Extensión de WordPress era usada por cibercriminales para obtener información los usuarios

Si en algo son buenos los criminales informáticos, es en explotar fallas del sistema o en encontrar puertas traseras que les permitan robar información de los usuarios de aplicaciones y sitios web. Recientemente, la firma de seguridad Defiant – especializada en WordPress– descubrió que un plugin usado en este software tenía una falla y estaba siendo explotada por los hackers.

‘Slick Popup’ es un plugin que le permite a un sitio web que funciona con WordPress crear ventanas emergentes; por ejemplo, cuando entras a un sitio y sale una ventana con publicidad de un descuento. Los criminales informáticos aprovecharon que el plugin tenía un administrador y una contraseña únicos, que quedaron a plena vista, para crear puertas traseras y usarlas a su favor.

Cuando los desarrolladores estuvieron al tanto de este error, crearon una actualización para el plugin, pero solo para los usuarios que usaban una versión pagada. El plugin, después de que se descubriera la falla, dejó de tener una versión gratuita, informó el portal Security News. Actualmente, en el sitio de descarga del plugin aparece que no está disponible desde el 28 de mayo del 2019.

El problema es que no solo Defiant encontró plugins con fallas. Zscaler, una firma de seguridad en la nube, halló diferentes extensiones con problemas similares. En algunos casos, el error les permitía a los hackers redireccionar a los usuarios a sitios maliciosos, y en otros era posible que al dar clic en un sitio específico saliera publicidad engañosa.

Estos plugins están activos en más de 50.000 sitios web que usan WordPress

WordPress es un software muy popular para blogs y construcción de sitios web. En su base de datos tiene más de 46.000 plugins que les ayudan a los creadores de contenido a tener sitios personalizados con herramientas fabricadas por otros. Podríamos decir que estas extensiones son aplicaciones como las de los celulares, pero para sitios web.

El plugin encontrado por Zscaler era ‘WP Live Chat Support’, que permitía crear un servicio de atención al cliente directamente en el sitio web. Está instalado en más de 50.000 sitios web, de acuerdo con el informe.

La firma de seguridad asegura que el plugin tenía una vulnerabilidad que permitía que los criminales informáticos activaran un permiso especial de administrador para poner el código malicioso en el Javascript (un lenguaje de programación). El objetivo de los hackers eran los usuarios de los sitios web, y por eso los llevaban a sitios web fraudulentos o generaban publicidad engañosa al dar clic en el plugin.

Hasta el momento, se sabe que 47 sitios web que instalaron WP Live Chat Support fueron víctimas de las fallas del plugin; sus administradores ya fueron notificados, según el portal Ars Technica. Así mismo, el plugin fue actualizado y la falla fue eliminada.

Vinay Mamidi, director de producto de Virsec, una empresa que provee herramientas de seguridad a las aplicaciones, le dijo a News Security que “con miles de plugins disponibles, es difícil asegurarles a los dueños de cada sitio web que los desarrolladores no están tomando atajos que comprometan la seguridad de ellos y sus usuarios”.

Deja un comentario

Scroll to top
WhatsApp chat