tipo de troyanos son:

Monitoreo del teclado remoto, lo cual es conocido como keylogging. Esto permite que el atacante vea lo que escribe la víctima. Además el atacante puede escribir en el computador remoto interfiriendo con lo que escribe la víctima; inclusive puede hasta anular el teclado remoto impidiendo que la víctima pueda escribir algo en el computador controlado por el atacante.
Borrado y/o instalación de programas sin conocimiento de la víctima.
Copiar documentos privados o no, sin conocimiento de la víctima.
Cosas más triviales como controlar el mouse, desaparecerlo, anular secuencias de teclado como Ctrl+Alt+Del, apagar remotamente el computador, etc.


Los troyanos de administración remota (y casi todo tipo de troyano) inician automáticamente en el arranque del computador; muchos de los más sofisticados inician como servicio de sistema. La mayoría de los troyanos de administración remota se esconden de la lista de procesos de Windows, sobre todo cuando inician como servicios de sistema. Para complicar aún más las cosas, muchos de ellos usan nombres de programa válidos, lo cual dificulta su detección.
Además, hay troyanos que simplemente abren un servidor FTP en el computador de la víctima (usualmente no en el puerto 21, para ser menos detectables). Este servidor FTP es por supuesto, para sesiones anónimas o tienen un usuario predefinido cuya contraseña conoce el atacante. Esto permite hacer cualquier operación de transferencia de archivos de manera fácil y rápida; además, permite la ejecución remota de programas por parte del atacante.

Funcionamiento básico de los troyanos de administración remota
Los troyanos de administración remota abren un puerto (TCP o UDP) en el computador remoto, esperando peticiones del cliente u atacante, que pueden ser de conexiones o datos. De esta forma, cuando el atacante inicia el cliente con la dirección IP de la víctima, el troyano recibe los comandos o instrucciones y los ejecuta en el computador de la víctima.

Algunos troyanos permiten que el cliente cambie el puerto a cualquier otro puerto válido y colocan una contraseña en el servidor instalado en el computador de la víctima para no permitir acceso a ningún otro atacante. Sin embargo, cualquier atacante con los conocimientos necesarios puede burlar la protección con contraseña colocada por otro atacante y entrar en el computador comprometido, haciendo daño a la víctima quizás peor que el atacante original. Esto generalmente es debido a los limitados conocimientos de los programadores de troyanos, que si bien son buenos programadores, siendo hasta a veces geniales, no superan a sus contrapartes, los programadores organizados que trabajan en grandes empresas de seguridad.
Hay troyanos un poco más elaborados, que a pesar de tener protección por contraseñas, tienen una "Puerta Trasera dentro de Puerta Trasera" "a backdoor within a backdoor" que permite que el escritor del troyano siempre pueda entrar en el computador de la víctima bajo cualquier circunstancia.

Los troyanos de administración remota más famosos son Netbus, por su simplicidad, Back Orifice (el más famoso de todos, inclusive fue en su momento la mejor herramienta de administración remota de todas para Windows NT, incluyendo las comerciales y las de la misma Microsoft) y Sub7, la cual tenía muchas funciones y era fácil de usar.

Muchos administradores usan troyanos de administración remota con usos legítimos (yo personalmente he usado Back Orifice extensivamente). No obstante, hay que tener mucho cuidado y muchos conocimientos del sistema para que no cause problemas y que la seguridad del sistema no esté comprometida.

Otros tipos de troyanos

Troyanos recolectores de contraseñas: Este tipo de troyanos buscan las contraseñas almacenadas en el computador y/o simplemente actúan esperando que alguna secuencia de caracteres escrita en el teclado que sea introducida en un campo tipo "contraseña" (secuencia visualizada con asteriscos en pantalla) aparezca, almacenándola en un archivo que luego es enviado por correo electrónico o copiado manualmente al atacante. En esta categoría entran los troyanos que recolectan tarjetas de crédito y información relacionada con las mismas.
Troyanos que modifican los privilegios de un usuario: Este tipo de troyanos es usado regularmente para engañar a los administradores de sistemas. Usualmente se anexan a una utilidad de sistema o pretender ser un programa inocuo y hasta útil. Una vez que sea ejecutado, el troyano le dará más privilegios al atacante y puede deshabilitar la(s) cuenta(s) de administrador en el sistema. En el peor de los casos, ni siquiera el administrador original tiene acceso al sistema atacado.
Troyanos destructivos: Estos programas tienen como única intención dañar el sistema comprometido. Pueden destruir discos duros completos, el sistema operativo, encriptar archivos o soltar y ejecutar virus para completar el oscuro panorama de sus víctimas.
Programas Bromistas: Estos programas no son tan maliciosos; ellos simplemente están diseñados para hacer creer a la víctima que algo malo está ocurriendo en el computador como por ejemplo, formatear el disco duro, mostrar mensajes como "enviando todas las contraseñas a XXX hacker", "su computador tiene software ilegal y estamos enviando sus datos al FBI" y cosas similares. Este tipo de acciones asusta mucho a los usuarios inexpertos.


Actualmente, el 99% de los troyanos existentes son para Windows, ya que este sistema operativo es el más usado y paradójicamente, es el más inseguro en la actualidad. En Unix han existido muchos troyanos, pero es raro que comprometan todo el sistema por la arquitectura del mismo; En cambio, en Windows no se puede limitar el ámbito de los usuarios y los administradores sin perjudicar sustancialmente el ambiente de trabajo, haciendo casi imposible el trabajar bajo circunstancias restrictivas similares a las de UNIX.

Síntomas comunes que indican infección por un troyano

La unidad de CD-ROM abre y cierra por sí misma.
La pantalla del computador se ve invertida o al revés.
El papel tapiz cambia por sí solo. Este tipo de comportamiento puede ser iniciado por el atacante, colocando imágenes obscenas copiadas por el mismo.
El programa para ver páginas Web (Internet, Netscape, etc.) va a una página extraña o desconocida para el usuario y/o se ejecuta automáticamente, colocando como página de inicio una página desconocida para el usuario, a veces alguna página pornográfica.
La apariencia del escritorio de Windows cambia por si mismo.
El protector de pantalla cambia por sí mismo.
Los botones del mouse se invierten.
El puntero del mouse desaparece.
El puntero del mouse se mueve por sí mismo.
El computador reproduce sonidos grabados por el micrófono con anterioridad, sin conocimiento del usuario.
El volumen del sonido cambia por sí mismo.
Los programas ejecutan solos.
El computador inicia una conversación con el usuario.
El computador muestra el contenido del portapapeles de Windows.
Mensajes extraños de advertencia, información o error aparecen sin razón en el computador.
El computador llama a un número de teléfono automáticamente.
La fecha y hora del computador cambian por sí solos.
La barra de tareas desaparece por sí sola.
El computador se apaga inesperadamente.
Aparecen compras extrañas que nunca ha hecho con su tarjeta de crédito.
Aparecen archivos bloqueados o en uso inesperadamente.
Su teclado deja de funcionar inesperadamente.
Cuando usted reinicia su computador, tiene mensajes de que hay usuarios todavía en el sistema.
La secuencia de teclas Ctrl+Alt+Del deja de funcionar.


Estos son solamente los síntomas comunes. Hay troyanos que se ocultan casi por completo de los usuarios y son virtualmente indetectables; sin embargo, casi todas las empresas antivirus manejan a los troyanos como virus y los detectan, facilitando su erradicación.