El prestigioso desarrollador de software Wordfence, especializado en seguridad en plataforma WordPress, acaba de realizar y publicar un estudio sobre la creciente tendencia a intentar acceder, de forma no autorizada, al control de servidores y páginas webs, con no muy buenas intenciones, es decir, lo que se llama hackear un sitio web. El estudio se encuentra completo en inglés en el blog de Wordfence, pero nos ha parecido interesante traducirlo a nuestra lengua para que podamos comprender mejor qué hace un hacker en mi web una vez se ha apoderado de ella, para concienciemos, así, que no nos queda tan lejos todo aquello oímos sobre asaltos a otros sitios web.

 

Encuesta/estudio de Wordfence – 19.04.16

Solemos encontrar propietarios de páginas web que se sorprenden de que su sitio haya sido objeto de ataques. La mayoría entienden que si su página no contiene información importante, como tarjetas de crédito, no será interesante para este tipo de personas. Desgraciadamente se equivocan. Más allá de datos interesantes, una página atacada puede ser monetizada de varias formas malintencionadas. En ocasiones, el servidor web puede correr software malicioso, de manera que la reputación del contenido, el dominio y la dirección IP pueden verse afectados muy negativamente.

 

Qué hace un hacker en mi web

El estudio de Wordfence recibió un total de 873 respuestas que pudieron ser clasificadas. El siguiente gráfico refleja los resultados.

usos de una web atacada por hackers

Usos de una web atacada por hackers

Como se puede comprobar en el gráfico, existe una gran variedad de acciones que los atacantes realizan con los sitios WordPress que asaltan. Vamos a echar un vistazo a cada uno de ellos de manera que podamos entender el motivo que hay detrás de cada ataque.

 

Cambiar el aspecto de tu página o acabar con el sitio.

En algunos casos el atacante sustituye tu contenido por uno propio. Los casos más comunes corresponden a contenido político o terrorista. También solemos encontrar el típico caso de quien hackea por el placer de demostrar que sabe hacerlo. En ambos casos no hay nada que ocultar por parte del atacante, todo queda muy claro, quien entra en tu página entiende inmediatamente que tu sitio ha sido asaltado.

En otras ocasiones los hackers “simplemente” destrozan tu sitio y lo hacen “caer” de internet. Por lo que hemos podido comprobar, la destrucción del sitio no se hace de forma intencionada, y parece, más bien, fruto del desconocimiento de lo que el atacante estaba realizando, con lo que acaba por sacar tu página de internet.

¿Cuál es el interés del hacker?

Para aquél que reemplaza tu contenido con propaganda política, tu página no es más que publicidad gratuita para su causa y sólo busca reconocimiento.

 

Envío de spam.

El envío de spam sigue siendo un gran problema. Según Statistica, el 54,4% del tráfico de correo electrónico en internet era identificado como spam en diciembre de 2015. Según el estudio de Wordfence, el 19,8% de los sitios atacados se usaban como servidores de correo no deseado.

El la mayoría de casos, el propietario desconoce, durante un largo período de tiempo, lo que está ocurriendo con su página. Las sospechas se inician con la sensación de una pérdida de rendimiento y velocidad, aunque a veces es la propia empresa de hosting quien acaba avisando del problema.

Desgraciadamente, un alto porcentaje sólo descubre el problema cuando su dominio ha sido incluido en una blacklist por una empresa encargada de estos menesteres, tipo Spamhaus. Si tu trabajo depende del correo electrónico, las consecuencias pueden ser devastadoras.

¿Cuál es el interés del hacker?

El atacante se beneficia de dos maneras. En primer lugar se benefician gratuitamente de los recursos de tu servidor. Seguidamente, y hasta que arruinan tu reputación en internet, sus envíos de correo obtienen tremendos beneficios originados desde tu propia dirección IP. Finalmente, tratan de conducir a la gente hacia sus páginas malintencionadas.

 

SEO spam.

Hay numerosas maneras en que un ataque logra impulsar los resultados de búsqueda gracias a tu sitio web. La primera es simplemente acogiendo páginas en tu dominio, aprovechándose de los beneficios de tu inmaculada reputación en internet.

La siguiente forma logra colocar enlaces en tu sitio apuntando a la página que quieren potenciar en el ranking de búsquedas. Gracias a que los backlinks son todavía el factor más importante en el posicionamiento web, un atacante que acaba dominando y ocupando un gran número de sitios, logra controlar fácilmente el posicionamiento en buscadores.

Muchos de los participantes en la encuesta de Wordfence usan el término “pharma hack” para describir este tipo de ataques, ya que ha sido utilizado últimamente para potenciar las páginas de venta de medicamentos en internet.

ejemplo de una página html atacada

Ejemplo de una página html atacada

 

¿Cuál es el interés del hacker?

Como muchos de vosotros ya conoceréis, no hay mejor manera para dirigir tráfico a nuestras páginas que estar bien posicionado en los términos más populares dentro de las búsquedas. Mediante el SEO spam, el atacante desvían el tráfico desde sitios legitimados hacia el suyo propio.

 

Redireccionamiento malicioso.

El redireccionamiento es una forma muy efectiva para los hackers de re-conducir hacia sitios con malas intenciones. El usuario no tiene que hacer clic en ningún anuncio ni enlace, puesto que ya es re-dirigido hacia ella automáticamente.

¿Cuál es el interés del hacker?

El motivo, en este caso, es sencillamente dirigir a los usuarios hacia contenido malicioso.

 

Páginas de phishing.

Las páginas de phishing intentan confundir al usuario para que revele contenido trascendente. En muchas situaciones, suplantan bancos o tiendas e intentan que quien recibe la página anote su número de tarjeta, contraseñas, etc. con la intención de apoderarse de ellas. Un claro ejemplo es el del acceso al panel de control de WordPress, en el cual nos solicita el usuario y la contraseña.

screenshotsecurelogin

Ejemplo de phishing, por cortesía de eff.org

 

¿Cuál es el interés del hacker?

El uso de la tarjeta de crédito es evidente, pero también pueden usar los datos obtenidos para suplantar identidades, lanzar nuevos ataques de phishing o entrar en cuentas importantes.

 

Distribución de malware.

Una vez han entrado en tu cuenta, los atacantes instalan malware, software de contenido malintencionado, en tu directorio para después instalar malware en la máquina de aquel que te visita, sin su consentimiento. Una terrible idea como propietario de una página.

Si Google detecta esta situación, marcará tu página en su programa de Navegación Saneada de Google —Google Safe Browsing— con lo que el tráfico SEO a tu página se reducirá drásticamente. Además, lo más seguro, y tal vez lo peor,  es que tus visitan no estén muy contentas contigo. El impacto a tu reputación en internet puede ser doloroso y duradero. Por suerte, tan sólo el 2,9% de los encuestados sufrieron este tipo de ataque.

¿Cuál es el interés del hacker?

Instalar malware en las máquinas de tus visitas, concede a tu atacante la posibilidad de sustraer gran cantidad de información de valor para él, causando estragos en esos ordenadores.

 

Robo de datos al usuario.

Dado que la mayoría de las personas con las que hemos hablado, suponen que el hacker lo que más desea extraer de sus máquinas son datos, sorprende conocer que sólo el 1,1% de los encuestados sufrieron este tipo de ataque.

Creemos que la razón principal es que la mayoría de los sitios generados en Worpdress no suelen almacenar datos trascendentes, a excepción de la contraseña de acceso y algunos correos electrónicos. Además, resulta complicado para el propietario de un sitio WordPress, conocer qué datos ha robado un hacker en su cuenta, por lo que el dueño no denuncia el caso.

¿Cuál es el interés del hacker?

El robo de credenciales de usuario puede representar lograr de nuevo el acceso a mi sitio web, incluso si éste ha sido saneado de intrusos. La combinación usuario/contraseña puede ser probada en otros sitios con la idea que el propietario repita su uso.

Correos electrónicos robado pueden también ser utilizados como fuente de spam, mientras que robar números de tarjetas de crédito posee un valor mayor para el hacker.

 

Ataque directo a tu sitio.

En algunas ocasiones, los atacantes pueden querer utilizar tu servidor web como plataforma para realizar otros ataques sobre otros sitios web. Esto es relativamente extraño según los participantes de la encuesta; esto sólo ha ocurrido en 0,7% de las situaciones.

¿Cuál es el interés del hacker?

El intruso utiliza gratuitamente tu servidor para sus actividades malintencionadas, y siempre va más allá de sus objetivos,  mientras no te haya arruinado la reputación.

 

Ransomware —Rescateo—.

El ransomware es cuando alguien hackea tu sitio web, bloquea el acceso, y te pide un rescate a cambio de liberarlo. Este tipo de acciones ha tenido mucha repercusión en blogs y prensa últimamente, por lo que sorprende descubrir que tan sólo un 0,6% ha sufrido este tipo de ataque.

achievement_locked_005

Pantalla de la ventana que muestra TeslaCrypt cuando se han encriptado tus archivos. Cortesía de Bormium Labs.

¿Cuál es el interés del hacker?

en el caso de que te encuentres sin copias de seguridad para recuperar tu sitio, pagar el rescate resulta ser la mejor idea… de todo se aprende en esta vida.

 

Almacén de contenido malicioso.

Los hacker suelen usar tu servidor como almacén de archivos que ellos utilizan desde otros servidores. Esencialmente lo que hacen es utilizar tu cuenta de hosting como un servidor de archivos, por toda la cara.

¿Cuál es el interés del hacker?

El atacante obtiene el beneficio de almacenar gratuitamente archivos y documentos en una IP y dominio de buena y saneada reputación.

 

Conclusión.

Si eres de los que piensa que tu servidor o sitio web carece de interés para los hackers, esperamos que esta entrada te haya dado que pensar sobre la forma de actuar de estas personas, y las razones y métodos que utilizan

Independientemente de cómo y para qué uses tu servidor, cuánto te cueste al mes o cuánto tráfico muevas, el hacker siempre estará preparado para imaginar cómo usar tu espacio web para su beneficio.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies