Empezaré este artículo recordando la frase que siempre me repito por activa y por pasiva: Nunca se está lo bastante seguro.
Los ciberdelincuentes siempre van un paso por delante y somos los usuarios los que tenemos que ir con pies de plomo para no caer en sus trampas. En algunos casos no podemos hacer nada, pero el problema más grave es que en la mayoría de los casos sí que hubiésemos podido evitarlo si nuestras medidas de protección hubiesen sido más estrictas.
Actualmente vivimos en un mundo hiperconectado, lo cual implica que una vulnerabilidad en nuestro entorno personal puede ser aprovechada por un atacante para acceder a nuestro entorno profesional o empresarial.
Y cuando hablamos de páginas web o portales, el problema es mayor, ya que por nuestra dejadez o falta de conocimientos estamos poniendo en riesgo la seguridad y la privacidad de los usuarios que se han registrado en nuestra web, lo cual nos puede acarrear incluso problemas legales.
Por ejemplo, cuando hackean una tienda online quedan expuestos los datos de todos los que han comprado en dicha tienda. Si el hackeo ha sido posible por no tener actualizado el WordPress o PrestaShop, podría ser considerado como una negligencia grave por parte del propietario de la web.
Este es el caso más común de todos y el más grave. Cuando empresas como WordPress o PrestaShop sacan una actualización no solo nos ofrecen nuevas funcionalidades, también parchean fallos de seguridad.
Por ejemplo, en el 2022 se descubrió que todos los PrestaShop anteriores a la versión 1.7.8.2 permiten acceso total a cualquier intruso. Pues aún a día de hoy sigue habiendo tiendas que no han actualizado para corregir esta vulnerabilidad.
🔗 En las siguientes webs puedes encontrar más detalles para ver si el software que tú utilizas tiene alguna vulnerabilidad conocida:
El caso de las contraseñas expuestas es también muy típico y grave. Cuando te registras en un servicio, ya puede ser una web cutre o la de un grande como Adobe, LinkedIn, Facebook, etc… si les hackean a ellos el atacante sabrá tu contraseña, la venderá y los que la compren probarán tu contraseña en otros servicios para ver si funciona. Si esa contraseña que ha sido expuesta la usas en otros servicios ya te imaginarás lo fácil que va a ser hackearte.
En esta web: https://haveibeenpwned.com/
Puedes verificar el grado de exposición que tiene tu cuenta de correo en Internet y por consiguiente la contraseña que tengas en cada uno de los servicios que han sido expuestos.
Muchos usuarios se empeñan en querer tener la misma contraseña para todo y aquí lo diré bien alto: NO DEBES CONOCER TUS PROPIAS CONTRASEÑAS. Quizás te parezca raro pero lo mejor es que ni tú mismo conozcas tus contraseñas.
Todos los navegadores traen por defecto un gestor de contraseñas. Úsalo o si buscas algo más avanzado utiliza 1Password. Pero recuerda esto:
| ❌ No hagas | ✅ Sí haz |
|---|---|
| Usar la misma contraseña en varios sitios | Una contraseña única para cada servicio |
| Contraseñas solo con letras | Contraseñas alfanuméricas con símbolos |
| Memorizar tus contraseñas | Usar un gestor de contraseñas |
¿Sabías que una contraseña con solo 8 letras puede ser descubierta en menos de 1 hora? Da igual si es una web, correo electrónico o el servicio que sea. Si no aplicas una medida de protección contra este tipo de ataques tarde o temprano el atacante podrá acceder al servicio por prueba y error.
Más adelante te explicaremos cómo protegerte en detalle, pero algunas de las medidas serían:
Cuando un atacante te hackea el PC o el teléfono móvil, una de las acciones que puede hacer es monitorizar todo lo que ves en pantalla y escribes con el teclado, incluso es posible que ni el antivirus tenga constancia de este tipo de hackeo. Te damos más información más adelante en la sección "Antivirus de pago".
Si tienes un CMS como WordPress, PrestaShop, Magento, Drupal, etc… es importantísimo que lo mantengas actualizado al día, incluidos los plugins y los templates. Y lo mismo con todo el software que tienes en tu PC o dispositivos móviles. ¡Hay que mantener los sistemas actualizados siempre!
Por nuestra experiencia, vemos usuarios que no actualizan el CMS porque tienen un plugin que es incompatible, y en este caso hay que valorar 3 opciones:
No es lo mismo un exploit que un virus. En líneas generales podemos decir que el exploit es lo que da acceso a que el atacante te infecte con un virus.
Los antivirus de pago ofrecen protección en tiempo real conforme vas navegando por internet y si una web intenta aprovechar una vulnerabilidad para inyectar el virus, es probable que el antivirus pueda bloquear esa inyección porque conoce el exploit. Sin embargo, los virus se pueden modificar para que sean indetectables, por lo que cuando ya has sido infectado cabe la posibilidad de que el antivirus ya no sirva de nada.
Por eso la importancia de tener una protección en tiempo real donde el antivirus te impide visitar una web que te infecta cuando la visitas.
💡 Te recomendamos la versión de pago de MalwareBytes
Cuando alguien intente acceder a tu servicio, necesitará el segundo factor de acceso, que puede ser un SMS o una aplicación en el móvil específica.
No hay duda de que es un poco coñazo, pero es una medida muy recomendable tener implementada, por lo menos en los servicios críticos.
Nosotros te recomendamos que la actives en tu cuenta de cPanel y si tienes un VPS o reseller también en el WHM.
Es una medida muy efectiva. Por ejemplo, si tienes un WordPress puedes bloquear el acceso a todo el que intente acceder al wp-admin permitiendo solo el acceso si el usuario tiene una IP concreta.
Para esto, lo que tienes que hacer es tener una VPN con IP dedicada. Es muy simple, tener una VPN te costará unos 5 €/mes y te permitirá navegar por Internet con una IP exclusiva tuya. Contáctanos si quieres tener una VPN. Simplemente restringe todos los accesos a tus servicios críticos para que solo sean accesibles desde la VPN.
Como medida alternativa, también puedes restringir el acceso por país y que al backoffice de tu web solo se pueda acceder desde países concretos.
Una medida que no es la panacea, pero ayuda un poco. Mete un reCaptcha en tus pantallas de login, así cuando un atacante intente usar un robot autómata para probar accesos automáticos, el reCaptcha lo bloqueará… (aunque no siempre funciona).
Si ya has sido hackeado, contacta con nuestro soporte para que pasemos el antivirus a tu web y veamos qué es lo que nos sale. Analizando los ficheros infectados, puede que nos hagamos una idea de por dónde se han colado… o quizás no.
La mejor opción para estar seguros de que estamos limpios es resetear la web de cero. El procedimiento consiste en:
| Paso | Acción |
|---|---|
| 1️⃣ | Sacar un backup de la base de datos |
| 2️⃣ | Borrarlo todo, eliminando la cuenta cPanel por completo y creando una nueva |
| 3️⃣ | Instalar el CMS desde el repositorio oficial con una versión limpia sin ningún contenido |
| 4️⃣ | Instalar los plugins y themes que necesites |
| 5️⃣ | Volcar la base de datos que habíamos hecho backup |
| 6️⃣ | Instalar algún plugin que te ayude a mejorar la seguridad de tu CMS |
Cambia todas tus contraseñas de todo:
Asegúrate de que aplicas las medidas correctivas para evitar ataques de fuerza bruta, como hemos comentado anteriormente:
Asegúrate de que el atacante no se haya dejado una puerta trasera que le permita seguir accediendo a tu servicio. Por ejemplo:
| ⚠️ Riesgo | Qué revisar |
|---|---|
| Crons maliciosos | El atacante puede haber creado un cron que automáticamente se descarga de internet el virus y lo clava en tu web |
| Cuentas fantasma | El atacante puede haber creado una cuenta de correo o reenviador con el que puede seguir leyendo tus correos |