Uno de los administradores de sitios web como lo es WordPress presentó fallas en su funcionamiento y hackeos en su sistema, lo que permitió que un conjunto de cibercriminales accedieran a cientos de páginas y modificaran su código para redirigir a los usuarios a direcciones fraudulentas con la intención de acceder a datos personales.
Esta vulnerabilidad tiene su origen en un fallo detectado en los temas Newspaper y Newsmag de WordPress que hasta el momento tienen más de 155.000 descargas en tiendas virtuales oficiales. Según el sitio web “wordfence.com” el error, llamadao “CVE-2023-3169″ inyecta códifo malicioso en la plataforma virtual y burla la seguridad del sitio para iniciar su estrategia de phishing.
Según los primeros reportes, con respecto de este inconveniente, los sitios web empiezan a presentar anuncios fraudulentos como por ejemplo algunos en los que se menciona a la página de soporte del computador, ganancias falsas a partir de sorteos inexistentes, e incluso notificaciones fraudulentas que llevan a páginas web falsas.
Los reportes de seguridad incluso aseguran que el código lleva a los usaurios a suscribirse y aceptar notificaciones push que aparecen directamente en el escritorio del computador y que están destinadas a actuar como enlaces directos a más páginas web de baja credibilidad.
El actor malicioso, llamado “Balada”, no es nuevo e incluso ha sido rastreado por expertos en ciberseguridad desde el año 2017. Según la firma de seguridad “Sucuri”, este mal elemento llegó a perjudicar a más de un millón de sitios web desde que fue reportado y que solo en el último par de meses, entre septiembre y octubre del año 2023, se afectó a más de 23.000 páginas web.
“Septiembre también fue un mes muy desafiante para miles de usuarios del tema Newspaper (de WordPress)”, indicó Denis Sinegubko, investigador en ciberseguridad en Sucuri. “La campaña “Balada” de inyección de malware generó una serie de ataques que aprovecharon la vulnerabilidad de los administradores de blogs”, aseguró.
El método en el que actúa este sistema, luego de inyectar el código malicioso, es tomando el control sobre la administración del sitio por medio de la instalación de “puertas traseras”, plugins y el establecimiento de perfiles internos con permisos de administradores para ingresar al sitio web. De esta forma se asegura de poder operar en la página aún si los usuarios no le otorguen los permisos adecuados.
De forma preventiva, los administradores de cualquier sitio web que utilice wordpress como su plataforma de gestión deberán evaluar la seguridad de sus páginas analizando las sesiones activas y los usuarios que actualmente tienen acceso a la modificación de elementos. El código de programación también deberá ser analizado para verificar que no se encuentre una vulnerabilidad activa que pueda ser aprovechada por malos actores como “Balada”.
Según “Sucuri”, otra de las formas que se debe poner en práctica para evitar casos no deseados de inyección de “Balada” es la actualizacion de plugins y asegurarse de que los administradores se mantengan vigilantes de posibles infiltraciones de usuarios desconocidos con nombres como “greeceman”, que terminen en “-mann” o que utilicen un correo con un dominio “@mail.com”. De ser este el caso se debe eliminar este usuario lo más pronto posible
Además, para evitar nuevos casos como este, es preferible modificar las contraseñas de los usuarios, además de las credenciales de acceso a la administración del sitio web y la base de datos del mismo. En estos casos también se tiene que asegurar que las nuevas credenciales de acceso sean únicas y seguras.
En estas situaciones se tiene que asegurar que las claves tengan más de 12 o 13 caracteres, además de letras mayúsculas, números y símbolos especiales (!”#$%&/).
/psg