Historias reales: mi web en jaque por la negligencia de un proveedor
Rodrigo es un profesional autónomo que se dedica a la creación y mantenimiento de páginas web para los negocios de su ciudad natal. Entre sus clientes destaca Silvia, una empresaria que se dedica a la confección textil.
Debido a la situación ocasionada por la pandemia, Silvia decidió reorientar su línea de negocio hacia la fabricación de mascarillas higiénicas con diseño personalizado. Se decidió a dar este paso al observar que había un nicho de mercado que no estaba cubierto en ese momento. El uso de telas homologadas y de buena calidad junto con el boca a boca de sus clientes provocó que las visitas a su página web crecieran exponencialmente. Para evitar el colapso de su web a la hora de tramitar las compras realizadas por sus clientes, le pidió a Rodrigo que modificara las características de su página web para poder absorber la demanda creciente.
Rodrigo le comentó que en ese momento estaba con un proyecto de otro cliente por lo que tardaría unos días en llevarlo a cabo. Además, le indicó a Silvia que cuando realizara los cambios, se aplicarían de madrugada para que el servicio no se viera interrumpido.
Al día siguiente, Silvia observó que la tienda estuvo fuera de servicio durante unos minutos al mediodía. Pensó que Rodrigo estaba realizando su trabajo y no le dio importancia a este hecho.
Al cabo de unos días, Silvia comenzó a recibir llamadas y correos por parte de sus clientes quejándose de que no habían recibido los productos que habían comprado en la página web. Ella les pidió los detalles de las compras y confirmó que algo pasaba con su web, pues aunque los clientes habían iniciado la compra, ella no había recibido esos pedidos, ni los pagos.
Pero, ¿qué había sucedido realmente?
El corte que se había producido fue en realidad una señal de que la tienda había sido hackeada. Los ciberdelincuentes no se tomaron muchas molestias en borrar el rastro de las acciones que habían llevado a cabo.
Rodrigo, con las prisas, había incluido en la página web de Silvia un plugin de un desarrollador para gestionar el pago de los productos sin revisar a fondo su reputación y seguridad. Unos días antes los ciberdelincuentes habían conseguido infiltrarse en los sistemas del desarrollador del plugin, lo que les permitió modificarlo de forma sigilosa, sin que este lograra detectar el cambio, pues realizaba unos controles muy laxos en materia de seguridad. El plugin corrupto, que terminó instalado en la web de Silvia, incluía una puerta trasera o backdoor, que permitía a los ciberdelincuentes acceder a las tiendas online que lo tenían instalado sin ser detectados.
Haciendo uso de herramientas de rastreo, detectaron que la tienda online de Silvia usaba el plugin corrupto, además de una versión desactualizada del CMS o gestor de contenidos de la web. Ambos hechos hicieron que la tienda fuera un objetivo doblemente apetecible para los ciberdelincuentes.
La web de Silvia y las de otros clientes de Rodrigo eran un blanco fácil. Rodrigo no había realizado el mantenimiento proactivo y el software (del gestor de contenidos CMS) como otros complementos que se usan en las páginas web de sus clientes que contenían vulnerabilidades pues estaban desactualizados.
Aprovechándose del plugin corrupto y del comportamiento negligente de Rodrigo, los ciberdelincuentes consiguieron acceder al panel de administración y hacerse con el control de la página. Entre las primeras acciones que realizaron redireccionaron a los clientes de la tienda online de Silvia hacia una página de phishing que simulaba ser la plataforma de pago. Los clientes no se percataron de este hecho, ya que la dirección de la página era ligeramente diferente a la original. Una vez habían realizado el pago, recibían un mensaje indicando que el pago se había realizado con éxito como sucede en otras plataformas de pago online verificadas.
Además, los ciberdelincuentes consiguieron acceder a información confidencial de los clientes como, por ejemplo, sus datos personales, su dirección de envío y facturación.
Este tipo de ataque se denomina ataque a la cadena de suministro (en inglés, supply chain attack), consiste en incluir agujeros de seguridad de forma encubierta en software de terceros para explotar vulnerabilidades conocidas y no parcheadas de los sistemas donde se instalan. Esto sucede por la ausencia de controles de calidad y auditoría de seguridad por parte de la empresa creadora.
Hay que tener en cuenta que determinadas aplicaciones o plugins de terceros pueden acceder a información personal y financiera de los clientes y usuarios de la página web o de la aplicación, como pueden ser información personal (nombre y apellidos, domicilio, DNI), cuentas de correo y hasta números de tarjetas financieras para realizar determinadas acciones relacionadas con el pago de los productos o la gestión del envío. En ocasiones, los proveedores de estos plugins recopilan la información de los usuarios sin informar debidamente a las empresas que los usan, provocando situaciones potenciales de riesgo. Toda esta información puede ser vendida en la dark web o utilizada para realizar nuevas estafas.
Consejos para evitar esta situación
Entre las recomendaciones y buenas prácticas que debería haber tenido en cuenta Rodrigo y que Silvia debería haber exigido por contrato, que hubieran evitado llegar a esta situación, destacan:
- Usar aplicaciones y plugins de confianza, descargándolos desde la página web del fabricante o desde mercados oficiales de aplicaciones.
- Mantener actualizado, tanto el software, como el hardware a la última versión disponible. De esta manera, se evitará que los ciberdelincuentes se aprovechen de las vulnerabilidades presentes en las versiones desactualizadas.
- Comprobar de forma periódica que no se hayan producido modificaciones, tanto en la configuración, como en la estructura de la página web. En caso de producirse, hacer uso de una copia de respaldo. A continuación, aplicar el parche de seguridad para corregir esta situación.
- Realizar un estudio previo a la adopción de una tecnología o un complemento de un tercero en materia de seguridad y de políticas de privacidad para comprobar los accesos que realizan estos proveedores a datos sensibles.
- Contar con un software de protección, así como medidas adicionales de protección, como puede ser un sistema IDS/IPS o un UTM.
- Contar con un plan de contingencia que ayude a ofrecer una rápida respuesta ante un incidente de seguridad. Esto permitirá minimizar los efectos perniciosos de un ataque y que la confianza de los clientes no se vea afectada.
- Realizar de forma periódica auditorías de seguridad de la página web, así como del código implementado para comprobar que no haya parámetros o comportamientos anómalos presentes en la tienda web.
- Establecer políticas de seguridad.
- Verificar que los recursos disponibles para descarga no han sido modificados por terceros.
- Revisar y comparar, de forma periódica, las medidas de seguridad que se implementan en el código de los plugins.
- Alojar las librerías y plugins ofrecidos por terceros en el propio servidor en vez de importarlos. De esta manera, se puede controlar los cambios que se producen antes realizar cualquier modificación.
- Implementar análisis que mida la integridad de las librerías ofrecidas por terceros para proteger la página web frente a modificaciones inesperadas.
- Monitorizar y analizar el tráfico de la página web, así como del servidor para comprobar que no se producen conexiones inesperadas hacia otros servidores diferentes del que aloja la web.
Si tienes dudas, llama al 017, la Linea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.