1-800-987-654 admin@totalwptheme.com
130115 Hacked

Breve compendio de un hackeo en la era de la gestión del riesgo

La semana pasada fuimos hackeados. No deja de tener su ironía que desde hace medio año estemos en la cobertura del proyecto de monitorización y respuesta del Centro de Investigación para la Gestión Tecnológica del Riesgo (CIGTR), y que nos hayan dado por uno de los puntos flacos que presenta WordPress, sobre todo cuando se ejecuta en servidores externos cuyas medidas de seguridad están en manos de terceros. Lección que hemos aprendido y que aplicaremos lo antes posible ;-))

De la noche a la mañana, contemplamos atónitos cómo nuestra pequeña web, nuestra querida y todavía repleta de acné juvenil URL comunicacionynuevosmedios.com, pasaba a ser un lugar sospechoso para Google, que alertaba al visitante sobre la posibilidad de que alojáramos software malicioso. De hecho, habíamos pasado a formar parte del Black List de la gran G, y tanto en las búsquedas como en los accesos directos, parecíamos el mismísimo diablo reencarnado en formato de web.

Pasado el pánico de los primeros minutos (nuestra reputación se hundirá, nuestros proyectos y colaboradores se marcarán una espantá, y donde ayer hubo ilusión mañana no quedarán ni las ánimas), nos pusimos manos a la obra. Lo primero era encontrar a los malos. Y dimos con ellos. El ataque era relativamente sencillo: un código insertado por la puerta de atrás en uno de los ficheros raíz (no me pidan detalles, soy escribiente, no programador), y a partir de ahí la consabida fórmula: eliminar código, eliminar temporales, actualizar versión de WordPress y seguir los pasos que indica Google, que no son precisamente un ejemplo de claridad, para salir del Black List.

Más tarde, gracias a ese fenomenal espacio de interacción que es Google+ (ese que algunos llaman desierto social), pude tomar nota de datos muy interesantes, facilitados por José Luis Gallego tanto en la entrada original como en la recompartida por Carlos Pizcos. Amén del apoyo de amigos, conocidos y colegas profesionales que nos desearon salir pronto de ese impass.

Más que el ataque y posterior “resurrección” del blog, que nada tienen de épico, este incidente me genera tres impresiones que considero oportuno compartir.

La primera, tenga o no tenga la culpa, tu proveedor de hosting va a negar cualquier responsabilidad en el asunto. Con ellos no va, aunque el propio Gallego, con una autoridad innegable en el asunto, me comentó en abierto que “este tipo de cosas pasa en un 99% de las veces cuando estamos hablando de una web en PHP en un hosting compartido, sea WP, Joomla, o el sum-sum-corda”. Se puede decir más alto, pero no más claro. No descarto que nuestro caso haya sido el del 1% restante… aunque el sentido común dice que estamos más cerca de lo que plantea Gallego que de lo que responde, tirando de guión, nuestro proveedor de servicios.

Dos. Google es maravilloso. Negarlo es ser más papista que el Papa. Ofrece un sinfín de funcionalidades inimaginables hace solo diez años. Pero ojo a dos verdades históricas: ningún Imperio es eterno, y ningún poder absoluto es bueno. Nada que objetar al comportamiento de este gigante: informa, advierte, escucha y cuando ve que todo está en orden, desbloquea. Su comportamiento es transparente, o al menos lo aparenta. Pero a nadie se le olvide que en una situación así, hoy por hoy, estar bloqueado por Google, por los motivos que sea, implica estar fuera del mundo. No obstante, repito, Google es fantástico. Y sí, quien esto escribe es además Google y Android fanboy. Para lo bueno y para lo malo.

Y tres. Quién o qué anda detrás de la oleada de ataques a escala masiva es una cuestión importante, pero no es la fundamental. La principal ha sido, es y seguirá siendo establecer los patrones de ataque y averiguar por dónde los black hats están inyectando el código, aun cuando aparentemente se les han cerrado todas las puertas. Eso sí, estemos preparados: una vez demos con ello, los siguientes ataques serán aun más virulentos, agresivos y difíciles de expurgar. Es el precio de la nueva era que se abre con internet. La gestión permanente del riesgo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *