{"id":11352,"date":"2023-02-22T14:50:00","date_gmt":"2023-02-22T14:50:00","guid":{"rendered":"https:\/\/wcanvas.com\/?post_type=blogs&p=11352"},"modified":"2024-12-12T19:07:49","modified_gmt":"2024-12-12T19:07:49","slug":"wordpress-phishing-que-es-y-como-proteger-tu-sitio","status":"publish","type":"blogs","link":"https:\/\/wcanvas.com\/es\/blog\/wordpress-phishing-que-es-y-como-proteger-tu-sitio\/","title":{"rendered":"WordPress phishing: qu\u00e9 es y c\u00f3mo proteger tu sitio."},"content":{"rendered":"\n

Un ataque de phishing en WordPress manipula a los usuarios y administradores del sitio de WordPress para que entreguen informaci\u00f3n personal o realicen acciones inseguras. Es un problema com\u00fan de ciberseguridad y uno de los m\u00e1s frecuentes en el entorno de WordPress.<\/p>\n\n\n\n

Muchas veces, los atacantes env\u00edan correos electr\u00f3nicos usando cuentas oficiales de tu sitio o fabrican correos que parecen enviados desde el dominio de tu sitio. Otras veces, obtienen acceso por la puerta trasera a tu sitio mediante un ataque de fuerza bruta o alg\u00fan otro tipo de hackeo. Luego usan su nueva autoridad para crear p\u00e1ginas que parecen aut\u00e9nticas, donde los usuarios pueden ingresar informaci\u00f3n personal.<\/p>\n\n\n\n

Este art\u00edculo explorar\u00e1 qu\u00e9 son los ataques de phishing en WordPress, qu\u00e9 tan comunes son y qu\u00e9 pueden obtener los atacantes de ellos; tambi\u00e9n se abordan nueve estrategias para evitarlos.<\/p>\n\n\n\n

\u00bfQu\u00e9 es el phishing?<\/h2>\n\n\n\n
\"Ilustraci\u00f3n<\/figure>\n\n\n\n

El phishing es un ataque de ingenier\u00eda social destinado a robar informaci\u00f3n como nombres de usuario y contrase\u00f1as, n\u00fameros de tarjetas de cr\u00e9dito, propiedad intelectual y m\u00e1s. Los atacantes usualmente env\u00edan correos electr\u00f3nicos haci\u00e9ndose pasar por personas u organizaciones de confianza para lograr que las v\u00edctimas expongan involuntariamente su informaci\u00f3n personal.<\/p>\n\n\n\n

Los ataques de “ingenier\u00eda social” explotan la psicolog\u00eda humana y el comportamiento para lograr que las personas hagan cosas y revelen informaci\u00f3n que de otro modo no har\u00edan. En los ataques de phishing, las v\u00edctimas reciben mensajes instant\u00e1neos, mensajes de texto o correos electr\u00f3nicos que simulan ser de entidades confiables. Los mensajes contienen un enlace malicioso que, al ser clickeado, lleva al robo de informaci\u00f3n personal.<\/p>\n\n\n\n

Por ejemplo, si no lo cambian, alguien puede recibir un correo diciendo que la contrase\u00f1a de su cuenta expirar\u00e1 en un d\u00eda. Supongamos que un atacante se hace pasar por la empresa detr\u00e1s del sitio web al cual corresponde la contrase\u00f1a (como una universidad). En ese caso, pueden dirigirlos a un sistema de recuperaci\u00f3n de contrase\u00f1as falso que roba la informaci\u00f3n que ingresan.<\/p>\n\n\n\n

\u00bfQu\u00e9 tan comunes son los ataques de phishing en WordPress?<\/h2>\n\n\n\n

Seg\u00fan el informe de seguridad<\/a> de Sucuri del 2021, el malware de phishing fue el quinto tipo de infecci\u00f3n por malware m\u00e1s com\u00fan entre los sitios web que limpiaron con SiteCheck, su herramienta de eliminaci\u00f3n de malware. El 7,39% de los sitios infectados ten\u00edan al menos una firma de malware de phishing.<\/p>\n\n\n\n

Aproximadamente el 95% de los usuarios de SiteCheck usan WordPress como su CMS, por lo que su informe aproxima qu\u00e9 tan com\u00fan es el problema en el entorno de WordPress.<\/p>\n\n\n\n

Seg\u00fan este informe, los ataques de phishing generalmente tienen como objetivo las credenciales de inicio de sesi\u00f3n para servicios en la nube como Microsoft Office y Adobe, as\u00ed como instituciones financieras y servicios populares como Netflix. Las contrase\u00f1as robadas se utilizan posteriormente para ataques de llenado de credenciales, que es el uso de credenciales robadas mediante fuerza bruta para acceder a m\u00e1s cuentas.<\/p>\n\n\n\n

El informe de seguridad de WordPress de Wordfence de 2022 indica que atacantes sofisticados utilizan el phishing, entre otras t\u00e9cnicas, para robar informaci\u00f3n. Aunque es menos com\u00fan, los atacantes pueden usar el phishing para que los usuarios revelen c\u00f3digos de autenticaci\u00f3n multifactor, logrando acceder a sus cuentas.<\/p>\n\n\n\n

Tipos de phishing<\/h2>\n\n\n\n
\"Un<\/figure>\n\n\n\n

Phishing dirigidos (Spear phishing)<\/h3>\n\n\n\n

Este ataque de phishing est\u00e1 dirigido a miembros o empleados de una organizaci\u00f3n, instituci\u00f3n o empresa espec\u00edfica. Requiere conocimiento interno sobre la organizaci\u00f3n, sus estructuras de poder, pr\u00e1cticas financieras y m\u00e1s.<\/p>\n\n\n\n

Los atacantes suelen crear correos electr\u00f3nicos que parecen aut\u00e9nticos haci\u00e9ndose pasar por miembros de alto rango de la organizaci\u00f3n. Los correos pueden estimular a los miembros y empleados a realizar una acci\u00f3n espec\u00edfica, como hacer clic en un enlace malicioso donde sus credenciales ser\u00e1n comprometidas o transferir fondos de la empresa.<\/p>\n\n\n\n

En 2015, la empresa de productos inal\u00e1mbricos Ubiquiti Networks perdi\u00f3 46 millones de d\u00f3lares debido a que los atacantes se hicieron pasar por ejecutivos en correos electr\u00f3nicos que instru\u00edan al personal financiero a transferir dinero a cuentas offshore.<\/p>\n\n\n\n

Estafas de phishing por correo electr\u00f3nico<\/h3>\n\n\n\n

Estos ataques est\u00e1n dirigidos a un n\u00famero mayor de personas que los ataques dirigidos (spear phishing) y son m\u00e1s un juego de n\u00fameros: si los atacantes env\u00edan suficiente cantidad, al menos algunos morder\u00e1n el anzuelo.<\/p>\n\n\n\n

El ejemplo anterior sobre los atacantes que enga\u00f1an a los estudiantes universitarios para que entreguen sus nombres de usuario y contrase\u00f1as es un caso de una estafa de phishing por correo electr\u00f3nico. El ataque est\u00e1 a\u00fan confinado al \u00e1mbito de una universidad, y los atacantes todav\u00eda crean correos electr\u00f3nicos que parecen aut\u00e9nticos. Sin embargo, es menos espec\u00edfico porque se env\u00eda a un gran grupo de v\u00edctimas en lugar de a miembros de un departamento en particular.<\/p>\n\n\n\n

\u00bfQu\u00e9 ganan los atacantes con el phishing?<\/h2>\n\n\n\n
\"Un<\/figure>\n\n\n\n

Con los ataques de phishing, los atacantes pueden obtener grandes sumas de dinero o informaci\u00f3n confidencial. Las motivaciones m\u00e1s comunes para los ataques de phishing son:<\/p>\n\n\n\n