Sitio web hackeado - ¿qué hacer?

Desafortunadamente, en Internet es algo habitual que las páginas web sean hackeadas. No solo se ven afectadas las pequeñas y privadas presencias en la web; sobre todo los sitios en línea grandes y conocidos son regularmente objetivo de los hackers. Pero, ¿qué se puede hacer si su propia página web ha sido hackeada y cómo se detecta el incidente? Encontrará todo lo que necesita saber en el siguiente artículo.

¿Por qué se hackean las páginas web?

En general, puede distinguirse entre dos escenarios en el caso de páginas web hackeadas. En una variante, los ataques de hackers se dirigen a los sitios web de empresas conocidas, organizaciones o personalidades. El objetivo de los ataques es llamar la atención, difundir un mensaje político o desacreditar el sitio web y su responsable. En este caso los hackers eligen el sitio de forma deliberada y es muy difícil protegerse y evitar el ataque. Incluso grandes empresas como Sony o proveedores de software de seguridad como Kaspersky ya han sido víctimas. Del mismo modo, políticos polarizadores como Wolfgang Schäuble o Al Gore son un objetivo habitual. Sin embargo, las páginas web sencillas rara vez se ven afectadas por este tipo de ataques, salvo que se provoque la ira de un competidor directo.

Un peligro mucho mayor para administradores habituales es el de ataques que ni siquiera van específicamente dirigidos contra su sitio web. En esta variante, el ataque se realiza de forma totalmente automática mediante herramientas que rastrean Internet en busca de vulnerabilidades en páginas web. Si se detecta una vulnerabilidad en su presencia web, las herramientas consiguen acceso e instalan automáticamente el código malicioso en el servidor. Su sitio web puede ser manipulado para servir en operaciones de phishing, envío de spam y ataques DDoS o de fuerza bruta contra otros objetivos. Además, el código malicioso puede provocar que se instale malware en el equipo de los visitantes del sitio. A menudo también se insertan enlaces a ofertas en línea en el propio sitio web para mejorar el posicionamiento en Google de las páginas destino. Frecuentemente se trata de sitios web dudosos o incluso ilegales. Dependiendo del daño causado, el propietario del sitio web también puede ser considerado responsable de daños colaterales adicionales. Por tanto, interesa al administrador del sitio detectar rápidamente los ataques y prevenirlos lo mejor posible.

¿Cómo reconocer si un sitio web ha sido hackeado?

A menudo los responsables de un sitio web se enteran relativamente tarde de que su presencia online ha sido víctima de un ataque. Lo más evidente es, por ejemplo, cuando el antivirus del equipo salta al visitar el propio sitio web. Pero también motores de búsqueda como Google analizan automáticamente las páginas en busca de código malicioso cuando su bot rastrea el sitio. Si se detectan actividades peligrosas, el visitante recibe una advertencia en el navegador al acceder a la URL. Con frecuencia son amigos o conocidos quienes avisan al responsable en ese caso.

Si, en cambio, la página solo ha sido modificada —por ejemplo insertando enlaces ajenos— pero no se ha instalado código malicioso, no se muestra ninguna advertencia. Las páginas con enlaces sospechosos son accesibles con normalidad y muchas veces nadie se da cuenta. Especialmente cuando los enlaces están bien ocultos, por ejemplo en el pie de página o en subpáginas, pueden permanecer activos durante años, por eso este método es tan popular entre spammers y hackers.

La forma más eficaz de detectar un sitio hackeado es revisar manualmente toda la presencia online a intervalos regulares. Debe revisarse cada página detenidamente y vigilar cambios. Quien tenga conocimientos de programación también puede buscar directamente en el código fuente o revisar archivos relevantes como el archivo .htaccess o scripts PHP. Ciertas porciones de código son especialmente sospechosas, por ejemplo base64, eval o iframe. Quien conozca esto tendrá una gran ventaja. En general, la fecha de modificación de los archivos es un buen indicio de si los datos han sido manipulados. Esto se puede comprobar fácilmente por FTP sin grandes conocimientos técnicos.

Quienes no dominen bien la materia dependen del uso de herramientas de seguridad adicionales que realizan esta tarea. Además de las herramientas prácticas de Google, existe toda una serie de soluciones gratuitas y de pago de distintos proveedores:

• Comprobador de navegación segura de Google
• http://www.google.com/safebrowsing/diagnostic?site=EIGENE WEBSEITE HIER EINFÜGEN
• Google Search Console
• Ejecutar comprobación de malware
• Securi SiteCheck
• https://sitecheck.sucuri.net
• AVG ThreatLabs
• http://www.avgthreatlabs.com

¿Qué hacer si el sitio web ha sido hackeado?

Si su sitio web ha sido hackeado, puede seguir la siguiente guía paso a paso para recuperar el control:

• Crear una copia de seguridad
• En primer lugar debe crear siempre una copia de seguridad. Aunque el sitio esté infectado, merece la pena conservar el estado actual. Por un lado, para poder determinar más adelante qué archivos han sido modificados y, por otro, como prueba en caso de reclamaciones por daños.
• Poner el sitio web fuera de línea
• Una vez creada la copia de seguridad, debe ponerse el sitio web fuera de línea para evitar que el código malicioso se propague.
• Comprobar el equipo
• Para descartar que la brecha de seguridad provenga del propio equipo, ahora debe revisarse el sistema. Con frecuencia los atacantes utilizan keyloggers que espían la contraseña del alojamiento web sin que el usuario lo note. Para ello debe utilizarse un antivirus actualizado y, además, un software anti-malware.
• Cambiar todas las contraseñas
• Una vez que el equipo sea seguro, deben cambiarse todas las contraseñas. Esto afecta al acceso a la consola de administración del proveedor de alojamiento web, al acceso FTP, así como a todas las contraseñas que den acceso a la base de datos o a un sistema de gestión de contenidos (CMS).
• Determinar de dónde provino el ataque
• Con la ayuda de los archivos de registro (logfiles) y de las fechas de modificación de los archivos puede intentarse averiguar de dónde provino el ataque y cómo los atacantes obtuvieron acceso al sistema. En este punto también puede colaborarse con el proveedor de alojamiento web, por ejemplo para analizar los archivos de registro.
• Eliminar todos los datos en el espacio web
• Independientemente de si la investigación sobre la causa tiene éxito o no, en el siguiente paso deben borrarse todos los archivos presentes en el espacio web. Así se reduce considerablemente el riesgo de una nueva corrupción. No basta con eliminar los datos por FTP, también deben eliminarse las bases de datos y las tareas programadas, como los cron jobs.
• Subir de nuevo el sitio web
• Por último, hay que volver a subir el sitio web. Debe restaurarse la copia de seguridad disponible. No obstante, debe comprobarse necesariamente que ésta no esté también infectada. Sobre todo si no se sabe exactamente cuándo tuvo lugar el ataque, conviene asegurarse previamente de la integridad de la copia de seguridad.

¿Qué medidas preventivas se recomiendan?

Para prevenir ataques de hackers, puede recurrirse a las siguientes medidas preventivas:

• Supervisar el sitio web y el ordenador
• Tanto el sitio web como el ordenador propio deben revisarse regularmente en busca de virus y software malicioso. En el ordenador local se puede utilizar un antivirus y un programa antimalware. Para la supervisión del sitio web existen servicios en línea o plugins apropiados cuando se usan sistemas de gestión de contenidos como WordPress.
• Mantener el sistema actualizado
• El sistema del servidor y el software utilizado siempre deben mantenerse actualizados. Si el servidor es administrado por el proveedor de hosting web, este es el responsable. Si se emplean sistemas de gestión de contenidos como WordPress o Joomla, también deben mantenerse siempre actualizados el software y todas las extensiones.
• Contraseñas seguras
• Para el acceso a la consola de hosting web, FTP y al área de administración se deben usar contraseñas fuertes y nombres de usuario individuales.
• Más consejos de seguridad
• Especialmente para la protección de servidores encontrará aquí más información: Asegurar servidores Linux y Asegurar servidores Windows



 

Desgraciadamente no existe en Internet una seguridad del 100 % frente a ataques de hackers. Sin embargo, si se aborda el tema y se aplican medidas preventivas, el riesgo de convertirse en objetivo de un ataque puede reducirse significativamente.