Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Historias reales: mi reputación perdida por un phishing en mi web

Fecha de publicación 15/11/2018
Autor
INCIBE (INCIBE)
Imagen de acompañamiento

Leo es un pequeño empresario que había arrancado no hace mucho tiempo con un negocio de venta de complementos de moda artesanal, fabricados a mano. El protagonista de nuestra historia real era consciente de que para publicitar su marca y poder hacerse un hueco en el mercado, debería darse a conocer. Para conseguirlo contaba con la ayuda Cristian, un amigo que además, trabajaba con él. Juntos decidieron crear una página web y diferentes perfiles en redes sociales.

Entre ambos llegaron a la conclusión de que la página web fuera únicamente de carácter informativo, ya que para la venta online utilizarían un servicio contratado a terceros. Por lo tanto, la página web contaba con los elementos típicos de este tipo de páginas estáticas, que solo tienen un carácter meramente informativo.

En ella se mostraban algunos de sus productos y cómo adquirirlos, las instalaciones, los miembros de la organización y dónde localizarlos. El factor clave para ellos era publicitarse en las redes sociales, ya que gracias a ellas, podían llegar a un gran número de posibles clientes y además, dar a conocer sus productos sin desembolsar grandes cantidades de dinero en campañas publicitarias.

Pasado no mucho tiempo comenzaron a ganar clientes y a forjarse una estupenda reputación, en gran medida gracias a los comentarios que los usuarios hacían tanto de sus productos, como de la calidad del servicio, en redes sociales.

Todo iba viento en popa y la empresa estaba generando beneficios. Cierto día, Leo recibió un mensaje privado a través de una de las redes sociales en las que estaban dados de alta. En el mensaje le indicaban que su página web corporativa estaba siendo utilizada con fines fraudulentos, en concreto, para alojar un phishing a un sistema de pagos en línea con el que se estaban robando credenciales de acceso y datos bancarios. Además le enviaban el enlace donde se estaba realizando el phishing. Al acceder Leo comprobó que en efecto se veía una página de acceso a PayPal y estaba alojada en su página web. No había dudas, era su dominio. Leo no daba crédito a lo que veía, ¡una página de acceso a PayPal en su sitio web corporativo!

Pasados unos minutos comenzó a recibir mensajes y comentarios públicos en redes sociales que le advertían de lo mismo. Leo sabía que esta situación impactaría negativamente en la reputación que tanto tiempo le había costado conseguir. Debía eliminar cuanto antes la página fraudulenta, ya que los navegadores no tardarían en marcar su sitio web como malicioso. Sus temores se confirmaron cuando poco después comprobó que algunos navegadores no permitían el acceso a la web.

El sitio web al que vas a acceder es engañoso.

Tenía que averiguar qué había pasado. Esto era algo que no podía volver a suceder, pero Leo no sabía por dónde empezar. Decidió llamar a su amigo Cristian, que se encontraba en el extranjero, y comentarle lo sucedido. Tras unos minutos de conversación, le indicó que se pusiera en contacto con la sección Protege tu Empresa de INCIBE para reportar el incidente y que le ayudaran a solucionarlo.

Nada más colgar se puso manos a la obra, buscó en Google lo que le había indicado su amigo y encontró el Formulario de contacto para empresas de INCIBE. Completó los campos del formulario y describió su problema. Pocos minutos después recibió una respuesta indicando varios pasos a seguir para solucionar el incidente, las instrucciones eran las siguientes:

  1. Eliminar la sección, páginas o archivos maliciosos que generaban el phishing. Además tendría que comprobar otras posibles páginas maliciosas que no se hubieran detectado. Es común en estos casos que se aloje más de una página de phishing. Para ello, le daban dos opciones:
    1. La forma más recomendable es restaurar una copia de seguridad de la web y la base de datos asociada.
    2. En caso de no disponer de copia de seguridad, buscar el phishing y revisar que no existan otros archivos que se hubieran creado de manera ilegítima. Para ello, tendría que buscar los últimos elementos creados ordenando por fecha.
  2. Tras la limpieza, actualizar el gestor de contenidos a la última versión disponible.
  3. En caso de tener contratado un hosting, modificar las credenciales de acceso y comprobar si han sido creados subdominios o modificados ficheros web en las últimas fechas.
  4. Buscar si han sido creados nuevos usuarios que no deberían existir y en ese caso, borrarlos.
  5. Modificar las credenciales de acceso de los usuarios legítimos existentes.

Una vez que Leo aplicó las instrucciones facilitadas por el CERT de INCIBE su página web corporativa dejó de ser utilizada con fines fraudulentos, pero el daño a su reputación causado por este phishing sería más complejo de reparar.

¿Qué fue realmente lo que paso?

Los ciberdelincuentes pudieron acceder al portal web de Leo de varias formas:

  • Los ciberdelincuentes habían puesto el ojo en la web de Leo, ya que ésta utilizaba una versión antigua de un popular gestor de contenidos. Era una versión de dominio público en la que existían multitud de vulnerabilidades que podrían ser explotadas para conseguir acceso con permisos de administrador. Los ciberdelincuentes explotaron alguna de esas vulnerabilidades y consiguieron control total sobre el CMS.
  • Otra posibilidad es que por medio de un ataque de fuerza bruta, que consiste en probar distintas combinaciones de credenciales de acceso, dieron con las acertadas y pudieron acceder al panel de administración del CMS. Esto es debido a que la web de Leo no contaba con ninguna medida de seguridad que limitara los intentos de acceso erróneos como un CAPTCHA.
  • También pudieron acceder a alguno de los servicios utilizados para administrar el servidor donde se encuentra alojada la página web, como el servicio FTP o la propia cuenta asociada al hosting. Es probable que un usuario que cuenta con un CMS desactualizado y con credenciales débiles también las utilice para acceder a otros servicios asociados al portal.

Una vez que los ciberdelincuentes pudieron acceder al CMS, al hosting o a alguno de los servicios asociados, pudieron crear tantas páginas web maliciosas como quisieron, ya que contaban con un control total.

¿Qué podemos hacer para que no nos suceda?

Para evitar lo que le ha sucedido a Leo te recomendamos visitar las siguientes secciones para que conozcas las medidas de seguridad necesarias con las que proteger tu web: