Una vulnerabilidad crítica en el complemento Really Simple Security, utilizado en más de 4 millones de sitios web WordPress, ha encendido las alarmas al poner en riesgo —al menos— a 18 sitios del gobierno de México, entre ellos portales clave de estados como Oaxaca, Jalisco, y el Estado de México. La falla permite a atacantes no autenticados tomar control administrativo de los sitios afectados, lo que podría derivar en serias implicaciones para la seguridad digital y la confianza pública.
En su advertencia, el instructor certificado en ciberseguridad y fundador de SILIKN, Víctor Ruiz señaló que la vulnerabilidad, identificada como CVE-2024-10924, tiene una puntuación de 9.8 en la escala CVSS, lo que la clasifica como crítica. El problema, de acuerdo con Ruiz, radica en un manejo deficiente en la función “check_login_and_get_user”, encargada de la autenticación de usuarios.
El especialista en seguridad de sistemas informáticos explicó que este fallo permite que un atacante no autenticado eluda la autenticación de dos factores (2FA) y acceda al sistema como cualquier usuario, incluido el administrador, tomando el control completo.
“Lamentablemente, una de las funciones encargadas de gestionar la autenticación de dos factores se implementó de forma insegura, lo que permite que un atacante no autenticado acceda a cualquier cuenta, incluida la de administrador, mediante una solicitud sencilla cuando esta funcionalidad está habilitada”
— Víctor Ruiz, instructor certificado en ciberseguridad y fundador de SILIKN
Aunque los desarrolladores del complemento corrigieron la falla en la versión 9.1.2, lanzada el 13 de noviembre de 2024, la vulnerabilidad afectó a todas las versiones anteriores (9.0.0 a 9.1.1.1). Para mitigar riesgos, WordPress implementó una actualización forzada, garantizando que la mayoría de los usuarios del complemento recibieran el parche.
Impacto en sitios gubernamentales mexicanos
De acuerdo con el análisis de Víctor Ruiz, entre los portales gubernamentales en México que podrían estar en riesgo destacan:
- Gobierno Municipal de Chapala del Estado de Jalisco
- Mujeres con Bienestar del Estado de México
- Alcaldía Cuajimalpa de Morelos de la Ciudad de México
- Secretaría de Cultura del Estado de Guerrero
- Ayuntamiento Constitucional de Jilotepec del Estado de México
- Gobierno del Estado de Oaxaca
- Municipio de San Pedro Yolox del Estado de Oaxaca
- Municipio de Tianguistenco del Estado de México
- Comisión Mexicana de Filmaciones
- Organismo Operador Municipal de Agua Potable, Alcantarillado y Saneamiento del Municipio de Cajeme del Estado de Sonora
- Ayuntamiento de Atlacomulco del Estado de México
- Instituto de la Educación Básica del Estado de Morelos
- Municipio de Sahuaripa del Estado de Sonora
- Municipio de Singuilucan del Estado de Hidalgo
- Fideicomiso de Obras por Cooperación del Gobierno Municipal de León del Estado de Guanajuato
- Intranet del Gobierno del Estado de Veracruz
- Servicios de Salud Jalisco
- Presidencia Municipal de Pachuca del Estado de Hidalgo
Estos sitios, esenciales para trámites ciudadanos y difusión de información oficial, podrían ser utilizados como vectores para ataques masivos de desinformación, robo de datos sensibles o ciberespionaje.
En concreto, un ciberdelincuente que logre vulnerar un portal gubernamental mediante esta falla crítica podría obtener control total del sitio, lo que le permitiría modificar contenido oficial para difundir desinformación, insertar malware para infectar a los usuarios que visiten el portal o robar información confidencial, como datos personales de ciudadanos o documentos internos del gobierno.
Además, podría utilizar el sitio como plataforma para lanzar ataques contra otras instituciones o para alojar actividades ilícitas, como phishing. Estas acciones no solo afectarían la reputación y confianza pública en la institución comprometida, sino que también podrían interrumpir servicios esenciales, paralizar trámites ciudadanos e incluso exponer información estratégica.
“El aprovechamiento exitoso de esta vulnerabilidad podría tener consecuencias graves, ya que permitiría a actores malintencionados tomar el control de sitios de WordPress y utilizarlos para actividades ilícitas”
— Víctor Ruiz, instructor certificado en ciberseguridad y fundador de SILIKN
Vulnerabilidades de WordPress bajo ataque
La vulnerabilidad en Really Simple Security no es un caso aislado. En agosto de 2024, el grupo Balada Injector comprometió más de 20,000 sitios WordPress, incluidos portales corporativos y gubernamentales, al explotar fallas en plugins populares como PopUp Builder. Estas brechas evidencian la creciente presión sobre administradores de sitios para reforzar la ciberseguridad.