Hackers convierten herramientas de acceso remoto en puertas traseras sigilosas

HP ha publicado su informe de amenazas más reciente, correspondiente al segundo trimestre de 2024, en el que alerta sobre una tendencia creciente: los ciberdelincuentes están abusando de herramientas de acceso remoto legítimas, como AnyDesk, TeamViewer o LogMeIn, para establecer puertas traseras sigilosas en dispositivos corporativos. Según el informe, estos ataques no se parecen a intrusiones típicas, ya que el tráfico generado por estas herramientas es difícil de distinguir del uso legítimo. Los hackers también emplean descargas falsas de software popular (como actualizaciones de navegadores o aplicaciones de productividad) para engañar a los usuarios e instalar el malware. El informe de HP Wolf Security analizó datos de millones de endpoints y encontró que el 89% de las amenazas detectadas en el último trimestre se entregaron a través de archivos comprimidos o de Office, y que el uso de herramientas de acceso remoto como vector de ataque aumentó un 27% respecto al trimestre anterior.

¿Qué ha ocurrido?

La técnica, conocida como "living off the land" (LotL), no es nueva, pero su adopción por parte de grupos de ransomware y actores de amenazas persistentes (APT) ha crecido significativamente. En lugar de desarrollar malware personalizado, los atacantes utilizan herramientas legítimas que ya están presentes en los sistemas, o que los usuarios instalan voluntariamente. En este caso, se aprovechan de aplicaciones de acceso remoto que están firmadas digitalmente, lo que les permite evadir los filtros de seguridad tradicionales basados en firmas. El informe de HP destaca que los ataques comienzan con descargas falsas: el usuario es redirigido a sitios que simulan ser páginas de actualización de navegadores (Chrome, Edge) o aplicaciones de productividad (Microsoft Teams, Zoom), y al hacer clic se descarga un instalador que despliega el malware junto con la herramienta legítima. Una vez instalado, el atacante puede conectarse de forma remota y ejecutar comandos, robar credenciales o desplegar ransomware. HP identificó varias campañas activas que utilizan esta táctica, incluyendo una dirigida a empresas del sector financiero en Europa y América Latina.

¿Por qué es importante?

Esta técnica representa un cambio significativo en el panorama de amenazas. Tradicionalmente, las puertas traseras requerían malware personalizado que podía ser detectado por firmas antivirus. Al usar herramientas legítimas, los atacantes evaden la detección porque el software está firmado digitalmente y su comportamiento es considerado normal. Además, el auge del trabajo remoto ha incrementado el uso de estas herramientas, dando a los hackers un amplio campo para camuflarse. Según datos de Statista, el mercado de software de acceso remoto creció un 15% en 2023, y se espera que alcance los 6.000 millones de dólares en 2025. Este crecimiento ofrece una superficie de ataque cada vez mayor. Las consecuencias pueden ser graves: robo de datos, instalación de ransomware o espionaje prolongado sin ser detectados. El informe de HP cita el caso de un grupo de ransomware que utilizó AnyDesk para mantener acceso persistente durante más de seis meses en una empresa de logística, extrayendo datos de clientes antes de cifrar los sistemas.

Consecuencias para empresas y usuarios

Las organizaciones deben replantear sus estrategias de seguridad. Ya no basta con confiar en que el software legítimo es seguro. Los equipos de TI necesitan monitorear el uso de herramientas de acceso remoto, aplicar políticas de listas blancas y segmentar redes para limitar el movimiento lateral. Los usuarios, por su parte, deben ser entrenados para identificar descargas falsas y reportar cualquier actividad sospechosa. HP recomienda implementar soluciones de detección de anomalías basadas en comportamiento, que puedan identificar patrones inusuales incluso en tráfico legítimo. Por ejemplo, si un empleado que nunca usa TeamViewer de repente inicia sesión desde una IP extranjera, debería generar una alerta. Además, las empresas deben revisar sus políticas de aprovisionamiento de software: solo permitir la instalación de aplicaciones desde repositorios corporativos y deshabilitar la instalación de software no autorizado. El costo de no hacerlo puede ser alto: según IBM, el costo promedio de una filtración de datos en 2024 es de 4.88 millones de dólares, y el tiempo medio para identificar y contener una brecha es de 277 días.

¿Qué deben saber los lectores?

• Las herramientas de acceso remoto son un vector de ataque creciente; no deben ser ignoradas en las auditorías de seguridad. El informe de HP muestra que el 23% de los incidentes investigados involucraron software de acceso remoto.
• Las descargas falsas son el método de entrega principal; verificar siempre la fuente oficial del software. HP descubrió que el 40% de las descargas falsas imitan actualizaciones de Chrome.
• Las soluciones de seguridad tradicionales pueden no detectar estas amenazas; considerar EDR y análisis de comportamiento. Las herramientas de EDR pueden detectar movimientos laterales inusuales, como la ejecución de cmd.exe desde una sesión de AnyDesk.
• La educación del usuario es clave para prevenir la instalación inicial. Simulaciones de phishing internas pueden reducir las tasas de clics en descargas falsas hasta en un 70%.

"Estos ataques no parecen intrusiones" — HP Threat Report

El informe de HP subraya la necesidad de una defensa en profundidad que incluya monitoreo continuo, políticas de acceso restringido y capacitación constante. A medida que los atacantes se vuelven más sofisticados, las empresas deben anticiparse y adaptar sus defensas. En comparación con ataques anteriores como el uso de PowerShell o WMI para LotL, el abuso de herramientas de acceso remoto representa un salto cualitativo, ya que permite a los atacantes operar con una legitimidad casi total. La colaboración entre fabricantes de software de acceso remoto y empresas de seguridad también es crucial: por ejemplo, TeamViewer ha implementado funciones de detección de uso anómalo en su versión empresarial. Sin embargo, la responsabilidad última recae en las organizaciones, que deben tratar estas herramientas como cualquier otro vector de riesgo y aplicar los controles adecuados.