• Saltar a la navegación principal
  • Saltar al contenido principal
  • Saltar a la barra lateral principal

Carlosmdh

  • Migra ahora a Google Analytics 4
  • Blog
  • Snippets
  • Tutoriales
  • Q&A GA4
  • Sobre mí
  • Contactar

29 enero, 2021

Qué hemos aprendido de los #PanamaPapers

A principios del mes de Abril de 2016, 109 medios de comunicación de 76 países presentaron los resultados de la primera entrega de los más de 2.6 Terabytes y 11.5 millones de documentos de documentación procedente de la mayor filtración de datos a periodistas en la historia de la firma de abogados panameña Mossack Fonseca, los conocidos como #PanamaPapers.

No voy a entrar aquí a evaluar sus consecuencias morales o políticas, no es es el foro para ello, y si me vamos a fijar en las causas de esta filtración, algo que, salvo en círculos más restringidos, no ha tenido tanta difusión:

Según la empresa de seguridad informática Wordfence, la filtración de estos datos se debió a una serie de vulnerabilidades en los sistemas informáticos de la firma panameña, Concretamente el acceso a su servidor de email fue posible debido a una vulnerabilidad ya conocida 18 meses antes que esto ocurriera de un plugin de WordPress llamado Revolution Slider que no había sido actualizado.

Mediante esta vulnerabilidad, un atacante pudo con relativa facilidad acceder al servidor de WordPress de la empresa y, mediante el acceso al archivo «wp-config.php» robar las claves de acceso a esta Web. Una vez hecho esto, el acceso a su servidor Web fue pan comido.

Para terminar de completar este acceso al servidor de email los atacantes recurrieron, una vez dentro de su servidor Web, a dos plugins que usaban en la firma de abogados para enviar correos electrónicos a sus listas de usuarios y la gestión de las mismas, WP SMTP y ALO Easy Mail Boletín que almacenaban en la Base de Datos de WordPress la información de inicio de sesión en el servidor de email en texto plano, es decir, sin ningún tipo de encriptación.

Fue mediante esta esta vía como los atacantes consiguieron el acceso como administradores del servidor de correo electrónico que, para completar el cúmulo de despropósitos, se encontraba en el mismo tramo de red que su servidor Web. De esta forma, los atacantes tuvieron acceso a más de 4,8 millones de correos electrónicos.

Además, el portal de clientes de la firma estaba implementado sobre una versión fácilmente “hackable” de Drupal, que no había sido actualizada y que tenía más de 30 vulnerabilidades documentadas y que fue la responsable del llamado “Drupageddon” un ataque masivo que sufrieron las Webs de este CMS a mediados de octubre de 2014. Esta vulnerabilidad permite a un atacante acceder fácilmente a toda la información almacenada en ese servidor y fue la responsable del robo de cerca de 2,5 millones de documentos.

En resumen, dos vulnerabilidades antiguas, y ya corregidas, en dos sistemas CMS fueron las responsables de esta filtración.

#PanamaPapers Cloaking

Pensareis: «bueno, yo no tengo información sensible que pueda ser robada, así que no me atacarán».

Puede ser el caso si únicamente tienes un blog o una Web corporativa y no recoges ningún dato. Pero los ataques no se centran solo en el robo de información.

Además de la posibilidad de tomar el control de la Web y variar su aspecto, hay un tipo de ataque que pasa más desapercibido y que afecta a los resultados de las búsquedas de tu Web, los ataques de cloaking.

El objetivo de este tipo de ataques es encubrir ciertas Webs en los resultados de búsqueda orgánica de tu Web, es decir que al buscar tu sitio, entre los resultados aparecerá uno que lleva realmente a la Web del atacante. Para conseguirlo, lo que hacen estos hackers es mostrar un contenido distinto al robot de Google del que muestran al usuario.

Para finalizar y retomando el titulo de este artículo ¿Qué hemos aprendido del caso de los #PanamaPapers?

1.- Que no basta con montar un sitio Web y luego olvidarse. Es necesario por un lado securizar este sitio y por otro mantener y revisar de forma regular el sitio, estando atentos a las distintas vulnerabilidades que puedan aparecer y actualizando nuestros CMS (WordPress, Drupal, Joomla…) y los diferentes plugins que instalamos.

2.- Que debemos elegir una empresa de hosting que aporte servicios adicionales de seguridad y no sólo un sitio donde «tirar» nuestra Web. Existen varios de estos servicios que ofrecen soluciones especializadas para las diferentes plataformas.

3.- Que debemos elegir bien los plugins que instalamos en nuestro CMS, informarnos de ellos y estar al día en cuanto actualizaciones. En el caso de Mossack Fonseca, la brecha del plugin Revolution Slider fue muy comentada y las soluciones, bien por actualización, bien por sustitución, estaban ampliamente documentadas. Asimismo, los otros dos Plugins, WP SMTP y ALO Easy Mail Newsletter, tienen un bajo número de instalaciones, alrededor de 10.000, incluso el primero de ellos no se ha actualizado desde hace más de dos años 🙁

4.- Que debemos huir de los Themes que incluyan funcionalidades. Tanto por asuntos estéticos como de seguridad. Pero esto es asunto de otro artículo.

Te invito a que dejes tus impresiones y / o dudas en el formulario de contacto y que me propongas nuevos temas que te gustaría que tratara en estos tutoriales. Estaré encantado de contestarte por email y escribir en este blog.

Blog

sidebar

sidebar-alt

Blog · Snippets · Tutoriales

Politica de privacidad · Politica de Cookies · Cambiar su consentimiento


carlosmdh © 2023 · Made with by carlosmdh

Utilizamos cookies para ofrecerte la mejor experiencia en nuestra web.

Puedes aprender más sobre qué cookies utilizamos o desactivarlas en los ajustes.

Carlosmdh
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.

Cookies estrictamente necesarias

Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.

Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.

Cookies de terceros

Esta web utiliza Google Analytics para recopilar información anónima tal como el número de visitantes del sitio, o las páginas más populares.

Dejar esta cookie activa nos permite mejorar nuestra web.

¡Por favor, activa primero las cookies estrictamente necesarias para que podamos guardar tus preferencias!

Cookies adicionales

Esta web utiliza las siguientes cookies adicionales:

(Lista aquí las cookies que estás utilizando en la web.)

¡Por favor, activa primero las cookies estrictamente necesarias para que podamos guardar tus preferencias!

  • English
  • Français