Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Historias reales: mi página web trabajaba en la mina

Fecha de publicación 31/05/2018
Autor
INCIBE (INCIBE)
Historias reales: mi página web trabajaba en la mina

En esta nueva historia real os queremos relatar el caso de Miguel Ángel, propietario de una tienda deportiva y de moda. Se dedica a la venta y distribución de todo tipo de material, ya sea para la práctica de cualquier modalidad o tipo freestyle y también ofrece serie servicios, como el análisis de pisada orientado a la venta de calzado deportivo, asesoría sobre equipaciones y materiales para equipos que basen su actividad en cualquier disciplina o cronometraje para la regulación legal de tiempos en carreras.

Por lo tanto, además de la venta presencial de los productos y servicios en sus instalaciones, ubicadas en un céntrico local de una de las capitales de Andalucía, a través de Internet ofrece venta online de sus productos y presta su servicio de cronometraje. Para ello cuenta con una página web que, por un lado es una tienda online, donde a través de un carrito de la compra se pueden realizar compras de todo tipo de material, y por otro, mediante un formulario de contacto, se pueden realizar las gestiones oportunas para contratar el servicio de cronometraje. Hay un tercer apartado que incluye la posibilidad de apuntarse a las carreras que Miguel cronometra y que se realiza a través de plataformas de pago externas, que incluyen sus propios métodos de pago seguro.

Desde el inicio, hace ya muchos años, su página ha funcionado correctamente, y jamás había contabilizado ningún problema… hasta el momento.

Hace unos días su amigo Alejandro le comunicó que cada vez que entraba a apuntarse a alguna carrera o a visionar las ofertas de la semana, su ordenador se aceleraba de tal manera que sus ventiladores parecían que iban a salir volando, como si de un dron se trataran. Además, esta situación únicamente ocurría cuando visitaba su página, algo muy raro y un indicio inequívoco de que “algo” podría estar actuando en la sombra. Por si fuera poco, un aviso de su antivirus le alertaba de la ejecución de un fichero con extensión .js, que no hacía más que confirmar sus sospechas.

Miguel contactó con la empresa que le mantenía la página web y que cuenta con los datos de tráfico que tiene contratados con el servicio de hosting, de subida y de bajada. En efecto, el tráfico de su hosting era muy elevado con respecto a meses previos y además era demasiado elevado para tratarse de una tienda online de ese tamaño. Sin duda, algo estaba pasando. Tras un exhaustivo análisis, su empresa de mantenimiento pudo comprobar que Miguel había sido víctima del cryptohacking, conocido como minería oculta y maliciosa de criptomonedas. Esta técnica se basa en hacer uso de cualquier CPU de manera ilegítima a través de la ejecución de un archivo, que tendrá como objetivo la resolución de problemas matemáticos que servirán para verificar transacciones de dinero virtual (como podría ser el Bitcoin), con el fin de obtener recompensas que serán pagadas también en criptomonedas.

¿Qué fue realmente lo que pasó?

Sin saber cómo había sido posible, en su servidor se encontraba alojado un fichero minador de criptomonedas. Pero, ¿cómo podía haber llegado hasta allí? Se supone que su servicio de hosting cuenta con las herramientas necesarias para la detección de malware. Analizando las distintas posibilidades, la empresa de mantenimiento le preguntó a Miguel Ángel si en alguna ocasión había realizado algún cambio de la contraseña de administrador de la página. La respuesta fue negativa. Ahí estaba el problema. Miguel no había cambiado la contraseña por defecto que le habían facilitado cuando le crearon la página. Llevaba años entrando a la administración de su web con la contraseña inicial: “depor2015”.

¿Cómo llevaron a cabo el engaño?

Algunos de los motivos por los que mantuvo dicha contraseña se deban a que quizás pensó que por ser una tienda pequeña nadie haría nada por entrar, o no la cambió porque era fácil de recordar o simplemente se le olvidó modificarla. Pero esta situación había sido aprovechada por un ciberdelincuente para colarle un fichero que ejecuta código de minería de criptomonedas.

En muchas ocasiones, mediante simples programas que hacen uso de ataques por fuerza bruta, se prueban en muchos servicios una serie de “contraseñas tipo”, “de diccionario” o sencillas combinaciones de las mismas, cuyo objetivo es descubrir contraseñas que como en este caso sean sencillas de averiguar, y cuyo uso es muy extendido, como por ejemplo “1234”, “admin”, “qwerty”. “abc123”, “password”, etc.

En este caso, nuestro protagonista, Miguel, debería haber cambiado la contraseña por defecto en cuanto se le facilitó por otra que fuera lo más robusta posible, combinando letras minúsculas, mayúsculas, números y caracteres especiales.

¿Qué hacer para que no nos suceda?

  • Para alojar la web en un servicio externo, elegiremos un hosting seguro y de buena reputación que nos garantice la seguridad de nuestra web.
  • Si tenemos un servidor web propio seguiremos los mismos criterios de seguridad que exigiríamos a un proveedor, incluyendo medidas como mantener el software actualizado o programas antivirus y de escaneo periódico de vulnerabilidades.
  • En cualquier caso siempre tendremos una copia de seguridad de los datos y de todo el sitio web.
  • Por si fallan los backups o si tardamos en recuperarlos, es bueno contar con un plan B, como contar con un servidor duplicado, actualizado y probado.
  • Realizar limpiezas periódicas de nuestro sitio web, borrando todos los ficheros, bases de datos, aplicaciones y complementos o plugins que no utilicemos.
  • Para acceder al panel de control de nuestra web utilizaremos conexiones cifradas. Utilizaremos un cifrado SSL para las sesiones de login.
  • Nos conectaremos a la web para su mantenimiento desde entornos seguros, evitando conectarnos utilizando redes wifi públicas.
  • Es necesario contar con una política de contraseñas fuertes y obligaremos a que se cambien regularmente. Será muy importante no compartirlas con nadie.
  • No olvides que debes considerar las cuestiones legales para indicar desde la página web, cómo proteges los datos personales de los clientes y cómo garantizas sus derechos. Recuerda: el aviso legal, la política de cookies y las condiciones contratación.

La evolución tecnológica implica evolución de los ciberdelitos. Es necesario tomarse muy en serio la ciberseguridad y adoptar las medidas necesarias para evitar ser víctimas de cualquier tipo de ataques. De nada servirá contar con los antivirus y detectores de malware más actualizados si no ponemos en práctica medidas tan básicas como cambiar las contraseñas por defecto por otras más robustas. Implementar ciberseguridad en un cualquier negocio es la base para no sufrir incidentes y generar confianza entre nuestros clientes y proveedores. No lo dudes, ponte al día y aplica ciberseguridad en tu negocio.

Etiquetas