Lo que hemos aprendido de los #PanamaPapers

A principios del pasado mes de Abril, 109 medios de comunicación de 76 países presentaron los resultados de la primera entrega de los más de 2.6 Terabytes y 11.5 millones de documentos de documentación procedente de la mayor filtración de datos a periodistas en la historia de la firma de abogados panameña Mossack Fonseca, los conocidos como #PanamaPapers.

No entraremos aquí a evaluar sus consecuencias morales o políticas, no es es el foro para ello, y si nos vamos a fijar en las causas de esta filtración, algo que, salvo en círculos más restringidos, no ha tenido tanta difusión: Según la empresa de seguridad informática Wordfence, la filtración de estos datos se ha debido a una serie de vulnerabilidades en los sistemas informáticos de la firma panameña, Concretamente el acceso a su servidor de email fue posible debido a una vulnerabilidad ya conocida hace casi 18 meses de un plugin de WordPress llamado Revolution Slider que no había sido actualizado.

Mediante esta vulnerabilidad, un atacante pudo con relativa facilidad acceder al servidor de WordPress de la empresa y, mediante el acceso al archivo “wp-config.php” robar las claves de acceso a esta Web. Una vez hecho esto, el acceso a su servidor Web fue pan comido.

Para terminar de completar este acceso al servidor de email. los atacantes recurrieron, una vez dentro de su servidor Web, a dos plugins que usaban en la firma de abogados para enviar correos electrónicos a sus listas de usuarios y la gestión de las mismas, WP SMTP y ALO Easy Mail Boletín que almacenaban en la Base de Datos de WordPress la información de inicio de sesión en el servidor de email en texto plano, es decir, sin ningún tipo de encriptación.

Fue mediante esta esta vía como los atacantes consiguieron el acceso como administradores del servidor de correo electrónico que, para completar el cúmulo de despropósitos, se encontraba en el mismo tramo de red que su servidor Web. De esta forma, los atacantes tuvieron acceso a más de 4,8 millones de correos electrónicos.

Además, el portal de clientes de la firma estaba implementado sobre una versión fácilmente “hackable” de Drupal, que no había sido actualizada y que tenía más de 30 vulnerabilidades documentadas y que fue la responsable del llamado “Drupageddon” un ataque masivo que sufrieron las Webs de este CMS a mediados de octubre de 2014. Esta vulnerabilidad permite a un atacante acceder fácilmente a toda la información almacenada en ese servidor y fue la responsable del robo de cerca de 2,5 millones de documentos.

En resumen, dos vulnerabilidades antiguas, y ya corregidas, en dos sistemas CMS han sido las responsables de esta filtración

Tras leer los estudios de @wordfence sobre #PanamaPapers lo extraño es que no atacaran antes… Click Para Twittear

#PanamaPapers CloakingPensareis: “bueno, yo no tengo información sensible que pueda ser robada, así que no me atacarán”, puede ser el caso si únicamente tienes un blog o una Web corporativa y no recoges ningún dato. Pero los ataques no se centran solo en el robo de información. Además de la posibilidad de tomar el control de la Web y variar su aspecto, hay un tipo de ataque que pasa más desapercibido y que afecta a los resultados de las búsquedas de tu Web, los ataques de cloaking.

El objetivo de este tipo de ataques es encubrir ciertas Webs en los resultados de búsqueda orgánica de tu Web, es decir que al buscar tu sitio, entre los resultados aparecerá uno que lleva realmente a la Web del atacante. Para conseguirlo, lo que hacen estos hackers es mostrar un contenido distinto al robot de Google del que muestran al usuario.

Los ataques de #Cloaking no aprecian a primera vista Click Para Twittear

Para finalizar y retomando el titulo de este artículo ¿Qué hemos aprendido del caso de los #PanamaPapers?

1.- Que no basta con montar un sitio Web y luego olvidarse. Es necesario por un lado securizar este sitio y por otro mantener y revisar de forma regular el sitio, estando atentos a las distintas vulnerabilidades que puedan aparecer y actualizando nuestros CMS (WordPress, Drupal, Joomla…) y los diferentes plugins que instalamos.

2.- Que debemos elegir una empresa de hosting que aporte servicios adicionales de seguridad y no sólo un sitio donde “tirar” nuestra Web. Existen varios de estos servicios que ofrecen servicios especializados para las diferentes plataformas.

3.- Que debemos elegir bien los plugins que instalamos en nuestro CMS, informarnos de ellos y estar al día en cuanto actualizaciones. En el caso de Mossack Fonseca, la brecha del plugin Revolution Slider fue muy comentada y las soluciones, bien por actualización, bien por sustitución, estaban ampliamente documentadas. Asimismo, los otros dos Plugins, WP SMTP y ALO Easy Mail Newsletter, tienen un bajo número de instalaciones, alrededor de 10.000, incluso el primero de ellos no se ha actualizado desde hace más de dos años 🙁

4.- Que debemos huir de los Themes que incluyan funcionalidades. Tanto por asuntos estéticos como de seguridad. Pero esto es asunto de otro artículo.

The following two tabs change content below.
Licenciado en Marketing. GAIQ, certificado en Adwords llevo más de 20 años trabajando en el mundo de las tecnologías. El "aterrizaje" en el mundo 2.0 forma parte de una evolución natural. Actualmente soy consultor Freelance y ayudo a pequeñas y medianas empresas a desarrollar sus estrategias de marketing en Internet.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

A %d blogueros les gusta esto: