No disparen al webmaster

La seguridad informática es indispensable en cualquier pagina web. No basta el pensar que a nadie le va a interesar mi contenido. Los robots primero disparan, ya que buscan sistemáticamente cualquier puerta de acceso abierta, y luego preguntan

No disparen al webmaster

1 septiembre 2009

LA OPINIÓN DEL EXPERTO

Hace años que vengo oyendo una máxima entre responsables y propietarios de páginas web, cuando se les menciona la posibilidad de añadir seguridad intrínseca a su sitio web. La respuesta es unánime: «No somos importantes, no somos una gran empresa para que un hacker ponga su vista en nosotros». Cabe encogerse de hombros y suspirar al cielo. Pobres de aquellos que basan su seguridad en la trascendencia de su empresa.

Recuerdo el caso, hace años, de una empresa española de hosting que fue atacada. Su propietario me llamaba desesperado, con la voz todavía temblándole. Al parecer la web de uno de sus clientes había sido craqueada. El hacker en cuestión no sólo había accedido al espacio web, sino que había conseguido ampliarse los permisos de usuario hasta convertirse en «root». Es decir, desde ese instante, era el propietario de todas las páginas web de todos los clientes albergados en esa máquina.

Como uno puede imaginar, el desastre fue total. El hacker se hizo con información privilegiada de muchos clientes, borró y destruyó bases de datos, consultó buzones de correo electrónicos, destrozó el código fuente de las páginas…

Aquella escalada de privilegios, como se conoce en el argot informático, le costó un sinfín de demandas jurídicas al propietario de la empresa de hosting. Es más, algunas bases de datos nunca se pudieron recuperar, pues no existían copias de seguridad o eran demasiado antiguas.

Aquellas empresas no pudieron volver a reconstruir sus webs, tal como eran; y siempre anduvieron con el miedo de que sus datos estuvieran siendo compartidos en círculos piratas. Y todo ello fue debido a un ridículo fallo en un sencillo CMS o generador de páginas web open source. A partir de éste, el hacker obtuvo su escalada de privilegios en una sola noche.

Por ello insisto en lo mismo. ¿Seguridad informática por ofuscación? Algunos parecen no entender algo. Que los hackers no buscan una página web concreta. Realizan búsquedas en Google de blogs o CMS con versiones vulnerables, basándose en la etiqueta interna «meta generador» que identifica la versión.

Cuando obtienen resultados, simplemente aplican un «exploit» concreto y una vulnerabilidad sencilla de ejecutar, y si lo logran, desfiguran la web con alguna pantalla de su grupo. Es lo que se entiende como «deface». Este juego les sirve para competir contra otros grupos de hackers, publicando sus resultados en sitios como Zone-h.org.

Si además el fallo es grave, alguno de los miembros del grupo volverá para divertirse a solas, alcanzando el estatus de «root». Da pánico pensar en las consecuencias. Por eso es altamente recomendable adoptar medidas de seguridad informática. No es que sea necesario, es que es indispensable.

Es cierto que ya no vivimos en los tiempos de los hackers experimentados, que se pasaban horas examinando un código para conquistar sus objetivos. Pero es peor que los actuales vándalos o grupos de hackers simplemente se dediquen a examinar la Red a la búsqueda de los elementos 2.0 susceptibles de ser craqueados por su sencillez. Y siempre les toca a los mismos gestores. Por algo vivimos en la Web 2.0.

Permítame el lector destacar un par de opciones muy recomendables de cara a aumentar la seguridad de su blog WordPress o su CMS Joomla, a cambio de una inversión mínima. Somos la primera red social sobre seguridad informática, y si quieres saber si tu página web actual o el servidor que la aloja son vulnerables, ponemos a disposición nuestro servicio de auditorías. Por cien euros elaboramos un informe, previo escáner del sitio, donde detallamos los puertos abiertos, los posibles agujeros de seguridad que pudieran encontrarse, y cuál es la solución o parche a aplicar.

Por Carlos Mesa, fundador de Seguridad Informática