WordCamp Irún 2019: ¡Me han hackeado! ¿Y ahora qué?

Otra jornada intensa de WordPress

Al inicio de mes de junio de 2019 se celebró la pequeña y familiar, pero no por ello menos (en nada), WordCamp Irún 2019. Hay que destacar que hubo verdadera calidad en las charlas y ponentes de altura. Pero también una organización cuidada y efectiva, que hizo que todo fuera sobre ruedas. De hecho, todas las charlas estaban disponibles en streaming, y subidas y editadas para la WordPress.tv desde el día siguiente (esto es un currazo).

Es curioso cómo ocurre a menudo esta situación en la que congresos a priori más pequeños concentran una calidad digna de los más grandes. Fuera como fuere, la pequeña localidad de Irún nos acogió de manera ejemplar, rodeados de un entorno absolutamente bello, entre montañas y el paisaje tan típicamente del norte de nuestro país, con sus tradiciones y sus gentes, que honraron con su amabilidad la legendaria fama de magníficos anfitriones.

Y fue allí, en la plaza del pueblo, que se inició una nueva tendencia que creo que es absolutamente necesaria en el objetivo de ayudar a llegar las tecnologías WordPress a la gente en general, no sólo a los llamados “frikis”.

La #WordCampOnTheStreet consistió en una serie de charlas de contenido general al aire libre, al alcance de todos, relacionado con la plataforma WordPress como no podría ser de otra manera.

Al fin y al cabo, WordPress es una de las herramienta más extendidas para el desarrollo de contenido e identidad digital, cada vez más capital en nuestra sociedad. Se habló sobre los nómadas digitales, a cargo de Mauricio Gelves, o sobre el miedo al fracaso del emprendedor, por Joan Boluda, o cómo WordPress es algo más que una herramienta que está haciendo historia, por Rocío Valdivia, entre otras charlas (una de ellas en euskera).

Curiosamente, cuando tratamos del mundo digital, hay un factor en el que nunca nos fijamos mucho al principio, pero que cuando lo sufres, se te abren los ojos a un mundo nuevo: la ciberseguridad.

Como parte del programa organizativo de esta WordCamp, se quiso dar énfasis en esta temática con dos charlas. Una a cargo de Tomás Sierra, veterano de congresos de ciberseguridad y divulgación sobre la temática, cuya charla versó sobre la concienciación del usuario. El título lo explica todo: “En seguridad, ¡el eslabón más débil eres tú!”. Y es que es así, y todos los expertos en ciberseguridad (y los ciberdelincuentes) lo tenemos muy claro.

La otra charla es la que presenté bajo el título de “¡Me han hackeado! ¿Y ahora qué? Medidas y contramedidas”. Anécdota: hubo un pequeño lío con los títulos, ya que lo cambié (un poco inconscientemente) a última hora por “Cómo saber si me han hackeado. Medidas y contramedidas”, pero es la misma.

Si todo esto te cansa y quieres verla en video, aquí la tienes:

¿Es WordPress seguro al 100%?

Sin buscar estudios donde se podría debatir sobre rigor científico, podemos tomar prestado un aforismo del mundo clásico: Errare Humanum Est, que en latín significa que el Ser Humano Falla, como parte de nuestra naturaleza.

Una de las cosas que me gusta incidir cuando hablo de ciberseguridad es que no existe la seguridad 100% efectiva.

Tomando esto como axioma, podemos deducir rápidamente que cualquier cosa desarrollada por el Ser Humano puede fallar, y por tanto es imposible que algo sea 100% en algo, o sea, perfecto. Y añadiría que aún más cuando son varios elementos totalmente separados los que interactúan entre sí, como los plugins o temas, ya que son equipos diferentes, de empresas y, a menudo, localizaciones diferentes.

Por tanto, en una plataforma software con tantos agentes constructores diferentes y piezas móviles, no es posible exigir un 100% de seguridad. Siempre habrá una brecha que alguna persona con cierta habilidad sabrá aprovechar.

La seguridad por capas

Es importante tener en cuenta también, que la seguridad no es un todo. Se compone de diferentes capas. Es decir, el proceso desde que un usuario se conecta Internet usando un dispositivo hasta que carga nuestra web en él, pasa por diversas fases que debe tener cada una su seguridad específica.

Así, el siguiente gráfico intenta reflejar de manera sencilla un poco este concepto:

WordCamp Irún Diapositivas Nestor Angulo

Me gusta igualarlo a una cebolla porque es un símil que encaja muy bien. Pero hay algo importante a destacar en esta relación de capas, y es que no podemos simplemente aplicar las seguridades pertinentes a cada una y “ya le echo un ojo de vez en cuando si eso”.

Debe existir un constante monitoreo y proceso de mantenimiento activo para comprobar que todo está en su sitio e ir cubriendo las diferentes vulnerabilidades que se van encontrando cada día. Si no, la seguridad que has aplicado en un momento concreto pierde efectividad con el tiempo. Es similar a poner una valla con concertinas. El primer día puede ser efectivo, pero a medida que pasa el tiempo, se oxidan, se van rompiendo, das tiempo a los que quieren saltarlas a imaginar métodos y a probarlos, etc.

Es importante tener en cuenta que la seguridad no es un todo. Se compone de diferentes capas, cada una con su seguridad específica.

Y… ¿cómo sé si me han hackeado?

Durante la charla, aporto unos cuantos ejemplos de sitios hackeados, con el objetivo de los usuarios medios comiencen a concienciarse sobre qué pasaría si les ocurriera, y qué factores deben mirar para comprobarlo. En particular, destacaría estos tres:

La importancia de estar pendiente (monitorizar)

No se debe dejar una web a su aire sin supervisión por lo que hemos explicado antes. Así, se debe tener en cuenta que una vez que tenemos una página web activa hay que realizar procesos constantes de comprobación y monitoreo para comprobar que todo va dentro de sus cauces normales. Por ejemplo:

  • Visitar diariamente la web, especialmente en modo incógnito para verlo como lo vería un nuevo usuario.
  • Comprobar las analíticas para ver el tipo de tráfico que estamos recibiendo.
  • Revisar las gráficas de consumo de recursos que aporta el proveedor de hosting, por si existe un consumo desmedido de procesador, memoria o ancho de banda.
  • Borrar usuarios, temas y plugins que no estén estrictamente en uso, no solo desactivarlos.
  • Utilizar una herramienta especializada como Seguridad de páginas web de GoDaddy, para tener tu web monitorizada 24/7 con análisis y alertas de seguridad.
  • Si de momento no quieres invertir en una herramienta así, te recomiendo utilizar alguna de estas herramientas para realizar escáneres de forma gratuita:
    • Sitecheck: Escáner de seguridad de Sucuri.
    • WPScan: Auditoría de seguridad de tu web WordPress.
    • VirusTotal: Listado de blacklists o listas negras en las que el sitio puede estar presente.

Los buscadores y antivirus

Es importante tener en cuenta que nuestra web no se publica en Internet y queda en estado de desconocido mucho tiempo. Los buscadores y empresas de antivirus están constantemente escaneando la red en busca de sitios para indexar o analizar, hayan o no iniciado un proceso consciente de publicación en redes o en los propios buscadores.

Por tanto, estas empresas ayudan a mostrar cómo se ve tu página desde su punto de vista, y comprobar qué indexa Google, o cualquier otro motor de búsqueda, de nuestra web es una práctica recomendada (no todos los días, pero si una vez a la semana o al mes). Así como tener un antivirus serio en tu dispositivo.

Muchas de estas empresas están comunicadas entre sí a este nivel, lo que implicaría, a modo de ejemplo ilustrativo, que si alguien carga tu página y esta tiene un banner de spam (supongamos de venta de viagra) y tiene un antivirus McAfee  en su dispositivo que identifica el spam, este marca en su base de datos tu sitio como hackeado, y Google, que revisa regularmente estas listas, marca también en poco tiempo tu sitio como hackeado con la conocida pantalla roja y la etiqueta “Este sitio puede estar hackeado”.

WordCamp Irún Diapositivas Nestor Angulo

¡Escucha a tus usuarios!

Los que visitan tu web no sólo sirven para que consuman tus productos y contenidos, sino también son unos vigilantes maravillosos. Facilitar los canales para que se pongan en contacto contigo, ya sea a través del propio sitio o de las redes sociales es hoy por hoy un factor de éxito. Aparte de las consabidas quejas, también nos puede llegar información importante sobre seguridad.

De hecho, lo más probable es que sean los primeros siempre en notar que algo va mal, así que facilitarles voz te puede hacer ganar un tiempo precioso que puede significar muchas veces la eliminación o no de tu trabajo en SEO en un buscador, por ejemplo. ¡Dales un micrófono y escúchalos!

Los que visitan tu web no sólo sirven para que consuman tus productos y contenidos, sino también son unos vigilantes maravillosos de tu sitio web.

En cualquier caso, si tienen una sospecha de que algo va mal, mi recomendación es primero acudir al sistema de soporte de vuestro proveedor de alojamiento, normalmente, en las buenas empresas de este tipo, pueden solucionar una gran mayoría de los problemas. Y, en caso de que este no responda satisfactoriamente, consultad a un experto.

Para finalizar, un “briconsejo”: inviertan en un buen proveedor de alojamiento y en seguridad. No es un gasto, es una inversión.

Además, aquí os dejo las diapositivas de la charla de la WordCamp Irún 2019 por si pueden echaros una mano:

Imagen de Flickr.com