Conoce Atico34 - Solicita presupuesto
Ciberseguridad

¿Cómo proteger tu página web del defacement?

Al igual que el graffiti en el mundo físico, los ataques de desfiguración del sitio web o defacement pueden dejar una marca visible en tu propiedad digital. Al llevar a cabo este tipo de ataque, los ciberdelincuentes generalmente reemplazan el contenido existente en tu sitio con sus propios mensajes, ya sea que esos mensajes sean políticos, religiosos o simplemente impactantes.

Como propietario de una pequeña empresa, sabes que tu sitio web es un componente crítico de tu negocio. Proporciona a los posibles clientes las primeras impresiones de tu empresa e incluso puede servir como escaparate digital. Un ataque de desfiguración que haga que los visitantes se vayan podría tener consecuencias duraderas en tu negocio.

Las alteraciones del sitio web pueden dañar la reputación de tu empresa, dando a los visitantes la impresión de que no te tomas en serio la seguridad o que no puedes proteger tu negocio en línea. Además de dañar tu reputación, la desfiguración de la página web también puede costarle a tu negocio una cantidad significativa de dinero.

Primero, los clientes potenciales abandonarán tu web si no sienten que es segura. Además, aunque la detección de desfiguración del sitio web no es difícil, deshacerse de las desfiguraciones requiere un tiempo de inactividad que podría causar una caída en los ingresos.

Vamos a analizar aquí en qué consiste el defacement, cuáles son sus objetivos, las técnicas usadas por los ciberdelincuentes y cómo protegernos frente a estos ataques.

¿Qué es el defacement o desfiguración?

El defacement o desfiguración web es un ataque en el que los ciberdelincuentes reemplazan el contenido de un sitio web con sus propios mensajes. Los mensajes pueden transmitir un mensaje político o religioso, blasfemias u otro contenido inapropiado que avergonzaría a los propietarios de sitios web, o un aviso de que el sitio web ha sido pirateado por un grupo de piratas informáticos específico.

La mayoría de los sitios web y aplicaciones web almacenan datos en archivos de entorno o de configuración, que afectan el contenido que se muestra en el sitio web, o especifica dónde se ubican las plantillas y el contenido de la página. Los cambios inesperados en estos archivos pueden significar un compromiso de seguridad y pueden indicar un ataque de desfiguración.

El defacement generalmente ocurre en un sitio web popular con muchos usuarios. El vandalismo generalmente contiene imágenes de la víctima, que a menudo se editan como una broma o para expresar odio. Esto puede hacerse agregando una barba o cuernos y subtítulos contra la persona u organización. Luego, el hacker muestra su seudónimo para publicidad.

¿Cuáles son sus objetivos?

La desfiguración cibernética está vinculada con el “hacktivismo“, que es el uso de redes informáticas e Internet para promover mensajes políticos y protestas. El objetivo principal del defacement es censurar la libertad de expresión de aquellos con quienes los piratas informáticos no están de acuerdo.

Este ataque generalmente solo afecta a sitios web muy concreto como las páginas web de organizaciones y agencias gubernamentales (como la Casa Blanca de los Estados Unidos o el FBI, por ejemplo). Este tipo de ataque se ha visto en diferentes países de todo el mundo.

Las páginas web de carácter religioso y las pertenecientes a gobiernos son atacadas frecuentemente por piratas informáticos con el objetivo de mostrar mensajes políticos o religiosos, alterando las opiniones y creencias de los demás. Se pueden mostrar imágenes perturbadoras y frases ofensivas en el proceso, así como una especie de firma, para mostrar quién fue el responsable de la desfiguración.

Los sitios web no solo se desfiguran por razones políticas; muchos lo hacen solo por la emoción. Existen concursos online en los que se dan puntos a los piratas informáticos por desfigurar la mayor cantidad de páginas web en un determinado período de tiempo.

Los sitios web representan la imagen de una empresa u organización y, por lo tanto, sufren pérdidas significativas debido a la desfiguración.

¿Qué técnicas emplean los ciberdelincuentes para apropiarse de páginas web?

Las técnicas comunes de los ataques de desfiguración incluyen:

  • Acceso no autorizado
  • inyección SQL
  • Cross-site scripting (XSS)
  • Secuestro de DNS
  • Infección de malware

La inyección de SQL, también conocida como SQLI, es un vector de ataque común que utiliza código SQL malicioso para la manipulación de la base de datos de back-end para acceder a información que no estaba destinada a mostrarse. Esta información puede incluir cualquier número de elementos, incluidos datos confidenciales de la empresa, listas de usuarios o detalles privados de clientes.

Cross site scripting (XSS) es un vector de ataque común que inyecta código malicioso en una aplicación web vulnerable. XSS difiere de otros vectores de ataque web (por ejemplo, inyecciones SQL ), en que no se dirige directamente a la aplicación en sí. En cambio, los usuarios de la aplicación web son los que están en riesgo.

Un ataque de secuencias de comandos entre sitios exitoso puede tener consecuencias devastadoras para la reputación de un negocio en línea y su relación con sus clientes.

El secuestro del servidor de nombres de dominio (DNS), también denominado redirección de DNS, es un tipo de ataque de DNS en el que las consultas de DNS se resuelven incorrectamente para redirigir inesperadamente a los usuarios a sitios maliciosos. Para efectuar el ataque, los hackers instalan malware en los ordenadores de los usuarios, se hacen cargo de los enrutadores o interceptan o piratean la comunicación DNS.

El malware se refiere al envío de perpetradores de software malicioso para infectar ordenadores individuales o la red de toda una organización. Explota las vulnerabilidades del sistema de destino, como un error en el software legítimo (por ejemplo, un navegador o un complemento de aplicación web) que puede ser secuestrado.

Una infiltración de malware puede ser desastrosa: las consecuencias incluyen el robo de datos, la extorsión o la paralización de los sistemas de red.

¿Cómo protegerse del defacement?

Para obtener acceso a tu sitio web, los ciberdelincuentes a menudo se centran en los formularios de contacto, inyectan spam en los cuadros de comentarios o insertan enlaces no deseados en su código fuente o base de datos.

Cuantos más puntos de entrada tenga tu sitio web, más fácil será para los atacantes obtener acceso. Si no tienes las herramientas para detectar su entrada, podrán llevar a cabo un ataque de defacement.

Sigue estos consejos para detener a los ciberdelincuentes y mantener tu sitio protegido.

Limita los complementos de tu página web

Los delincuentes cibernéticos suelen apuntar a sitios que se consideran vulnerables o llamarían mucho la atención si son pirateados. A menudo, los sitios que son especialmente susceptibles de ataque son aquellos que incorporan un conjunto de complementos y funciones adicionales. Básicamente, los complementos expanden la superficie de un sitio, dando a los piratas informáticos más puntos de entrada potenciales.

Una forma de evitar la destrucción del sitio web es elegir cuidadosamente sus complementos y aplicaciones. Asegúrate de que cada uno proporcione valor a tu sitio web y usa solo lo que necesites. Audita regularmente los complementos y desinstala completamente cualquier complemento o tema que esté desactivado en el panel de control.

Los complementos no utilizados probablemente estén desactualizados y se vuelvan menos seguros con el tiempo, haciendo que tu sitio sea más vulnerable. El software desactualizado es un factor principal en los ataques cibernéticos debido a que el código vulnerable no se actualiza. Se recomienda encarecidamente actualizar los complementos, los temas y los archivos principales tan pronto como las actualizaciones estén disponibles.

Limita los niveles de acceso

Si más de una persona inicia sesión en el sitio web para realizar cambios en el contenido, limita el tipo de acceso que tiene cada individuo adicional.

Tener varios administradores en tu sitio web deja la puerta abierta para que un ciberdelincuente obtenga acceso no autorizado a través de la página de inicio de sesión. Limitar el acceso completo al contenido puede evitar la desfiguración del sitio web causada por un error humano (por ejemplo, contraseñas débiles).

Escanea el código fuente de tu sitio

Si tienes conocimientos técnicos o miembros del personal conocedores de la tecnología, puedes verificar manualmente si hay malware en tu sitio. También debes tener acceso al administrador de archivos provisto por tu host de dominio o protocolo de transferencia de archivos, los cuales pueden usarse para verificar si tu sitio tiene malware.

Busca los atributos de script y <iframe>, y escanea las URL que siguen a estos atributos para asegurarte de reconocerlos. Si no lo haces, pueden haber sido inyectados con contenido malicioso.

Instala un escáner automatizado de sitios web

Incluso si tienes la experiencia técnica para verificar manualmente si hay malware, un escáner automático de sitios web es fundamental para el mantenimiento regular que no te llevará tiempo.

Este tipo de escáner puede detectar actividad sospechosa tan pronto como ocurra. Podrá monitorizar los archivos y la base de datos de tu sitio web, parchear vulnerabilidades y eliminar automáticamente el malware y el correo no deseado cuando se detecte.

¿Qué hacer ante la suplantación de páginas web?

Si has sido víctima de un ataque de defacement en tu página web, lo primero que debes hacer es recuperar lo antes posible el funcionamiento normal de la web. Para ello, sigue estos consejos:

  • Denúncialo ante el INCIBE-CERT
  • Presenta una denuncia también ante la policía y la Guardia civil.
  • Avisa de la situación a tu proveedor de servicios web.
  • Efectúa copias de seguridad de los discos duros afectados para usarlo como prueba para la investigación.
  • Restaura la copia de seguridad de la web.
  • Analiza los equipos de la empresa para comprobar que no están afectados usando un antivirus.
  • Cuando el problema esté solucionado, pide que tu página web sea eliminada de las listas negras.

Diferencias entre defacement y phishing

Aunque ambos implican que se ha producido una brecha en la seguridad de nuestro sistema, hay diferencias entre ellos. El phishing es un tipo de ataque de ingeniería social que tiene como objetivo explotar la ingenuidad y / o credulidad de los usuarios legítimos del sistema.

Los atacantes hacen todo lo posible para garantizar que sus correos electrónicos aparezcan lo más legítimos posible. Estos correos electrónicos suelen dirigir a los destinatarios a un sitio web controlado por el atacante que entrega malware o intercepta las credenciales de los usuarios.

La principal diferencia entre phishing y defacement estaría en la motivación del ataque. Los ataques de defacement tienen una motivación más política o ideológica y suplantan la web para hacer valer sus ideas. Sin embargo, el objetivo del phishing es más económico, pretenden obtener datos bancarios u otra información personal de las víctimas.

Los ataques de phising suelen proporcionar a los atacantes las credenciales de los usuarios. Estas credenciales pueden proporcionar acceso a sistemas o datos restringidos.

El acceso privilegiado desde ordenadores comprometidos, o credenciales a los sistemas de una organización, permite a los atacantes eludir muchos controles técnicos de seguridad. Esto también puede permitir a los atacantes pivotar y escalar su acceso a otros sistemas y datos.

En última instancia, esto puede resultar en el compromiso completo de una organización. Esto podría incluir el robo de datos de clientes y empleados, fugas de código fuente, desfiguración del sitio web, etc.

Programas para monitorizar tu web y prevenir el defacement

Si tienes un sistema de monitorización de tu web. to notificará instantáneamente cuando el sitio se dañe, por lo que el impacto en la reputación y el negocio es nulo o mínimo.

Echemos un vistazo a los principales programas para monitorizar las webs y prevenir el defacement.

Monitis

Una de las populares plataformas de monitorización de sitios basadas en la nube ofrece monitorización de lista negra y desfiguración.

Monitis verifica cada 12 horas y notifica cualquier posibilidad de que un sitio sea desfigurado o incluido en la lista negra.

Características:

  • Monitorización de sitio web: Seguimiento del tiempo de respuesta del sitio y rendimiento de este desde distintos puntos de localización en el mundo.
  • Monitorización de redes: Tiene herramientas para seguir el estado de la red en cualquier momento.
  • API de monitorización abierta: Se pueden personalizar fácilmente sus herramientas de monitorización para las necesidades especiales del cliente.
  • Monitorización de servidores: Desde una consola, detecta problema de cuellos de botella y se pueden prevenir problemas antes que surjan en el servidor o en el sistema operativo.
  • Monitorización móvil: Se envían alertas a los dispositivos Android o iOS vía texto o emails.

Freesitestatus

Las características de esta herramienta son:

  • Monitorización permanente: Se encarga de monitorizar el sitio o servidor las 24 horas de los 7 días a la semana y los 365 días del año.
  • Informes de disponibilidad y rendimiento: Ofrecen toda la información necesaria sobre el tiempo útil y el rendimiento de los sitios web y servidores en informes y gráficos fáciles de entender.
  • Ventanas de mantenimiento: Se pueden definir ventanas de mantenimiento puntual y recurrente para pausar las comprobaciones. No se enviarán alertas durante paradas programadas.
  • Dependencias: En un centro de datos, los dispositivos dependen unos de otros. Por ejemplo, diez servidores están conectados a un mismo switch. Se pueden definir las dependencias entre los servidores y el switch, así en caso de una caída del switch, se recibirá solo un aviso “Para el switch” en lugar de recibir un aviso por cada uno de los servidores que están detrás.
  • Soporte Multi-Protocolo: Soporta ping, HTTP, HTTPS, FTP, SSH, SWTP, DNS, POP3, IMAP, MySQL y cualquier otro servicio que corra sobre TCP/IP.
  • Monitorización mundial: Monitoriza los sitios web y servidores desde una red mundial con 34 nodos de monitorización.
  • Aviso de tiempo de caída: Notifica vía email, SMS.
  • Envía solicitudes de reinicio al proveedor cuando se detecte una caída.
  • Reducción de falsas alarmas: Utilizan avanzadas tecnología de comprobación para evitar falsas alarmas. También se pueden aumentar o reducir la sensibilidad de la monitorización basándose en timeouts, tiempo de espera y ubicaciones geográficas.

Serviceuptime

En este programa, podemos destacar las siguientes características:

  • Frecuencia de monitorización: Se puede elegir entre 1, 2, 3, 5, 10, 15, 30 y 60 minutos como la cantidad de tiempo que se verificará el sitio web.
  • Soporte de contacto: Se puede ser notificado por email y sms. Los emails contienen detalles del servicio estando abajo y el error que retorna. Las alertas SMS son una breve notificación enviada a tu móvil con el estado del servicio monitorizado. También se pueden utilizar herramientas propias del servicio para crear una aplicación propia.
  • Contenido: Se verifica que la página tiene un contenido apropiado. Si una letra no está presente en la página web, se envía una alerta.
  • Ping: Envía comandos echo al dispositivos/host destino, ayudando a verificar el nivel de conectividad IP, provechoso tanto para host como para dispositivos como routers y firewalls.
  • Servidores Web: HTTP (Puerto 80) y HTTPS (puerto fuente 443) protocolos. Monitoriza el rendimiento y el estado del sitio web.
  • Verificación de link: Se puede monitorizar el intercambio de links de los sitios web padres y estar alerta una vez sean removidos.
  • Distintos tipos de protocolos de servidores: asegura que tus protocolos funcionan correctamente (POP3, MySQL, SMTP, IMAP, DNS, FTP).

Site24x7

Este servicio presenta las siguientes características:

  • Monitorización de rendimiento de páginas web: controla la el rendimiento y la disponibilidad de sitios web desde múltiples ubicaciones globalmente y notifica de inmediato cuando se produce una caída.
  • Analizador de páginas web: visibilidad a fondo de como tus páginas web se están cargando para los clientes alrededor del mundo.
  • Servicio de monitorización: Monitoriza la disponibilidad de servicios críticos.
  • Monitorización real del usuario: comprensión de problemas que afecta a usuarios reales, accediendo a sitios web y aplicaciones. Analiza el rendimiento de aplicaciones desde todas las perspectivas.
  • Monitorización de la nube: Proporciona métricas de rendimiento comprensivas de Amazon EC2, instancias RDS y Bucket. Garantizar el máximo rendimiento de las aplicaciones y servicios críticos de negocio alojados en sus plataformas de Amazon.
  • Monitorización de VMware: visión integral de su infraestructura VMware.
  • Monitorización de Servidor: Monitoriza indicadores críticos del servidor, tales como CPU, disco, memoria, procesos, servicios y uso de la red de Linux y servidores Windows que ejecutan aplicaciones críticas.
  • Controla la red interna via On-premise poller: Supervisa portales de intranet, sistemas ERP, aplicaciones de nómina, dispositivos de red de ping, servidores de aplicaciones, servidores de bases de datos y garantizar que otras aplicaciones personalizadas tienen un rendimiento óptimo.
    • Monitoriza desde redes móviles, WiFi interno y dispositivos móviles: Comprueba el rendimiento y disponibilidad de las aplicaciones móviles, sitios web y otros servicios en línea a través de operadores de telefonía móvil (3G, 4G) y redes wifi de la empresa.

Ejemplos curiosos de defacement dentro y fuera de Internet

Algunos de los sitios web más grandes del mundo se han visto afectados por ataques de defacement en algún momento. Un ataque de desfiguración es un indicador público de que un sitio web se ha visto comprometido y causa daños a la marca y la reputación, que dura mucho después de que se haya eliminado el mensaje del atacante.

Como ejemplos podemos mencionar los siguientes.

Ataque de desfiguración del NHS

En 2018, la BBC informó que un sitio web que albergaba datos de encuestas de pacientes, operado por el Servicio Nacional de Salud del Reino Unido (NHS), fue destruido por piratas informáticos. El mensaje de desfiguración decía “Hackeado por AnoaGhost”. El mensaje se eliminó en unas pocas horas, pero el sitio fue desfigurado durante cinco días. El ataque planteó preocupaciones sobre la seguridad de los datos médicos controlados por el NHS.

Google.ro y PayPal.ro

En 2012, los usuarios no pudieron acceder a Google Rumania, y en su lugar fueron llevados a una pantalla de desfiguración publicada por MCA-CRB, el “Hacker argelino”. La desfiguración duró al menos una hora. El ataque fue realizado por secuestro de DNS: los atacantes lograron falsificar las respuestas de DNS y redirigir a los usuarios a su propio servidor en lugar del de Google.

El mismo ataque se llevó a cabo contra el dominio paypal.ro. El grupo de hackers MCA-DRB fue responsable de 5.530 desfiguraciones de sitios web en los cinco continentes, muchos de ellos dirigidos a sitios gubernamentales.

El ciberataque más grande en la historia de Georgia

En 2019, Georgia, un pequeño país europeo, experimentó un ataque cibernético en el que se destruyeron 15,000 sitios web y luego se desconectó. Entre los sitios web afectados se encontraban sitios web del gobierno, bancos, la prensa local y las grandes cadenas de televisión.

Un proveedor de alojamiento web georgiano llamado Pro-Service asumió la responsabilidad del ataque, emitiendo una declaración de que un hacker viola sus sistemas internos y compromete los sitios web.