Como detectar puertas traseras en los ordenadores

Autor: Iván Lazcano González.

Con el boom de internet y la proliferación de las conexiones de adsl y tarifas

planas, las puertas traseras se han convertido en todo un problema para nuestros
ordenadores, pero empecemos por el principio, ¿qué es una puerta trasera?, una puerta
trasera es una conexión (puerto) que una aplicación abre en nuestro sistema para que
otros ordenadores se puedan conectar a este.
Si establecemos conexiones cortas a internet (llamadas telefónicas) esto no
presenta demasiados problemas ya que la corta duración de la conexión, hace difícil que
un atacante pueda localizar nuestra puerta trasera, ya que en la mayoría de los casos en
estas conexiones la dirección de nuestro ordenador es dinámica (IP dinámica), es decir,
cambia cada vez que nos conectamos, por lo tanto es difícil que un atacante conozca
siempre nuestra dirección, y en caso de que alguien este realizando un sondeo para
detectar ordenadores con puertas traseras en internet, la corta duración de nuestra
conexión hace que sea difícil de detectar este punto débil y de utilizarlo. Aunque como
siempre, más vale prevenir.
En las conexiones de tarifa plana y sobre todo en adsl nos encontramos con la
situación contraria. Estas conexiones suelen ser de muy larga duración, el ordenador
puede permanecer numerosas horas conectado, durante las cuales puede ser detectada su
puerta trasera y esta puede ser explotada, en algunos casos de adsl cuya dirección (IP)
es estática, nos encontramos en un caso peor ya que nuestro ordenador siempre tiene la
misma dirección, luego una vez sea detectada su debilidad, será muy fácil utilizarla en
posteriores ocasiones.
En este tutorial vamos a ver como detectar la existencia de estas puertas traseras
en los ordenadores, para ello utilizaremos la herramienta nmap, esta herramienta es
gratuita y se distribuye bajo licencia gnu y la podemos conseguir en la siguiente
dirección: http://www.insecure.org/nmap/nmap_download.html

En esta página tenemos las diferentes versiones que existen para los distintos
sistemas operativos, si bien nmap es una herramienta que se utiliza desde la línea de
comandos, existen interfaces gráficos de nmap para windows y para Linux, ambos
interfaces nmapwin y nmapfe los podemos encontrar en esta misma página.
Para ver como funciona este programa utilizaremos la versión para Linux, y su
interfaz gráfica nmapfe.
1. - Para ello en la página pinchamos sobre el link del archivo rpm que contiene el
programa nmap-3.00-1.i386.rpm .
2. – A continuación pinchamos sobre el link del interfaz gráfico nmap-frontend-
3.00-1.i386.rpm.
3.- Una vez descargados los ficheros ya sólo nos falta instalarlos, para ello, tendremos
que utilizar el usuario root o cualquier otro usuario con permisos de administrador.

4.- La mayoría de las distribuciones Linux incluyen utilidades para la instalación de

paquetes, para ser más generalistas mostraremos como se haría desde el intérprete de
comandos. Para ello utilizaremos el comando rpm –install seguido del nombre del
paquete a instalar, es decir: rpm –install nmap-3.00-1.i386.rpm, y rpm –install nmap-
front-end-3.00-1.i386.rpm, también podemos hacer rpm –install nmap*.rpm, esto nos
instalará los dos paquetes simultáneamente.
5.- Para realizar la instalación en Windows nos deberemos bajar el fichero
nmapwin_1.3.1.exe que incluye una utilidad instaladora y el interfaz gráfico, con lo cuál
instalar la aplicación es trivial, hay que señalar que para instalar nmap en Windows NT,
Windows 2000 y Windows Xp, es necesario descargar la librería de red Winpcap, el
enlace ha esta librería se encuentra en la página web, pero también la podemos
encontrar en la siguiente dirección:
www.mirrors.wiretapped.net/security/ packet-capture/winpcap/

Una vez instalada la aplicación (en windows deberemos reiniciar el sistema), ya

podremos utilizarla, para ello en windows pulsaremos sobre el icono de la aplicación, y
en linux, bien podemos crear un icono de acceso desde nuestro escritorio, o bien
podemos lanzar la aplicación desde la línea de comandos con la instrucción nmapfe
En la pantalla veremos el siguiente interfaz:
Si bien el interfaz de Windows no es exactamente igual, posee la mismas opciones (con
los mismos nombres), que se pueden utilizar de la misma forma, veamos un breve
ejemplo de cómo emplear el programa:

1.- En el campo host(s) (nº 1) ponemos el nombre o la dirección ip del ordenador que
queremos comprobar, en la versión de windows este campo se rellena por defecto con la
dirección de nuestro ordenador, si queremos escanear nuestro propio equipo pondremos
el nombre de localhost, si pusiésemos una dirección del estilo 158.227.150.* estaríamos
escaneando todos los ordenadores de esa red, es decir todos los ordenadores de la re
158.227.150 es decir desde la dirección 158.227.150.1 a la 158.227.150.255, esto nos
será de gran utilidad si somos los administradores de una red y queremos comprobar si
tenemos puertas traseras abiertas en alguno de los equipos.

2.- Una vez que hemos rellenado el campo hosts(s) pulsaremos por el botón Scan,
veremos que en el gran recuadro de texto que se encuentra al pie del interfáz (nº 3) nos
salen mensajes, estos mensajes son los informes que genera la aplicación, veremos
como analizarlos a continuación.

Podemos apreciar que encima del recuadro de texto que nos muestra la salida del
programa vemos el texto Output from: ..., (nº 3) como hemos comentado antes, lo que
estamos empleando es una interfaz gráfica, y en esta línea vemos a que instrucción en la
línea de comandos equivale la orden que estamos enviando desde el interfáz gráfico, si
nosotros tecleásemos desde la línea de comandos nmap –sS –O localhost obtendríamos
la misma salida, el poder realizar esto puede ser útil para elaborar archivos .bat en
Windows o scripts en Linux.

En la barra de tareas superior de la aplicación tenemos la opción File con esta opción
podremos guardar el informe que genera la aplicación en un fichero de texto, lo cuál nos
puede resultar de gran utilidad.

Analicemos el siguiente informe que ha creado la aplicación:

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )

Insufficient responses for TCP sequencing (3), OS detection may be less accurate
Insufficient responses for TCP sequencing (3), OS detection may be less accurate
Insufficient responses for TCP sequencing (3), OS detection may be less accurate

El programa nos indica los avisos sobre incidencias en estas primeras líneas, en este
caso la aplicación nos indica que ha tenido problemas al detectar el s.o. del ordenador.

A continuación viene la parte que más nos interesa de esta aplicación que es la lista de
puertos abiertos:

Interesting ports on localhost.localdomain (127.0.0.1):

(The 1537 ports scanned but not shown below are in state: closed)
Port State Service
80/tcp open http
443/tcp open https
515/tcp open printer
3306/tcp open mysql
6000/tcp open X11

En la columna de la izquierda vemos el nº de puerto que está abierto y en la de más a la

derecha podemos ver el nombre del servicio que habitualmente esta abierto en ese
puerto, en este caso vemos una salida típica para un ordenador con Linux instalado,
vemos que tiene abiertos los puertos de un servidor de http, de una base de datos mysql ,
de impresora, y del servidor de Ventanas X11.
Si estamos en un ordenador que funciona con Windows lo normal es que sólo
este abierto el puerto 139, si nos salen más puertos abiertos tendremos que empezar a
sospechar, y tener en cuenta que aplicaciones tenemos instaladas, por ejemplo si
tenemos instaladas aplicaciones p2p como Kazaa o Donkey estas aplicaciones abren
puertos para el intercambio de ficheros, típicamente el 1214 en el caso del Kazaa,
también tendremos que tener en cuenta si tenemos instalado algún servidor de páginas
web y similares, si aún y todo seguimos teniendo más puertos abiertos tendremos que
sospechar que tenemos algo instalado en nuestro equipo que nos abre una puerta trasera.
No exact OS matches for host (If you know what OS is running on it, see
http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=2.54BETA22%P=i686-pc-linux-
gnu%D=1/2%Time=3E14648F%O=80%C=1)

En estas líneas se nos informa que no se ha detectado exactamente el sistema operativo,

pero se sospecha que es un Linux en un pc (i686-pc-linux-gnu).

T1(Resp=Y%DF=Y%W=7FFF%ACK=S++%Flags=AS%Ops=MNNTNW)
T2(Resp=N)
T3(Resp=Y%DF=Y%W=7FFF%ACK=S++%Flags=AS%Ops=MNNTNW)
T4(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UC
K=E%ULEN=134%DAT=E)

Estas líneas se corresponden a los flags de tcp que han devuelto los puertos abiertos.

Uptime 0.032 days (since Thu Jan 2 16:24:20 2003)

Nmap run completed -- 1 IP address (1 host up) scanned in 8 seconds

Nmap posee numerosas opciones para realizar escaneos, y sería muy largo
enumerar aquí todas las posibilidades, para poder conocerlas recomendamos utilizar el
comando man en Linux y el botón Help en las interfaces gráficas, tanto en Windows
como en Linux.
Como nota final cabe destacar que cuantos más puertos tengamos abiertos, más
puntos débiles tendrá nuestro sistema, con lo cuál se recomienda tener abiertos
únicamente los estrictamente necesarios.