Publicado en ,
6 minutos

Phishing en WordPress, un caso real

Phishing en WordPress, un caso real
Quiero contarte un caso real de Phishing en WordPress, y de cómo proteger tu sitio web para que no vuelva a ocurrir.
Picture of Carlos Soriano
Carlos Soriano

Diseñador Web en WordPress

Tabla de Contenidos

Por lo general, dedico mi blog para contarles trucos y explicarles configuraciones de WordPress y sus plugins más populares. Sin embargo, he creído oportuno contaros este asunto, puesto que obedece a una realidad preocupante. Ningún sitio web es invulnerable. Hoy quiero contarles un caso real, de Phishing en WordPress.

¿Qué es Phishing?

Phishing en WordPress

En esencia, Phishing es una Suplantación de Identidad. Y esta suplantación, puede llevarse a cabo por diversos medios electrónicos. El más común es a través de correos electrónicos. Pero, por lo general, se utiliza un sistema combinado de herramientas, que tienen como finalidad, estafar dinero u obtener datos personales.

Voy a reconstruir un caso habitual:

  1. La víctima recibe un correo electrónico, cuya apariencia es exacta a la de una empresa real o marca comercial conocida. Puede ser un banco o una tienda online.
  2. El email le habla de una increíble oferta o de que su cuenta personal, en al banco x, está bloqueada.
  3. En el email hay un enlace o un botón, sobre el que tendrás que hacer clic, para solucionar el problema, o asegurarte la oferta.
  4. La víctima, hace clic sobre el enlace, y este le dirige a un sitio web. Este sitio web, sigue guardando la apariencia de la marca comercial o el banco X.
  5. En este sitio web, encuentra un formulario donde introducir sus datos o una serie de productos a la venta.
    • Supuesto 1 El Banco: Da la casualidad de que, la víctima, tiene cuenta en el banco X. Así que, introduce sus datos de acceso. Y ¡ya ha picado! Los piratas ya tienen sus datos de acceso y podrían acceder a su banco y realizar operaciones sin su consentimiento. Por suerte, los bancos disponen de sistemas de autenticación en dos pasos. Para acceder, el sistema le envía al cliente un código de autorización, que el pirata no puede conocer. Pero, esto también lo saben los piratas.
    • Supuesto 2 La Tienda Online: Para comprar, te darán como única opción, que utilices una tarjeta de crédito o débito. Y, para realizar el pago, como en cualquier plataforma legal, tendrás que introducir el número de tarjeta, y el código verificación. Con estos datos, los piratas pueden realizar compras online a tu nombre y sin tu consentimiento. Los bancos también han introducido sistemas para verificar las operaciones de compra, antes de autorizarlas. Estos sistemas pueden detectar desde qué plataforma se realiza un pago. Pero, por lo general, se activan cuando la compra se realiza por un medio online. Circunstancia que, los piratas, también conocen.

Te expongo estos supuestos, ya que quizá te haya pasado a ti, o a alguna persona conocida, con la intención de que comprendas la motivación de estos delincuentes, pero también los medios que usan. Por otro lado, este artículo no va destinado a los usuarios de a pie. Sino a todos aquellos que sean propietarios de un sitio web.

Phishing en WordPress, un caso real

Uno de mis clientes es una farmacia, con 40 años en el sector

Este caso le ocurrió a uno de mis clientes, una farmacia con más de 40 años en el mercado, cuya identidad no voy a revelar. Tiene un sitio web, una farmacia online, diseñada por otra empresa, que ya no le estaba sirviendo soporte. Así que firmamos un contrato de mantenimiento web para WordPress, con periodicidad mensual.

A finales del año pasado, 2023, durante la ejecución de las labores de mantenimiento, descubrí un usuario desconocido, entre los usuarios autorizados para acceder al sitio web. WordPress, te permite conocer qué contenidos ha publicado cada usuario, así que los revisé.

Este usuario desconocido, había publicado dos páginas, con contenido relacionado con Viagra y otra medicación que no reconocí. Estaban escritas en italiano. Y había dispuesto una serie de enlaces para la compra de estos productos, cuyo destino no quise seguir.

Evidentemente, saltaron todas mis alarmas. Así que, el primer paso consistió en ponerme en contacto con mi cliente. Lógicamente, el no tenían la menor noticia de aquello.

Así que, tuve que exponerle con más detalle la situación y recomendarle instalar medidas de seguridad, para evitar que esto pudiera ocurrir otra vez.

Y, ¿cuál era la situación? Lo piratas, querían utilizar la reputación de la marca de mi cliente, para realizar un fraude. Dicho de otro modo, suplantaron la identidad de esta farmacia online. Ya que el mantenimiento se realizaba mensualmente, y que cada contenido en WordPress, guarda una fecha de publicación, supe que la intrusión se produjo dentro del mes corriente. Por desgracia, desconozco cuantas personas pudieron haberse visto afectadas por aquello. Solo se que, mi cliente no me ha comentado, que haya recibido ninguna denuncia sobre esto, por parte de algún cliente habitual. Pero esto es lógico. El contenido de aquellas páginas estaba en italiano. Dicho de otro modo, la estafa estaba dirigida a un público no local.

La Solución

Creo que se puede leer entre líneas, cual es la solución. El mantenimiento constante. De haber pasado más tiempo, el pirata podría haber tomado el control total del sitio web. Por supuesto, tuve que realizar una limpieza exhaustiva del sitio web, sus carpetas y archivos y la base de datos.

Pero, dadas las circunstancias, esto no era suficiente. Así que procedí a la instalación de un plugin de seguridad, que se encargara de vigilar los intentos de acceso por fuerza bruta, entre otras muchas medidas. Además, este plugin me notificará, mediante un email, de cualquier intento de acceso no autorizado. Lo que me permite actuar con más celeridad.

Debo decir que, hasta el momento, mi cliente no ha vuelto a tener un problema similar.

Notificación de Usuario No Autorizado Bloqueado.

En mi sitio web tengo instalado un sistema de seguridad similar, que me avisa cuando algún usuario no autorizado, intenta acceder a mi sitio web. Estas notificaciones llegan con cierta regularidad, sin importar el tamaño o popularidad del mismo.

Este no es, sino un ejemplo más de Phishing en WordPress. Y, no porque WordPress sea inseguro. Todo lo contrario. Tras este CMS, hay una comunidad inmensa de desarrolladores que vigilan y solucionan sus vulnerabilidades, constantemente.

Lo que ocurre, algo de lo que ya he mencionado hablando de seguridad en WordPress, es que en el año 2023, un 42,9% de los sitios web publicados en La Red, están diseñados con WordPress. Lo que hace que tenga más probabilidades de atraer la atención de los ciberdelincuente.

Por tanto, la forma más eficiente de mantener seguro tu sitio web en WordPress, es mantenerlo actualizado. Por supuesto, también es importante contratar los servicios de Alojamiento Web, que ofrezca herramientas de seguridad para WordPress.

Si te ha pasado algo parecido, cuéntamelo en el apartado de comentarios.

¡Hasta pronto!

Este sitio funciona con Hostinger. ¿Quieres un Alojamiento Web para tu WordPress?
Etiquetas:
Facebook
Twitter
LinkedIn
WhatsApp
Telegram

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *

Juan Carlos Soriano Hernández, como Responsable de tratamiento de datos de Carlos Soriano - Diseño Web, te comunica que la finalidad de la recogida y tratamiento de los datos personales se debe a gestionar tus comentarios y responder a tus comentarios, así como al control antispam. La Legitimación se establece al marcar la casilla de aceptación, dando tu legítimo consentimiento. No se cederán datos a terceros destinatarios, salvo por obligación legal. Tienes Derecho a acceder, rectificar, limitar y suprimir tus datos. Para ello contacta con

2 + trece =

Publicar comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.