WordPress phishing: qué es y cómo proteger tu sitio.

Un ataque de phishing en WordPress manipula a los usuarios y administradores del sitio de WordPress para que entreguen información personal o realicen acciones inseguras. Es un problema común de ciberseguridad y uno de los más frecuentes en el entorno de WordPress.

Muchas veces, los atacantes envían correos electrónicos usando cuentas oficiales de tu sitio o fabrican correos que parecen enviados desde el dominio de tu sitio. Otras veces, obtienen acceso por la puerta trasera a tu sitio mediante un ataque de fuerza bruta o algún otro tipo de hackeo. Luego usan su nueva autoridad para crear páginas que parecen auténticas, donde los usuarios pueden ingresar información personal.

Este artículo explorará qué son los ataques de phishing en WordPress, qué tan comunes son y qué pueden obtener los atacantes de ellos; también se abordan nueve estrategias para evitarlos.

¿Qué es el phishing?

El phishing es un ataque de ingeniería social destinado a robar información como nombres de usuario y contraseñas, números de tarjetas de crédito, propiedad intelectual y más. Los atacantes usualmente envían correos electrónicos haciéndose pasar por personas u organizaciones de confianza para lograr que las víctimas expongan involuntariamente su información personal.

Los ataques de “ingeniería social” explotan la psicología humana y el comportamiento para lograr que las personas hagan cosas y revelen información que de otro modo no harían. En los ataques de phishing, las víctimas reciben mensajes instantáneos, mensajes de texto o correos electrónicos que simulan ser de entidades confiables. Los mensajes contienen un enlace malicioso que, al ser clickeado, lleva al robo de información personal.

Por ejemplo, si no lo cambian, alguien puede recibir un correo diciendo que la contraseña de su cuenta expirará en un día. Supongamos que un atacante se hace pasar por la empresa detrás del sitio web al cual corresponde la contraseña (como una universidad). En ese caso, pueden dirigirlos a un sistema de recuperación de contraseñas falso que roba la información que ingresan.

¿Qué tan comunes son los ataques de phishing en WordPress?

Según el informe de seguridad de Sucuri del 2021, el malware de phishing fue el quinto tipo de infección por malware más común entre los sitios web que limpiaron con SiteCheck, su herramienta de eliminación de malware. El 7,39% de los sitios infectados tenían al menos una firma de malware de phishing.

Aproximadamente el 95% de los usuarios de SiteCheck usan WordPress como su CMS, por lo que su informe aproxima qué tan común es el problema en el entorno de WordPress.

Según este informe, los ataques de phishing generalmente tienen como objetivo las credenciales de inicio de sesión para servicios en la nube como Microsoft Office y Adobe, así como instituciones financieras y servicios populares como Netflix. Las contraseñas robadas se utilizan posteriormente para ataques de llenado de credenciales, que es el uso de credenciales robadas mediante fuerza bruta para acceder a más cuentas.

El informe de seguridad de WordPress de Wordfence de 2022 indica que atacantes sofisticados utilizan el phishing, entre otras técnicas, para robar información. Aunque es menos común, los atacantes pueden usar el phishing para que los usuarios revelen códigos de autenticación multifactor, logrando acceder a sus cuentas.

Tipos de phishing

Phishing dirigidos (Spear phishing)

Este ataque de phishing está dirigido a miembros o empleados de una organización, institución o empresa específica. Requiere conocimiento interno sobre la organización, sus estructuras de poder, prácticas financieras y más.

Los atacantes suelen crear correos electrónicos que parecen auténticos haciéndose pasar por miembros de alto rango de la organización. Los correos pueden estimular a los miembros y empleados a realizar una acción específica, como hacer clic en un enlace malicioso donde sus credenciales serán comprometidas o transferir fondos de la empresa.

En 2015, la empresa de productos inalámbricos Ubiquiti Networks perdió 46 millones de dólares debido a que los atacantes se hicieron pasar por ejecutivos en correos electrónicos que instruían al personal financiero a transferir dinero a cuentas offshore.

Estafas de phishing por correo electrónico

Estos ataques están dirigidos a un número mayor de personas que los ataques dirigidos (spear phishing) y son más un juego de números: si los atacantes envían suficiente cantidad, al menos algunos morderán el anzuelo.

El ejemplo anterior sobre los atacantes que engañan a los estudiantes universitarios para que entreguen sus nombres de usuario y contraseñas es un caso de una estafa de phishing por correo electrónico. El ataque está aún confinado al ámbito de una universidad, y los atacantes todavía crean correos electrónicos que parecen auténticos. Sin embargo, es menos específico porque se envía a un gran grupo de víctimas en lugar de a miembros de un departamento en particular.

¿Qué ganan los atacantes con el phishing?

Con los ataques de phishing, los atacantes pueden obtener grandes sumas de dinero o información confidencial. Las motivaciones más comunes para los ataques de phishing son:

• Robar credenciales de inicio de sesión y potencialmente usarlas para obtener información personal identificable (PII) sobre los usuarios, como números de tarjetas de crédito.
• Usar credenciales robadas para realizar compras no autorizadas o mover fondos.
• Realizar robo de identidad con credenciales robadas.
• Hacerse pasar por organizaciones y personas de confianza para convencer a otros de entregar información personal identificable (PII).
• Robar propiedad intelectual.
• Propagar malware a través de enlaces maliciosos.
• Engañar a los usuarios para que entreguen códigos de autenticación multifactor y acceder a sus cuentas.
• Agregar las credenciales robadas a su reserva, la cual pueden usar para realizar futuros ataques de llenado de credenciales.
• Ganar acceso a los sistemas internos de una organización como parte de un ciberataque multinivel, como realizar un defacement del sitio web y pedir un rescate.

¿Cómo proteger tu sitio de WordPress de ataques de phishing? 9 estrategias

Identificar páginas de phishing en tu sitio web

Si los atacantes obtienen acceso no autorizado de administrador a tu sitio mediante algún tipo de ciberataque, pueden crear astutamente páginas de phishing desde donde recopilan información de los usuarios. Estas páginas suelen estar ocultas y ser fraudulentas de pagos o inicio de sesión, ya que esta es la información más valiosa para los hackers.

Mantente atento a páginas que no hayas autorizado y que piden información personal.

Implementar autenticación multifactor (MFA)

Una autenticación multifactor es una forma de control de acceso que permite el acceso solo después de que el usuario haya proporcionado dos o más pruebas diferentes de identidad. La primera prueba de identidad es la combinación de nombre de usuario/contraseña. La segunda prueba varía. Puede ser una segunda contraseña que cambia periódicamente, un código de verificación enviado a tu dirección de correo electrónico o cualquier otra forma de verificación.

Usar un firewall de aplicaciones web (WAF)

Los WAF son evoluciones de los firewalls de hardware tradicionales que solo controlan el flujo de datos a nivel de dirección IP y protocolo de transporte. El WAF puede filtrar ataques realizados a nivel de aplicación, donde las aplicaciones ejecutan código y realizan funcionalidades en el servidor web. 

Muchos plugins de seguridad para WordPress incluyen WAF en sus planes. Explorar plugins de seguridad que los incluyan o plugins dedicados a WAF.

Filtrar correos electrónicos de phishing entrantes

Filtrar correos electrónicos de phishing es una de las mejores maneras de minimizar su posible daño. Algunas maneras de reducir los correos electrónicos de phishing incluyen lo siguiente:

• Usar una función de filtrado o bloqueo integrada en tu proveedor de correo electrónico o un servicio especializado. Asegúrate de que el filtrado esté activado para todos los usuarios por defecto.
• Revisar todos los correos electrónicos entrantes buscando malware, estafas y phishing.
• Afina las reglas de filtrado y bloqueo. El filtrado significa que los correos sospechosos terminan en la carpeta de spam. El bloqueo significa que se eliminan completamente. Encontrar un compromiso entre ambos será clave para asegurar la protección y evitar perder correos legítimos.

Reducir la información a la que los atacantes tienen acceso

Especialmente en campañas de spear phishing, los atacantes necesitan acceso a cierta cantidad de información sobre la estructura de poder de tu organización y su funcionamiento interno. Si revelás demasiada información sobre tus fundadores y altos ejecutivos, pueden falsificar correos electrónicos y explotar la confianza de otros miembros.

Considerá cuidadosamente la información que haces pública determinando cuánta necesitan saber los usuarios legítimos y evitando compartir el resto.

Usar controles anti-spoofing

Implementar protocolos de verificación y anti-spoofing de correo electrónico como Sender Policy Framework (SPF), Domain Keys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting, and Conformance (DMARC).

Estos protocolos garantizan a los demás que los correos que enviás desde las direcciones de tu dominio son auténticos y seguros.

Difundir conciencia sobre ciberseguridad entre los miembros de tu organización

Educá a los miembros de tu equipo sobre las señales de advertencia de correos de phishing, pero no esperes que reconozcan todos los correos de phishing o que estén 100% alertas a las estafas 24/7. Incluso los expertos han caído víctimas del phishing.

Las contramedidas contra el phishing son más efectivas cuando están automatizadas, ya que pueden etiquetar tráfico sospechoso mejor que cualquier humano. Asegúralos de que el phishing es difícil de detectar porque está diseñado para ser así. La combinación de automatización y conciencia sobre ciberseguridad reducirá significativamente las amenazas que el phishing representa.

Eliminar puertas traseras

Los ataques por puertas traseras son una amenaza común de seguridad en el entorno de WordPress. Algunas medidas que podés tomar para minimizar los ataques exitosos por puertas traseras incluyen:

• Realizar un escaneo de puertas traseras con plugins como MalCare, iThemes Security y Bulletproof Security.
• Inspeccionar directorios principales en busca de archivos sospechosos. Los directorios y archivos comúnmente utilizados por atacantes incluyen la carpeta wp-themes, la carpeta wp-plugins, la carpeta de uploads, la carpeta wp-includes y el archivo wb-config.php.
• Evitar plugins y temas vulnerables y sin mantenimiento.
• Utilizar contraseñas fuertes y únicas para todos los miembros del equipo.
• Limitar los intentos de inicio de sesión en tu sitio.
• Mantener actualizadas las versiones principales de WordPress y PHP.

Instalar certificados SSL

Los certificados SSL encriptan los datos intercambiados entre los usuarios y tu sitio de WordPress. Muchos hosts web ofrecen certificados SSL, así que explorá si tu plan ya lo incluye. De lo contrario, considerá cambiar de host web.

Los certificados SSL hacen que la navegación sea más segura y aumentan el ranking SEO general de tu sitio web.

Conclusión

El phishing es un problema de seguridad común para los administradores y usuarios de sitios de WordPress. Dado que explota la psicología humana y el comportamiento social, apelando a nosotros a través de canales aparentemente confiables, puede ser difícil de detectar.

Al seguir estas recomendaciones, tu sitio de WordPress estará más seguro de ataques de phishing, lo que te permitirá proteger tu reputación, la integridad de tu sitio y la información personal de tus usuarios.

Si encontraste útil este artículo, leé nuestro blog para más guías, consejos y trucos sobre WordPress.