¿Te han hackeado la Web? Si me han hackeado la web

Esta es la respuesta más dura que podemos dar cuando nos hacen esta pregunta tan directa. Nunca pensamos que nos puede pasar a nosotros, pero en realidad somos números que de una forma o de otra nos puede tocar.

En el siguiente post voy a tratar de explicar las formas que hay de hackear una web y cómo podemos solucionar este problema que puede llevar incluso a la desaparición del proyecto.

En estos más de 15 años de profesión en Internet y en proyectos seo, la verdad es que me he encontrado de todo. Ataques de SEO Negativo, proyectos con mil guarrerías hechas, proyectos estafados, y un sinfín más. Pero a lo que nunca te acostumbras es a enfrentarte a un hackeo de una página web.

Es uno de esos casos en los que te coges varios red-bull, y dices: esto va a ser duro, pero duro de verdad. Y es que el problema es que nunca sabemos la dimensión que puede haber alcanzado el ataque. Por eso tenemos que ir con cautela, tratar de actuar lo más rápido posible, pero con seguridad, y la certeza que todo lo que hagamos sea de forma segura.

Ahora describamos los tipos de hackeo que podemos sufrir.

Tipos de hackeo de una web.

  • Inclusión de código en la web.

En esta ocasión lo que hacen es entrar en el FTP por cualquier vulnerabilidad que pueda haber en la web y meten un troyano que se encarga de crear páginas nuevas e incluir código nuevo en el resto, modificando las páginas existentes.

Dependiendo de la pulcritud de los hackers o de los robots hakers, la dimensión del hack será más o menos grande. Podemos encontrarnos que han generado cientos de miles de páginas, lo que resultará tremendamente difícil quitar de forma rápida, o que hayan creado unas pocas.

También nos encontramos en algunos casos que han generado un código Js que hace una redirección a otra página.

Y la más común es la modificación de las páginas sólo para los robots de Google de forma que si un usuario normal entra, verá la página correctamente, pero Google verá toda la porquería de contenido y urls.

En la mayoría de estos casos el hackeo es realizado para sacar códigos de afiliado de una página web, o incluso para comprar productos de forma fraudulenta, es decir, simular una tienda online, y la gente compra los productos, paga, pero nunca va a recibir nada, y el responsable es el dueño de la web hackeada.

 

  • Phishing

Es otro tipo de hackeo por inclusión de código. Pero lo separamos del anterior porque este si que es peligroso de verdad, y puede llevar incluso a tener denuncias millonarias por parte de los afectados. Lo que hacen es crear una página réplica de un banco, donde atraerán a la gente a través de emails spamm fraudulentos.

Aquí se intentarán quedar con las claves y tendrán acceso a las cuentas del banco de la persona que han estafado con el email.

El problema aquí es que el responsable es el dueño de la web, como sucede en el caso anterior. Y es tan grave que las empresas de hosting, cuando detectan un hackeo por phishing automáticamente cortan el servicio.

También incluyendo páginas de ventas de productos simuladas, donde nunca llegará el producto.

En definitiva phishing es un anglicismo que hemos adoptado que podríamos traducir como “pescador” y es precisamente eso lo que hace. La simulación de código en la web tratará de “robar” los datos de la persona para hacerse pasar por ella y cometer estafas.

  • Apoderarse de la propiedad en Search Console

Lo habitual en este caso es que registran como propiedad en Search Console la web y envían un Sitemap con multitud de páginas que actualmente no están indexadas en Google. Google las indexará. Google indexará miles de páginas con caracteres “raros” habitualmente japoneses.

  • Hackeo para SEO negativo

La mayoría de hackeos son dirigidos a hacer ganar dinero a las personas que lo realizan. Pero en este caso el objetivo es todo lo contrario: “hacer perder dinero” a las páginas donde se ha realizado el hackeo.

¿Por qué?

Pues porque la inclusión de código va dirigida a incluir enlaces externos masivos y generación de páginas de contenido pornográfico o de casinos. Estas páginas se indexarán en Google y Google establecerá una acción manual para corregir esto, aunque en la mayor parte de los casos las penalizaciones son directamente algorítmicas. No es seguro que Google, a través de Search Console, ponga una acción manual (penalización manual), ya que se suele dar cuenta muy tarde de estas cosas.

  • Hackeo de contraseña

Esto normalmente se realiza a través de un software de descifrado de contraseña, llamada de diccionario, porque va probando letras unidas, realizando unas 60 comprobaciones por minuto, 1 cada 10 segundos. La probabilidad de ser hackeado con este método si tu contraseña es muy floja (solo letras) es de cerca del 80%. Si la contraseña es alfanumérica, la probabilidad es del 50% y si incluye símbolos, mayúsculas y demás, la probabildad es del 10%.

Lo que hacen es reventar la contraseña, para apoderarse de todos los datos posibles, y realizar el hackeo, que puede ser igual a alguno de los anteriores. O simplemente insertan enlaces salientes en contenidos antiguos sin darte cuenta.

  • Hijacking. Robo de Sesión de usuario.

Esto sucede en redes compartidas, donde la seguridad es menor, y se accede y roban la sesión de usuario, pudiendo cambiar contraseñas o secuestrando la identidad del usuario. Por ello es conveniente nunca conectarse a redes wifi abiertas, sin ninguna justificación. Ya sea desde el pc o desde el teléfono móvil.

Al poder tener acceso a la sesión de usuario, la dimensión del hackeo puede ser tan grande como quiera el pirata.

Recordemos que el hacker informático no es un perfil negativo. El hacker es el que descubre huecos de seguridad, para advertir a los usuarios y que puedan solucionarlos. La mayoría de ellos trabajan en empresas de seguridad informática. El perfil negativo es el del hacker que realiza todo esto que hablamos. En este caso no es un hacker es un Pirata Informático o Ciber Delincuente.

  • Robo de contraseñas por malware

El Robo de contraseñas es el proceso más sencillo de hacking que se suele realizar. Y también el más sencillo de contrarestar. Se basa en acceder a un pc, mediante un malware, que rastree todas las contraseñas y accesos del usuario, para poder acceder.

Una práctica bastante realizada es coger la contraseña del cpanel de sitios web, instalar un reenviador de correo en la cuenta de correo que reciba más mails. Habitualmente el de administración. De esta forma, todos los correos que lleguen a esta cuenta, llegarán también a la cuenta del pirata. Éste cogerá alguna factura que hayan enviado y la duplicará con un número de cuenta falso para que el dinero le llegue al pirata, en lugar de al proveedor.

 

Pueden haber muchos más pero…

¿Cómo actuar ante un hackeo?

 

Paso 1: Obtener información del hackeo

Lo primero que debemos hacer es ponernos en manos de un profesional, si nosotros no sabemos hacerlo. Obviamente el profesional te va a cobrar un dinero, y por tanto si no tienes presupuesto deberás acometer los trabajos tu mismo.

En cualquiera de los casos deberemos tener en cuenta los siguientes datos:

  • Qué tipo de Hackeo hemos sufrido
  • Desde cuando se hizo.
  • Número de URL’s infectadas.
  • Número de urls creadas nuevas
  • ¿Hay avisos de Search Console por hackeo?
  • ¿Hay avisos en Google por posible pirateo?

Tras conocer todos estos detalles deberemos tomar medidas para solucionar el pirateo.

Si tenemos un backup realizado, deberemos realizar una restauración de todos los archivos y ficheros de la web a un punto anterior a cuando se hizo la infección.

¿Cómo saber cuándo se hizo?

No lo podremos saber a ciencia cierta, a menos que miremos los logs de servidor. Pero una forma más o menos fiable es a través de la caché de Google. Google cachea nuestra web de forma periódica. Dependiendo de la autoridad que tenga la web el cacheo se realizará más a menudo, o menos.

Si Google comprueba al cachearla que ha sido pirateada, no volverá a cachearla. Esto no es del todo seguro, porque Google puede determinar que la web no ha sido vulnerada y volver a cachearla.

Aquí hay que apoyarse en la empresa de hosting para determinar la dimensión y el proceso del hackeo.

¿Cómo saber cuántas urls han sido afectadas?

La forma más o menos fiable de saberlo es a través de Search Console. Deberemos entrar en Cobertura,  y ver las páginas indexadas. Luego ver las páginas que están indexadas que no están en Sitemap. Aquí estarán todas las urls que se han creado nuevas.

Luego deberemos entrar en todas las que están indexadas que están en sitemap, y ver las que tienen caracteres “raros”.

Otra forma de saberlo es a través footprint en Google. Debamos poner site:dominiohackeado.com (sustituimos dominiohackeado.com por tu dominio). Aquí aparecerán las urls que Google tiene indexadas. (ojo, indexadas no es listadas. Una cosa es que estén en el índice de Google, y otra cosa es que Google te la muestre en los resultados). El único problema es que sólo se muestran 300 resultados como mucho.

Paso 2 – Cambiar las contraseñas.

Esto podemos alternarlo con el punto anterior. Cambiar las contraseñas todos los sitios:

  • Acceso a la web
  • BBDD mySQL
  • Cpanel, plex o el panel de control que estemos utilizando
  • Cuentas de Google (analytics, Search Console, correo gmail)
  • Herramientas
  • Todo lo que tengamos almacenado en Google Chrome o en Firefox o en el navegador habitual.

 

Paso  3– hacer una restauración de un Backup anterior de la web.

Una vez que tenemos claro todo lo anterior, deberemos recuperarnos de la infección. Lo más seguro es hacer una restauración a un punto anterior a la infección. Esto, en el mejor de los casos solucionará el problema del código en la web, pero no el problema en Google.

En el peor de los casos la restauración no solucionará el problema. Por dos razones:

  • La infección se haya realizado en un punto anterior.
  • El virus insertado continúe en cualquier restauración que se haga.
  • Se tenga todavía el malware en el ordenador y al poco de hacer el backup se produzca de nuevo el hackeo.

Por mi experiencia, en la mayoría de los casos se soluciona con la restauración.

Por ello es importante tener un hosting donde puedan hacer copias de seguridad automáticas periódicas, ya sea diarias o semanales.

En mi caso he elegido Raiola para alojar mi blog por este mismo asunto, no sólo por los backups, sino por todos los temas relacionados con la seguridad, el soporte, y la velocidad.

Otras opciones pueden ser Nicalia o Siteground.

Paso 4. Desinfección de Código.

En el caso que el Punto 3 no haya solucionado el problema tendremos que desinfectar la web de todos los códigos o los archivos que produzcan el problema. Esto puede resultar demasiado tedioso y muy complicado, por lo que si no se dispone de un software que pueda hacerlo (y cuestan una pasta) se deberá hacer de forma manual.

En el caso que el punto 3 haya resuelto el problema, todavía deberemos analizar la web para buscar cosas raras. Esto lo podremos hacer más tranquilos, estando seguros que gran parte del problema se ha solucionado.

 

Paso 5 – Quitar información rara de Google.

En Google aparecerá durante algún tiempo todas las urls que han sido generadas. Aquí es donde deberemos hacer mucho hincapié, ya que, si los pasos anteriores podemos hacerlo de forma muy rápida, hacer que desaparezca lo que se ha indexado en Google es bastante complicado.

Por eso voy a poner algunas pautas para hacer que las páginas hackeadas se desindexen de Google.

¿Cómo eliminar contenido hackeado de Google?

Si hemos cumplido a rajatabla los 4 pasos anteriores, al hacer la restauración de una copia de seguridad todas estas páginas que aparecen en Google y han sido inyectadas por el hacker serán errores 404. A partir de aquí varios consejos:

  • No tener las páginas con errores 404 redireccionadas a otras. Hay plugin que te redireccionan los errores 404 a otra página del sitio web. Esto lo que hace es decirle a Google que la página que la página del hackeo ya no existe y se redirecciona a otra página del sitio web. Pero Google tardará mucho tiempo en desindexar un redireccionamiento 301 y todavía lo seguirá guardando en la lista.
  • Poner páginas hackeadas con status 410. Esto la verdad que no sirve de mucho, ya que, por la experiencia que tengo, Google le va a hacer el mismo caso.
  • Eliminar de forma temporal en Google. Google tiene una herramienta para eliminar el contenido que aparece listado de forma temporal. El problema es que se elimina durante 90 días, y a los 90 días vuelve a salir si no tomas otra medida. Pero es una buena opción para no generar una mala imagen. Podemos hacerlo 1 a 1, o todos al mismo tiempo, sacando el listado. Me podéis preguntar por Twitter cómo sacar el listado de páginas hackeadas.
  • Hacer que las páginas que están hackeadas aparezcan con un error 50x. Los errores de servidor son drásticos para la desindexación. Si Google pasa un par de veces por la url y ve que hay un error de servidor, desindexará la url muy pronto. El problema es que esto pueda generar que Google establezca que tu web está toda de la misma forma, y puedas tener un problema con el SEO. Esto sólo se debe hacer cuando el número de urls es muy pequeña o cuando el dominio lo vas a quitar, pero quieres aprovechar la información.
  • No bloquear a Google. Esto es un clásico que suele suceder. Si se bloquea a Google a analizar las páginas hackeadas (que ya no existen) no podrá ver ningún tipo de status ni nada. Por tanto. Es crucial no bloquear a Google.

 

Intenté ayudar a varias empresas (gratis) y fue un desastre.

Aprovechando que hackearon la web de un cliente, investigué un poco más y me di cuenta que había un montón de páginas que estaban en las mismas condiciones. Había páginas de empresas y otras institucionales (ayuntamientos, universidades…) Así que decidí que cogería 10 empresas que habían sido hackeadas y les enviaría el siguiente correo:

 

 

Y cogí 10 centros institucionales y les llamé por teléfono. Los resultados fueron los siguientes:

De las 10 llamadas que hice, pude contactar sólo con 6 porque no me pasaban con el responsable. Hubo un Ayuntamiento (no diré el nombre) que cuando hablé con el responsable del departamento de informática, me dijo que pasara por registro para comunicar la incidencia, y que ellos no estaban para coger el teléfono a nadie, porque si todos los ciudadanos de esa ciudad (Capital de provincia), llamase para hablar no podrían trabajar… (si, yo también me quedé un poco así, como tu te has quedado al leerlo).

Y de los otros tres, se mostraron un tanto pasotas, como diciendo… se veía venir… bueno y qué?… y cosas así.

Pero lo peor llegó con los mails.

De los 10 mails que envié el primero en contestar tardó como 5 minutos. Me tuvo como 1 hora al teléfono, y después de 1 hora, llegó a decirme que estaba sospechando que el hackeo se lo había hecho yo - -Twittea - .

A los 3 meses recibí la segunda contestación. En este caso si que me agradecían que les hubiera contactado porque de esta forma se pudieron dar cuenta del problema que estaban teniendo y pudieron solucionarlo.

Creo que en España no se entiende hoy día que alguien pueda hacer algo de forma desinteresada por otros, y esto es muy triste porque habla muy mal de la personalidad que tenemos, de lo poco que nos fiamos unos de otros y sobre todo de la poca confianza en el ser humano.

A mi me sale ayudar, no me cuesta ningún trabajo. He tardado más tiempo en escribir el post que en escribir el mail de aviso. Pero dar por hecho la maldad en lugar de la ayuda, creo que es demasiado miserable para esta sociedad, en la que yo tengo, todavía mucha fe (si, soy un iluso, lo se).

¿Tú qué hubieras hecho? - -Twittea -

Déjamelo en los comentarios o compártemelo por twitter

Puntúa este artículo
[Total: 2 Average: 5]
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*