Aunque se pude pensar que estos incidentes de seguridad los sufren particularmente las grandes empresas, la realidad es que se trata de una afectación general que se acentúa más en sitios pequeños.
Es común que en el caso de websites de tamaño mediano hacia abajo las metodologías empleadas por hackers para reconocimiento, preparación de herramientas, distribución, activación, instalación y control frecuentemente sean automatizadas, es decir, es posible que el atacante ni siquiera visite el sitio, y es así que valiéndose de estas sistematizaciones pueda afectar gran cantidad de páginas web.
Entre las razones que motivan los ataques están:En este análisis de ciberseguridad se revisa el caso de le sitio web de la fabrica ENI un website chico donde el contenido es de carácter comercial y se muestra un catalogo de productos, esta alojado en un servidor de tipo apache, emplea una base de datos Msql y se vale de WordPress para administrar su contenido, tales características son el caso promedio de las paginas en internet.
Las amenazas que comúnmente enfrenta un sitio de este tipo son:El website de la fabrica ENI fue atacado y hakeado en dos ocasiones, el dominio empezó a mostrar varias publicaciones promoviendo contenido de películas pirata disponibles en urls diferentes de este website.
Por un correo electrónico publicado por el atacante parece que se trata de hackers de Pakistán o la India, fuera de ello no se profundizo en el tema.
Por la mecánica de infiltración, cuyo objetivo fue incluir una pequeña cantidad de scripts que habilitan recursos externos, se identifica que no se trata de un ataque de tipo Spoofing, pues de haber sido así habrían tomado control pleno de la operación de sitio, tampoco se trata de inyección a la base de datos, se concluye entonces que el tipo de hacheo es Tampering, mediante alguna vulnerabilidad modificaron procesos y datos para poder incluir archivos Javascript dentro del servidor y habilitar al hacker hacer publicaciones bajo la url del dominio.
Las vulnerabilidades comprometidas en este incidente materializaron el abuso del recurso y daño la imagen de la empresa con posibles afectaciones económicas.
Después de restablecer el sitio a la normalidad en el primer evento no paso en un lapso mayor a 24 horas cuando el sitio volvió a tener el mismo problema, esto sugiere existe que monitoreo y ataques automatizados que posibilitaron una nueva intrusión de modo rápido y efectivo.
Siendo así, es claro que el sitio era monitoreado y se tenia claramente identificado el estado, tanto como posibles cambios a recursos y vulnerabilidades. Quizá desde el principio el blanco fue algún plugin y a través de el se ingresaron archivos al hospedaje mediante alguna forma de rebasar los controles del servidor (Bypassing client-side controls).
Aunque el daño fue mitigado en su duración gracias monitoreo sistematizado de la continuidad de operación y una recuperación pronta apoyada en respaldos del material, es posible que el daño se pudiera haber evitado con barreras de seguridad mas elevadas.
Aprendizaje obtenido:1. Cuidar aspectos primarios de seguridad desde primeras fases de desarrollo, tales como:
2. Conciencia riesgo
3. Actualizaciones
4. Respaldo
5. Fortalecimiento de barreras, tales como
6. Aprender de las malas experiencias