Empezaremos este artículo recordando una frase que conviene repetirse por activa y por pasiva: nunca se está lo bastante seguro.
Los ciberdelincuentes siempre van un paso por delante y somos los usuarios quienes debemos ir con pies de plomo para no caer en sus trampas. En algunos casos no podemos hacer nada, pero el problema más grave es que en la mayoría de los casos sí hubiésemos podido evitarlo con medidas de protección más estrictas.
Vivimos en un mundo hiperconectado: una vulnerabilidad en nuestro entorno personal puede ser aprovechada por un atacante para acceder a nuestro entorno profesional o empresarial.
Y cuando hablamos de páginas web, el problema es mayor: por dejadez o falta de conocimientos estamos poniendo en riesgo la seguridad y la privacidad de los usuarios registrados en nuestra web, lo que puede acarrear incluso problemas legales.
Cuando hackean una tienda online quedan expuestos los datos de todos sus compradores. Si el hackeo fue posible por no tener actualizado el WordPress o el Prestashop, podría considerarse una negligencia grave por parte del propietario de la web.
En este vídeo resumimos los consejos principales para proteger tu tienda online:
Causas de un hackeo
CMS sin actualizar
Es el caso más común y el más grave. Cuando proyectos como WordPress o Prestashop publican una actualización, no solo añaden funcionalidades: también parchean fallos de seguridad.
Por ejemplo, en 2022 se descubrió que todos los Prestashop anteriores a la versión 1.7.8.2 permiten acceso total a cualquier intruso. Aún hoy sigue habiendo tiendas sin actualizar que arrastran esta vulnerabilidad.
En estas webs puedes comprobar si el software que utilizas tiene alguna vulnerabilidad conocida:
Exposición de contraseñas
También muy típico y grave. Cuando te registras en un servicio (da igual si es una web pequeña o un gigante como Adobe, LinkedIn o Facebook), si les hackean, el atacante conocerá tu contraseña, la venderá, y los compradores probarán esa contraseña en otros servicios. Si la reutilizas, ya imaginas lo fácil que será hackearte.
En haveibeenpwned.com puedes verificar el grado de exposición de tu cuenta de correo en Internet y, por consiguiente, de las contraseñas de los servicios que hayan sido expuestos.
Muchos usuarios se empeñan en usar la misma contraseña para todo, así que lo diremos bien alto: no necesitas conocer tus propias contraseñas. Todos los navegadores traen un gestor de contraseñas: úsalo, o si buscas algo más avanzado utiliza 1Password. Y recuerda:
- Nunca uses la misma contraseña en dos sitios diferentes.
- Utiliza contraseñas alfanuméricas y con símbolos.
- Usa un gestor de contraseñas: no necesitas memorizarlas.
Fuerza bruta
¿Sabías que una contraseña de solo 8 caracteres puede descubrirse en menos de 1 hora? Da igual si es una web, un correo o cualquier otro servicio: si no aplicas protección contra este tipo de ataques, tarde o temprano el atacante entrará por prueba y error.
Algunas medidas (las detallamos más abajo):
- Aplicar un ReCaptcha.
- Limitar los intentos incorrectos.
- Limitar el acceso por IP o país de origen.
Capturas de pantalla y keyloggers
Cuando un atacante compromete tu PC o tu móvil, puede monitorizar todo lo que ves en pantalla y todo lo que escribes con el teclado, y es posible que ni el antivirus lo detecte. Ampliamos este punto en la sección "Antivirus de pago".
Medidas de protección
Mantener tus sistemas y software actualizados
Si tienes un CMS como WordPress, Prestashop, Magento o Drupal, es importantísimo mantenerlo actualizado al día, incluidos plugins y plantillas. Y lo mismo con el software de tu PC y dispositivos móviles.
Por experiencia, vemos usuarios que no actualizan el CMS porque tienen un plugin incompatible. En ese caso hay que valorar tres opciones:
- Contactar con el desarrollador del plugin y pedirle una versión compatible.
- Dejar de usar el plugin.
- Seguir usando una versión obsoleta y asumir que algún día serás hackeado.
Antivirus de pago
No es lo mismo un exploit que un virus: en líneas generales, el exploit es lo que da acceso al atacante para infectarte con el virus.
Los antivirus de pago ofrecen protección en tiempo real mientras navegas: si una web intenta aprovechar una vulnerabilidad para inyectar un virus, es probable que el antivirus bloquee esa inyección porque conoce el exploit. Sin embargo, los virus pueden modificarse para ser indetectables, de modo que una vez infectado puede que el antivirus ya no sirva de nada. De ahí la importancia de una protección en tiempo real que te impida visitar la web que te infecta.
Te recomendamos la versión de pago de Malwarebytes.
Doble factor de autenticación
Con el doble factor (2FA), quien intente acceder a tu servicio necesitará un segundo factor: un SMS o una aplicación específica en el móvil.
Es algo incómodo, sí, pero muy recomendable al menos en los servicios críticos. Te aconsejamos activarlo en tu cuenta de cPanel y, si tienes un VPS o un reseller, también en WHM.
Restricción por IP o país
Una medida muy efectiva. Por ejemplo, si tienes un WordPress puedes bloquear el acceso a wp-admin permitiendo solo una IP concreta. Para esto necesitas una VPN con IP dedicada (unos 5 €/mes): navegas por Internet con una IP exclusivamente tuya y restringes tus servicios críticos para que solo sean accesibles desde ella. Contáctanos si quieres una VPN.
Como alternativa, puedes restringir el acceso por país, de forma que al backoffice de tu web solo se pueda entrar desde países concretos.
ReCaptcha contra la fuerza bruta
No es la panacea, pero ayuda. Añade un reCAPTCHA en tus pantallas de login: cuando un atacante use un robot para probar accesos automáticos, el reCAPTCHA lo bloqueará (aunque no siempre funciona).
Medidas para reparar un hackeo
Análisis con antivirus
Si ya has sido hackeado, contacta con nuestro soporte para que pasemos el antivirus a tu web. Analizando los ficheros infectados es posible hacerse una idea de por dónde se han colado... aunque no siempre.
Resetear la web
La mejor opción para asegurarte de estar limpio es resetear la web de cero:
- Saca un backup de la base de datos.
- Bórralo todo: elimina la cuenta cPanel por completo y crea una nueva.
- Instala el CMS desde el repositorio oficial, con una versión limpia y sin contenido.
- Instala los plugins y themes que necesites.
- Vuelca la base de datos del backup.
- Instala algún plugin que refuerce la seguridad de tu CMS.
Resetear contraseñas
Cambia todas tus contraseñas, de todo:
- Área de clientes
- cPanel y WHM
- Accesos SSH
- Cuentas de correo
- Cuentas FTP
- Servicios externos (Gmail, etc.)
Y reinstala el sistema operativo de tu PC y de tu teléfono móvil: si hay un keylogger, cambiar contraseñas no sirve de nada.
Protección contra fuerza bruta
Aplica las medidas correctivas que comentamos antes:
- Restringir el acceso por IP (VPN) o por país.
- Activar ReCaptcha.
- Utilizar plugins que bloquean automáticamente tras varios intentos erróneos, por ejemplo Wordfence en el caso de WordPress.
Backdoors
Asegúrate de que el atacante no se haya dejado una puerta trasera para seguir accediendo a tu servicio. Por ejemplo:
- Puede haber creado un cron que descarga automáticamente el virus de Internet y lo vuelve a inyectar en tu web.
- Puede haber creado una cuenta de correo o un reenviador con el que sigue leyendo tus correos.