¿Tu sitio web ha sido hackeado?
Sufrir un ataque a su sitio web puede ser una experiencia desalentadora, ya que los atacantes pueden perder o robar sus datos o pedir un rescate. Si tienes un sitio web pirateado, es fácil entrar en pánico. En tales situaciones, es necesario mantener la calma y evaluar el incidente de manera objetiva.
Como propietario de un sitio web, debe tener cuidado y tomar todas las medidas de seguridad para mantener su sitio web seguro.
Si no tiene una copia de seguridad, la recuperación completa de un sitio web pirateado puede llevar mucho tiempo y ser costosa.
Los profesionales de la seguridad tienen una gran demanda debido a los ataques cada vez mayores a las aplicaciones web.
Los desarrolladores web deben seguir estrictas prácticas de seguridad, actualizando su software a la versión más reciente, que abarque todos los parches recientes.
Inyecciones SQL y Cross Site Scripting
Dos de los métodos de ataque más comunes son las inyecciones SQL y Cross Site Scripting.
Mediante inyecciones de SQL, el atacante puede insertar metacaracteres SQL en los campos de entrada (donde los usuarios envían datos) para manipular consultas SQL.
Puede manipular consultas SQL desde un parámetro determinado y obtener información no autorizada de la base de datos.
Los atacantes también pueden destruir la base de datos y causar daños considerables, incluso monetarios. La inyección SQL es el principal riesgo de seguridad de las aplicaciones OWASP (The Open Web Application Security Project) .
Cross Site Scripting (XSS) ocurre cuando un javascript malicioso se incrusta en un campo de entrada sin validación, como la sección de comentarios en el sitio. Si el campo está configurado incorrectamente, JavaScript se ejecutará cuando alguien visite el sitio y cargue ese comentario en particular.
El ransomware es un tipo de malware que cifra sus datos y solicita un pago para descifrarlos.
Las instrucciones se envían al propietario del sitio web y el pago generalmente se exige en bitcoins o alguna otra moneda en línea.
El virus ransomware ingresa a través de un archivo adjunto de correo electrónico malicioso o debido a la ausencia de un parche de seguridad crítico.
Puede intentar encontrar la clave de descifrado del ransomware en nomoreransom.org y recuperar sus archivos, pero generalmente las claves no siempre están disponibles.
Si no hay ninguna clave disponible, solo tienes dos opciones. Pague el rescate y espere obtener las claves para descifrar sus archivos.
Por lo general, esto no se recomienda porque es posible que no obtengas las claves y, al pagar, sigues haciendo que el ransomware sea rentable.
Con el reciente aumento del valor de las criptomonedas, se ha vuelto cada vez más común que los atacantes exploten los sistemas comprometidos para extraer criptomonedas.
Un sitio web pirateado podría incluir JavaScript que se carga cuando un visitante visita el sitio y extrae criptomonedas en segundo plano.
Esto se puede detectar al observar cómo un sitio aparentemente simple consume una cantidad significativa de recursos informáticos de la máquina cliente.
El tercer riesgo en la lista de riesgos de seguridad de las aplicaciones OWASP es la exposición de datos confidenciales.
Algunas aplicaciones web no pueden proteger muy bien información confidencial, como datos de tarjetas de crédito, datos de identificación personal relacionados con finanzas y atención médica, etc.
Se deben tomar precauciones adicionales siempre que se interactúe información confidencial con el navegador.
La mala configuración de la seguridad es el sexto riesgo de seguridad de las aplicaciones, que abarca configuraciones de seguridad insuficientes (por ejemplo, nombre de usuario y contraseña débiles, falta de protección con contraseña), almacenamiento abierto en la nube y mensajes de error que revelan información confidencial.
Señales de un sitio web pirateado
El registro es vital para detectar si un sitio web se ha visto comprometido.
La mayoría de los ataques sólo dejarán rastros en los registros si se habilitan suficientes registros. Normalmente tendrás que investigar y ejecutar consultas en tus registros para detectar diferentes ataques.
Por ejemplo, un ataque SQL podría verse en los registros como una gran transferencia de datos, ya que obtuvieron acceso no autorizado a toda la base de datos.
Algunos de los datos valiosos que los atacantes pueden desear tener son una lista completa de nombres de usuario y contraseñas, información de tarjetas de crédito y otra información confidencial o de identificación personal.
Los sitios web de comercio electrónico son objetivos típicos para obtener acceso a información de tarjetas de crédito.
Busque una actividad que se desvíe de los comportamientos normales, como transferencias de datos anormalmente grandes, consultas fallidas repetidas o conexiones a través de puertos no estándar (https y https normalmente superan 80 y 443, por ejemplo).
¿Qué hacer después de que un sitio web ha sido hackeado?
Su primera acción puede ser de pánico e incredulidad, pero debe superar los pensamientos iniciales y ponerse manos a la obra.
Debe acceder al daño causado por los atacantes y anotar toda la información que pueda encontrar en ese momento (hora, actividad sospechosa, consultas a la base de datos, etc.).
Esto ayudará a determinar el tipo de ataque y cómo se produjo.
Los daños de los ciberataques son de diversa gravedad, de ahí que las acciones para mitigar estos ataques sean diversas.
Un ataque de inyección SQL que exfiltró la información de la tarjeta de crédito de todos los clientes requiere una respuesta completamente diferente a un ataque XSS que extrae criptomonedas en segundo plano en la máquina del visitante.
Es importante crear una línea de tiempo de toda la información que puede recopilar inmediatamente después de darse cuenta de que ha habido una infracción.
Esto le permitirá determinar cuándo ocurrió el ataque y cuánto tiempo estuvo comprometido el sistema.
Varios escáneres antivirus deben analizar el sitio web y el entorno local en busca de malware.
Se puede realizar una copia de seguridad del sitio web pirateado para luego investigar el malware y su origen mientras el nuevo sitio está en funcionamiento.
Si el atacante obtuvo acceso a las credenciales de inicio de sesión de la base de datos, sus usuarios también deberán crear nuevas contraseñas, ya que habrá un restablecimiento completo de la contraseña.
Es posible que usted, como propietario, también tenga que cambiar todas sus contraseñas y crear contraseñas aleatorias y seguras para cada servicio.
Un administrador de contraseñas es una buena solución para generar y almacenar contraseñas únicas y seguras para los distintos servicios.
También debe consultar con su proveedor de alojamiento sobre el incidente de piratería.
También se debe notificar a los usuarios afectados y explicar la situación detalladamente a todas las víctimas.
Dependiendo de la gravedad del ataque, podría considerar involucrar a las autoridades.
