Numerosas webs españolas hackeadas

A finales de diciembre nosotros mismos detectamos haber sufrido un hackeo de la web. Tras subsanar la crisis hemos realizado una investigación, descubriendo una gran cantidad de webs españolas que han sido hackeadas: desde asociaciones y fundaciones a negocios locales o personajes públicos. Lo más peligroso es que se generan cientos de enlaces a otras webs de citas, sexo, apuestas, etc. pero el dueño de la web ni se percata. En estos momentos el asunto está ya en manos del Incibe. A continuación os explicamos con detalle.

Cómo funciona este hackeo a webs

1. Aprovechando vulnerabilidades

Los hackers, de alguna forma consiguen introducir código en sitios webs. Esto puede parecer que nunca afectaría a una web pequeña, pero sigue leyendo y te explicaremos por qué en 2021 puede afectar a cualquier tipo de web.

2. Inyección del código

Mediante el código «inyectado» se generan de forma automática cientos o incluso algunos miles de nuevas url (páginas dentro de la web), con contenido de adultos, citas, apuestas, etc.

Estas páginas además enlazan a otras webs externas, que es donde está el lucro o negocio de quien está hackeando nuestra web.

3. El propietario de la web no lo ve

Todas las url generadas se quedan «huérfanas». Esto quiere decir que la web original queda inalterada.

De esta forma, para el propietario de la web se hace muy difícil detectar que la web ha sido hackeada. Prácticamente imposible a no ser que cuente con un informático, desarrollador web o SEO.

Sin embargo cientos e incluso algunos miles de urls nuevas han sido creadas dentro del dominio hackeado, todas ellas con contenido y enlaces a páginas de citas, sexo o apuestas.

Dónde está el lucro de este hackeo

El siguiente e inminente paso que hace el hackeo es conseguir que todas esas páginas fraudulentas que se han creado en nuestro sitio web de forma clandestina, se indexen en el buscador de Google.

En muy poco tiempo (muy pocos días), esas urls ya aparecen en los resultados de búsqueda de Google.

El hackeo está bien elaborado, y ha debido ser desarrollado por gente con conocimientos SEO (posicionamiento en buscadores de internet), ya que todas esas páginas tienen contenidos relacionados con pequeñas búsquedas específicas y geolocalizadas, por lo que consiguen aparecer en todas esas búsquedas de Google.

A partir de aquí el lucro está en todo el contenido «externo» que se carga en nuestra página web (¡aprovechando nuestros recursos!) y que siguen los típicos métodos publicitarios online, pago por clics en enlaces, pago pro servicios online, posible o previsiblemente con estafa mediante.

Cómo saber si mi web ha sufrido este hackeo

Básicamente hay 2 maneras de averiguarlo:

1. Mediante herramientas de analítica web como Google Search Console. Si eres usuario de alguna de estas herramientas, tendrás que comprobar tus páginas indexadas. Si el número ha crecido inexplicablemente probablemente estás siendo víctima. Repasa la lista completa de tus urls para asegurarte. ¡Y ojo porque no aparecerán en el archivo sitemap.xml de tu web!
2. Mediante una búsqueda de dominio en Google. Debes teclear en Google: «site:midominio.es» (por ejemplo, site:eclipse-sid.es). Esto te mostrará todas las páginas de tu web que están indexadas (registradas) en Google. Tendrás que ir repasando todas ellas y buscando títulos sospechosos.

Como puedes ver en la imagen anterior, todas estas url generadas automáticamente en el hackeo siguen un patrón tanto en el nombre de la url como en el título, ya que estos se generan automáticamente.

Las urls siguen en concreto el patrón:

https://www.nombreweb.es/XXXX-dtsXXXXX-palabras-clave

Donde X son dígitos aleatorios y «palabras-clave» son expresiones acerca de búsqueda de servicios de citas, adultos, sexo… así como la citada ubicación, que igual puede ser una pequeña localidad que una gran ciudad.

En qué me afecta este hackeo

• Afecta muy negativamente a tu marca, negocio, asociación, etc., ya que aparecerás en Google cuando los usuarios busquen citas, sexo, apuestas, casino, etc.
• Consume recursos de tu sitio web, de forma que hasta podría llegar a consumir todo lo que tengas contratado y ocasionarte problemas, caídas o sobrecostes
• Por lo anterior, la velocidad de tu sitio web puede verse disminuida, ya que esas url fraudulentas pueden consumir muchos recursos, en detrimento del rendimiento general
• Afecta negativamente al posicionamiento en internet de tu página web, ya que todas esas url fraudulentas «roban» protagonismo (autoridad) a las páginas legítimas de tu sitio web
• Aumentan mucho las probabilidades de que Google, Bing o cualquier buscador acabe bloqueando tu página web por prácticas ilícitas. ¡Tu web podría dejar de aparecer en internet!

Cómo eliminar este hackeo web

Dependerá de la plataforma con la que se haya implementado el sitio.

La mayoría de sitios que hemos detectado hasta el momento utilizan WordPress (también es el CMS más utilizado), pero no todas.

En cualquier caso describimos unos pasos generales, que hemos comprobado funcionan con éxito:

1. Cambiar las claves

En todos los casos, lo más importante es en primer lugar CAMBIAR TODAS LAS CLAVES DE ACCESO AL SITIO WEB, especialmente de usuarios con permisos de administrador.

En nuestro caso solo fue necesario cambiar las claves de usuarios web, pero no estaría de más cambiar las claves de acceso ftp, hosting y base de datos.

Además, para mayor seguridad, recomendamos utilizar una clave temporal en este paso del proceso, que posteriormente volverá a ser cambiada.

No está comprobado aún que este hackeo se inicie con una rotura de las claves de acceso, pero parece lo más probable.

2. Eliminar los archivos maliciosos

Este paso dependerá de la plataforma en que se haya implementado la página web.

Lo recomendable sería que lo hiciera alguien con conocimientos informáticos, de diseño y seguridad web.

Como hemos explicado anteriormente, la mayoría de webs que hemos detectado infectadas se han desarrollado sobre la plataforma WordPress (que también es la más popular).

También recomendamos anotar todas o algunas de las url fraudulentas para poder hacer posteriormente comprobaciones.

3. Comprobar que las url intrusas ya no existen

Una vez hemos eliminado los archivos maliciosos que generan el código, si intentamos acceder a cualquiera de esas url intrusas que se habían creado, nuestra página web debe indicarnos que ya no existen.

Las url fraudulentas las tendremos anotadas o las podremos recuperar desde Google Search Console.

Es importante hacer este paso, con varias pruebas de url aleatorias para asegurarse de que todo ha ido bien.

Deberá cargarse, por tanto, la página de error por defecto de nuestra página web.

4. Actualizar todo

La otra puerta de entrada a las páginas web son las vulnerabilidades de fragmentos de código.

Esto ocurre habitualmente, como ya hemos explicado, en plataformas de gestión de contenidos, como WordPress y Prestashop.

Para solucionar esto, los desarrolladores de estas plataformas y de sus módulos/plugins van desarrollando actualizaciones.

Es el momento de aplicar todas las actualizaciones a:

• La plataforma de contenidos (WordPress, Prestashop, Magento…)
• La plantilla o tema principal
• Los módulos (plugins) instalados

5. Volver a cambiar las claves

En teoría ya tenemos la web «limpia» y libre de hackeo. Hemos eliminado archivos maliciosos y actualizado todo para cerrar brechas de seguridad.

De inmediato deberíamos de volver a cambiar las claves de acceso, al igual que en el paso 1, para cerrar este último agujero por donde podrían volver a entrar.

La razón es porque es posible que alguno de los archivos maliciosos pudiera enviar de nuevo la nueva clave que habíamos creado, antes de que fueran eliminados.

6. Revisiones periódicas

En los siguientes días y semanas deberemos ir comprobando que todo sigue en orden, consultando la indexación de nuestras urls, y preferentemente monitorizando todo en herramientas como Google Search Console.

Opcional: borrar la huella en Google para salvar nuestra marca

Aunque hayamos podido eliminar el hackeo, si buscamos en Google veremos que las url infectadas de nuestra web siguen apareciendo.

Aunque si un usuario hace clic, le llevará a una página de error de nuestra página web, el hecho de que nuestra web, nuestra marca, aparezca en ese tipo de búsquedas, de citas, sexo, apuestas, etc., seguramente no nos conviene para nada.

Si no hacemos nada, Google irá detectando los errores y eliminando de forma natural nuestras páginas infectadas de sus resultados de búsqueda, pero esto puede desde algunas semanas a muchos muchos meses.

Si queremos acelerar el proceso y borrar esta huella lo antes posible, deberemos forzar la desindexación de estas url de forma manual, mediante herramientas SEO.

De nuevo, en este caso tendremos que contar con un profesional, por lo delicado de la acción. No es algo excesivamente complicado ni resultará caro.

Aunque, si nos importa nuestra reputación online…. seguramente ya estemos contando con profesionales del marketing digital.

Webs que han sido hackeadas

A título personal, desde Eclipse Informática hemos iniciado una investigación, encontrando numerosas webs que han sido hackeadas con este método.

En la mayoría de casos, detectamos que esto se está produciendo entre diciembre de 2020 y enero de 2021.

Al realizar la investigación en idioma español, estamos descubriendo infinidad de webs sitios españoles.

A continuación vamos a detallar una lista con las webs afectadas que hemos detectado, pero sin dar el nombre completo de la webs, para salvaguardar su «marca». No obstante, el interesado en profundizar sabrá encontrar fácilmente por su cuenta estas y otras webs hackeadas con este método.

Todos han sido puestos bajo aviso

Sin ninguna duda, nos hemos tomado la molestia de poner a todas estos sitios web sobre aviso, por medio de los formularios de contacto que facilitan, y en algunos casos en que no era posible, incluso tratando de contactarlos por otro medios, como redes sociales o a través de terceros.

En manos del Incibe

Como no podía ser de otra manera, por responsabilidad ciudadana hemos puesto todo este asunto también conocimiento del Incibe (Instituo Nacional de Ciberseguridad).

La respuesta ha sido rápida, amable y proactiva, de la cual rescatamos lo más significativo:

Por lo que entendemos ya habrían eliminado los ficheros maliciosos, si no fuese así agradecemos que nos los envíen en un fichero comprimido con contraseña «infected» por ejemplo. Revisaremos la información para tratar de contactar por nuestra parte también con los afectados de las web de nuestro ámbito.

Respuesta Incibe, 14-01-21

Esperamos con impaciencia su estudio y respuesta, de la que informaremos si se da en próximas actualizaciones de este artículo.

Actualizaciones

18-01-21

• Notificación a la Policía Nacional, con respuesta rápida de estudio del caso.

19-01-21

• Empiezan a llegarnos respuestas de responsables de sitios webs, que nos agradecen el aviso y toman medidas para eliminar el hackeo.
• Envío de lista actualizada de sitios infectados a la Policía Nacional.

12-02-21

• Detectada nueva variante, que en vez de generar urls (no enlazadas desde las páginas originales), lo que hace es inyectar un código a las páginas de la web, con enlaces ocultos a webs externas

Recomendación final