Hoy desde Derecho de la Red os traemos un artículo hablando sobre los “defacements“. Antes de nada, pongámonos en contexto:
Hace unas semanas el CERT del Incibe notificó a un familiar el hecho de que su página web había sufrido un defacement. Tras investigar un poco vimos que éste lo había realizado un actor conocido que aprovechaba vulnerabilidades en Joomla no actualizados, realizaba esta práctica cientos de veces al mes.
Otro ejemplo reciente y del que ya hablamos en Derecho de la Red sería el de las 75 webs de la Organización Internacional para las Migraciones, víctimas de un defacement.
Pero… ¿qué es un defacement?
“Defacement es un ataque a un sitio web que cambia la apariencia visual de una página web. Normalmente son producido por “hackers” (no no no, ciberdelincuentes) que obtuvieron algún tipo de acceso a ella, bien por algún error de programación de la página, por algún bug en el propio servidor o por una mala administración de este.”
Algunas fuentes consideran los defacements como “grafitis digitales“, un arma de ciberactivistas, pero no todos los actores realizan este acto por la gracia de modificar una web. Muchos de estos ciberdelincuentes dejan su firma para que todos sepan la capacidad que tienen de acceso a múltiples servidores y después vender estos accesos, realizar una exfiltración de datos de la entidad afectada o montar un Web Skimming.
Bases de datos de defacements
Si queremos saber información sobre actores que realizan defacements, podemos acudir a la web de Zone-H. En estas bases de datos descubriremos actores que vulneran miles de webs al mes para hacer estas prácticas. Normalmente estos actores usan siempre el mismo método, unos se especializan en WordPress, otros en Joomla, etc.
¿Cómo lo han conseguido?
Los vectores de entrada más comunes suelen ser por una mala configuración del servidor, una mala administración de la web, la no actualización de las tecnologías utilizadas, etc
El Incibe indica que puede darse por:
- Robo de credenciales de acceso mediante malware enviado por correo electrónico.
- Explotación de vulnerabilidades en gestores de contenido desactualizados con plugins antiguos o mal configurados.
- Servidores web infectados por malware o ataques realizados a través de dominios alojados en el mismo servidor ya comprometido.
He sufrido un defacement, ahora ¿qué?
Lo más recomendable sería comenzar con una buena obtención de las pruebas de forma que puedan ser utilizadas legalmente, una extracción de los logs del servidor para ver que han podido hacer durante su incursión y paso por nuestro servidor y así saber si no hemos sido afectados en mayor medida, pero, como entendemos que todo el mundo no tiene esa facilidad, los mínimos recomendables serían:
Mantener y realizar todas las actualizaciones, cambiar las contraseñas, avisar al Cert del INCIBE y a las autoridades.
Puede ser que haya más afectados o que el vector de acceso sea otro, por ello es necesario dar a conocer estos incidentes y hacer una puesta en conocimiento ante las autoridades pertinentes, así todos podremos defendernos, no es algo de lo que avergonzarse.
Dejamos por aquí la fuente del artículo del Incibe en el que también tratan estos temas y los cuales hemos mencionado:
Si queréis más artículos de este tipo hacéroslo saber por redes sociales y así podremos traer más contenido como éste.
Nota: algunos de los que realizan defacements se consideran justicieros que quieren avisar de errores de seguridad, algunos incluso han eliminado malware o phishing de servidores comprometidos y dejan una nota avisando. No obstante, sigue siendo un delito.
Hasta la próxima!!
___________________________________
Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.
Si te gusta la labor que realizamos a diario…
AUTOR
CTI Product Owner Telefónica Tech | De la comunidad para la comunidad, hagamos de la ciberseguridad española un referente | Ciberseguridad, inteligencia, defensa…