Documentación
Documentación » Seguridad » Mi web ha sido hackeada ¿qué puedo hacer?

Mi web ha sido hackeada ¿qué puedo hacer?

Empezaré este artículo recordando la frase que siempre me repito por activa y por pasiva: Nunca se está lo bastante seguro

Los cyberdelincuentes siempre van un paso por delante y somos los usuarios los que tenemos que ir con pies de plomo para no caer en sus trampas, en algunos casos no podemos hacer nada, pero el problema más grave es que en la mayoría de los casos si que hubiésemos podido evitarlo si nuestras medidas de protección hubiesen sido más estrictas.

Actualmente vivimos en un mundo hiperconectado, lo cual implica que una vulnerabilidad en nuestro entorno personal puede ser aprovechada por un atacante para acceder a nuestro entorno profesional o empresarial.

Y cuando hablamos de páginas web o portales, el problema es mayor, ya que por nuestra dejadez o falta de conocimientos estamos poniendo en riesgo la seguridad y la privacidad de los usuarios que se han registrado en nuestra web, lo cual nos puede acarrear incluso problemas legales.

Por ejemplo, cuando hackean una tienda online quedan expuestos los datos de todos los que han comprado en dicha tienda. Si el hackeo ha sido posible por no tener actualizado el Wordpress o Prestashop, podría ser considerado como una negligencia grave por parte del propietario de la web.

Causas de un hackeo

CMS sin actualizar

Este es el caso más común de todos y el más grave. Cuando empresas como Wordpress o Prestashop sacan una actualización no solo nos ofrecen nuevas funcionalidades, también parchean fallos de seguridad.

Por ejemplo, en el 2022 se descubrió que todos los Prestashop anteriores a la versión 1.7.8.2 permiten acceso total a cualquier intruso. Pues aún a día de hoy sigue habiendo tiendas que no han actualizado para corregir esta vulnerabilidad.

En las siguientes webs puedes contrar más detalles para ver si el software que tu utilizas tiene alguna vulnerabilidad conocida:

Exposición de contraseñas

El caso de las contraseñas expuestas es también muy típico y grave. Cuando te registras en un servicio, ya puede ser una web cutre o la de un grande como Adobe, Linkedin, Facebook, etc… si les hackeans a ellos el atacante sabrá tu contraseña, la venderá y los que la compren probarán tu contraseña en otros servicios para ver si funciona. Si esa contraseña que ha sido expuesta la usas en otros servicios ya te imaginarás lo fácil que va a ser hackearte.

En esta web: https://haveibeenpwned.com/
Puedes verificar el grado de exposición que tiene tu cuenta de correo en Internet y por consiguiente la contraseña que tengas en cada uno de los servicios que han sido expuestos.

Muchos usuarios se empeñan en querer tener la misma contraseña para todo y aquí lo diré bien alto: NO DEBES CONOCER TUS PROPIAS CONTRASEÑAS. Quizás te parezca raro pero lo mejor es que ni tu mismo conozcas tus contraseñas.

Todos los navegadores traen por defecto un gestor de contraseñas. Úsalo o si buscas algo más avanzado utiliza KeePass. Pero recuerda esto:

  • Nunca uses la misma contraseña en 2 sitios diferentes
  • Utiliza contraseñas alfanuméricas y con símbolos
  • Usa un gestor de contraseñas, no necesitas saber tus contraseñas

Fuerza bruta

¿Sabías que una contraseña con solo 8 letras puede ser descuebierta en menos de 1 hora? Da igual si es una web, correo electrónico o el servicio que sea. Si no aplicas una medida de protección contra este tipo de ataques tarde o temprano el atacante podrá acceder al servicio por prueba y error.

Más adelante te explicaremos como protegerte en detalle, pero algunas de las medidas serían:

  • Aplicar un ReCaptcha
  • Limitar intentos incorrectos
  • Limitar el acceso por IP o Pais de origen.

Captura de pantalla y Keyloggers

Cuando un atacante de hackea el PC o el teléfono móvil, una de las acciones que puede hacer monitorizar todo lo que ves en pantalla y escribes con el teclado, incluso es posible que ni el antivirus tenga constancia de este tipo de hackeo. Te damos más información más adelante en la sección “Antivirus de pago”.

Medidas de protección

Mantener tus sistemas y software actualizados

Si tienes un CMS como Wordpress, Prestashop, Magento, Drupal, etc… es importantísimo que lo mantengas actualizado al día, incluidos los plugins y los templates. Y lo mismo con todo el software que tienes en tu PC o dispositivos móviles. Hay que mantener los sistemas actualizados siempre!

Por nuestra experiencia, vemos usuarios que no actualizan el CMS porque tienen un plugin que es incompatible, y en este caso hay que valorar 3 opciones:

  • Contactar con el desarrollador del plugin y pedirle que lo actualice a una versión compatible
  • Dejar de usar el plugin
  • Seguir usando una versión obsoleta y asumir que algún día serás hackeado

Antivirus de pago

No es lo mismo un exploit que un virus. En lineas generales podemos decir que el exploit es lo que da acceso a que el atacante te infecte con un virus.

Los antivirus de pago, ofrecen protección en tiempo real conforme vas navegando por internet y si una web intenta aprovechar una vulnerabilidad para inyectar el virus, es probable que el antivirus pueda bloquear esa inyección porque conoce el exploit, sin embargo los virus se pueden modificar para que sea indecetables, por lo que cuando ya has sido infectado cabe la posibilidad que el antivirus ya no sirva de nada.

Por eso la importancia de tener una protección en tiempo real donde el antivirus te impide visitar una web que te infecta cuando la visitas.

Te recomendamos la versión de pago de MalwareBytes.

Doble factor de autenticación

Cuando alguien intente acceder a tu servicio, necesitará el segundo factor de acceso, que puede ser un SMS o una aplicación en el móvil específica.

No hay duda que es un poco coñazo, pero es una medida muy recomendable tener implementada, por lo menos en los servicios críticos.

Nosotros te recomendamos que la actives en tu cuenta de cPanel y si tienes un VPS o reseller también en el WHM.

Restricción por IP o pais

Es una medida muy efectiva, por ejemplo si tienes un Wordpress puedes bloquear el acceso a todo el que intente acceder al wp-admin permitiendo solo el acceso si el usuario tiene una IP concreta. Para esto, lo que tienes que hacer es tener una VPN con IP dedicada. Es muy simple, tener una VPN te costará unos 5 €/mes y te permitirá navegador por Internet con una IP exclusiva tuya. Contáctanos si quieres tener una VPN. Simplemente restringe todos los accesos a tus servicios críticos para que solo sean accesibles desde la VPN.

Como medida alternativa, también puedes restringir el acceso por pais y que al backoffice de tu web solo sea pueda acceder desde paises concretos.

ReCaptcha contra la fuerza bruta

Una medida que no es la panacea, pero ayuda un poco. Mete un reCaptcha en tus pantallas de login, así cuando un atacante intente usar un robot autómata para probar accesos automáticos, el reCaptcha lo bloqueará… (aunque no siempre funciona).

Medidas para reparar un hackeo

Análisis con antivirus

Si ya has sido hackeado, contacta con nuestro soporte para que pasemos el antivirus a tu web y veamos que es lo que nos sale.

Analizando los ficheros infectados, puede que nos hagamos una idea de por donde se han colado… o quizás no.

Resetear la web

La mejor opción para estar seguros que estamos limpios es resetear la web de cero. El procedimiento consiste en:

  • Sacar un backup de la base de datos
  • Borrarlo todo, eliminando la cuenta cPanel por completo y creando una nueva
  • Instalar el CMS desde el repositorio oficial con una versión limpia sin ningún contenido
  • Instalar los plugins y themes que necesites
  • Volvar la base de datos que habíamos hecho backup
  • Instala algún plugin que te ayude a mejorar la seguridad de tu CMS.

Resetear contraseñas

Cambia todas tus contraseñas de todo:

  • Área de clientes
  • cPanel y WHM
  • Accesos SSH
  • Cuentas de correo
  • Cuentas FTP
  • Servicios externos como Gmail, etc…
  • Reinstala el sistema operativo de tu PC y teléfono móvil

Fuerza bruta

Asegúrate que aplicas las medidas correctivas para evitar ataques de fuerza bruta, como hemos comentado anteriormente:

  • Restringir el acceso por IP (VPN) o por pais
  • Activar ReCaptcha
  • Utilizar plugins que bloquean automáticamente tras varios intentos erroneos. Por ejemplo: Wordfence en el caso de Wordpress.

Backdoors

Asegúrate que el atacante no se haya dejado una puerta trasera que le permita seguir accediendo a tu servicio. Por ejemplo:

  • El atacante puede haber creado un cron que automáticamente se descarga de internet el virus y lo clava en tu web
  • El atacante puede haber creado una cuenta de correo o reeviador con el que puede seguir leyendo tus correos.