La firma especialista en detección de amenazas ESET alertó que ciberdelincuentes están aprovechando fallas en plugins populares de WordPress, como PopUp Builder, para atacar miles de sitios web. Este plugin, comúnmente utilizado para crear ventanas emergentes, tiene vulnerabilidades que permiten a los atacantes tomar el control completo de los servidores.
En su último ESET Threat Report, la compañía destacó que el grupo conocido como Balada Injector ha comprometido más de 20,000 sitios web en los últimos meses, distribuyendo códigos maliciosos en diferentes oleadas. Desde el inicio de 2024, los ataques han incrementado significativamente, según las detecciones de la firma.
WordPress: un blanco atractivo
WordPress, la plataforma utilizada por más del 43% de los sitios web para gestionar contenido, se ha convertido en un objetivo principal para estos atacantes. Balada Injector, conocido por explotar vulnerabilidades en plugins, puede instalar mecanismos de persistencia en los sitios web afectados, lo que les permite mantener el control del servidor incluso después de haber sido detectados.
Ante esta situación, el ingeniero sénior de detección en ESET, Ján Adámek, advirtió que —debido a que los scripts de Balada Injector pueden permitir a los atacantes tomar el control total del servidor web— es crucial eliminar cualquier plugin comprometido y actualizar todos los plugins asociados a WordPress.
Además, debido a la capacidad de Balada Injector para instalar mecanismos de persistencia, los especialistas recomendaron:
- Revisar si hay cuentas de administrador desconocidas o archivos sospechosos en tu servidor.
- Cambiar las credenciales de acceso regularmente para prevenir intrusiones no deseadas.
“Mantener los sistemas y aplicaciones actualizadas es una manera contar con los parches y mejoras en seguridad que ofrece cada desarrollador. El software actualizado asegura el abordaje de problemas de seguridad que puedan descubrirse. En el caso de WordPress asegúrate de tener la última versión, que es la serie 6.6 y es la versión más segura de usar ya que se mantiene actualizada activamente”
— Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET Latinoamérica
Indicadores de compromiso
Si tu sitio web muestra síntomas como aparecer en listas negras de Google, Bing u otros motores de búsqueda, o si el host deshabilita tu sitio, podría estar comprometido. También es una señal de alerta si tu web es marcada como distribuidora de malware o si detectas comportamientos inusuales, como la aparición de usuarios desconocidos.
Otro indicio de compromiso puede ser una apariencia extraña o alterada del sitio web. Estos signos sugieren que tu sitio podría estar bajo ataque, y es crucial actuar con rapidez para protegerlo y resolver cualquier problema de seguridad.
Pasos a seguir en caso de detectar actividad sospechosa:
1. Controla los accesos y revoca aquellos que parezcan dudosos.
2. Documenta toda actividad sospechosa para tener un reporte de incidente.
3. Escanea el sitio y su entorno para identificar amenazas.
4. Una vez que el sitio esté limpio, cambia las contraseñas y credenciales de acceso, utilizando contraseñas seguras.
