Ataque informático a La Corte del Inglés.

“La Corte del Inglés” ha estado muy tocada debido a un ataque informático.
Gracias a que su desarrollo lo hice en dos partes, esto me ha permitido poner a salvo una de ellas.

Primera parte:
La que se ha salvado del ataque.
Desarrollo a medida.

Con este tipo de desarrollo, los crackers ( personas que rompen o vulneran algún sistema de seguridad por una multitud de razones, incluyendo fines de lucro ) lo tienen más difícil a la hora de introducir código malicioso en los archivos de la web.Estos están realizados a medida con pocas líneas de código.
Segunda parte:
La que ha sufrido el ataque.

WordPress: 160.636 líneas de código PHP y otros.
Sistema ideal para los crackers.

Ataques de php injection o de otro tipo para incluir código.
Redirecciones .htaccess
Iframes ocultos
Los pluguins suelen servirles de puertas traseras para la implementación de códigos oscuros.
No actualizar wordpress abre las posibilidades para recibir un ataque.
Etc..

¿Cómo se ha producido el ataque?.

El ataque ha coincidido con la puesta en marcha de una nueva web. En ese nuevo blog pretendía poner de relieve las técnicas psicológicas empleadas por determinados directivos hacia algunas empleadas.
Pasado una semana desde el lanzamiento de la nueva web, mi antivirus detecta una amenaza que llega desde “La Corte del Inglés” y la “nueva web”.

Una vez que verifico la incidencia, empiezo a estudiar la situación, y veo que ambas webs redireccionan a una página web rusa denominada www.coin-have.com.

El ataque tiene toda la pinta de haber sido ejecutado por profesionales.

Mi intuición me indica que los que han saboteado mi espacio digital, han inyectado código malicioso en diferentes archivos de los dos blogs de wordpress.

Estos Crakers ( personas que usan sus conocimientos para hacer el mal) han buscado las debilidades del sistema para hacerse con el acceso a los archivos y a las bases de datos de ambas páginas webs.
El blog, está realizado bajo un gestor de contenidos. WordPress es una comunidad de desarrolladores que trabajan de forma conjunta para hacer de la web un espacio más accesible al común de los mortales.

El ataque pudo haberse realizado a través de alguna vulnerabilidad de la propia plataforma wordpress. También habrán podido tener acceso a las claves de entrada del panel de acceso ( blog, hosting), claves de correos, clases ftp, etc…

El resultado es que han podido introducir código malicioso dentro de la programación de la propia web.

Ante esta delicada situación, no me quedó más remedio que recurrir a las copias de seguridad. Mi hosting ( servidor donde se alojan los archivos de la web ) guarda copias de los archivos con una semana de antelación.

Intento recuperar los archivos con fecha más antigua.Una vez restaurados ,borro las cookies del navegador y compruebo si se ha quitado ese código malicioso.Para mayor sorpresa, veo que vuelve a salir el aviso del código malicioso. Las últimas copias de seguridad restauradas no consiguen eliminar el código, ya que estas lo llevan implícito.

Le dedico una “bonita invocación” a ese experto digital y me dispongo a ver otras alternativas. Llamo por teléfono al servicio de hosting y voy dando vueltas de técnico en técnico sin conseguir la solución.

Sigo invocando a ese o esos expertos informáticos que me han reventado los dos blogs.

Hablando con los técnicos del hosting, uno muy amable me comunica que este ataque seguramente se ha llevado a cabo de manera metódica y planificada.Los crackers ,seguramente eran conscientes de las fechas de las copias de seguridad ( con un máximo de 7 días) que el servicio de hosting ofrece a los usuarios.

Estos magos negros ( crackers ) habían planificado el ataque pasados esos 7 días, lo que indicaba que las copias de seguridad estaban infectadas con ese código. Al restaurarlas volvía a aparecer el mensaje en el antivirus.

La solución se tornaba complicada, y más cuando el ataque apuntaba supuestamente desde una web rusa.

Con este ataque se habían cargado de un plumazo las bases de datos de los dos blogs.

Pero, con lo que no contaría ese “pedazo de cracker”, es que el creador de «La Corte del inglés llegase a tener una copia de seguridad de hace más de un mes y medio en un pendrive.

En el supuesto caso de que ese código pudiese estar implementado desde hace más de un mes y medio, no tendría otra opción que cerrar el blog y seguir en modo a medida.

Después de varios intentos fallidos, conseguí cargarla. No obstante, como podréis observar, faltan todas las imágenes de los post. Esto es debido a que tenía la base de datos, pero no los archivos.

¿Qué lección hemos aprendido de todo esto?.

1º Que esos crackers tienen el alma tan oscura como sus amos.
2º Que wordpress es una tecnología útil para la introducción de código malicioso.
3 Que de ahora en adelante los artículos más sensibles serán realizados a medida.
4 No confundir Hackers con Crackers.Los hackers son personas de luz, que utilizan sus conocimientos para ayudar a los demás. Ellos consideran que poner la información al alcance de todos constituye un extraordinario bien. Los Crackers son personas oscuras del estilo a los que han realizado este sabotaje.

Este acto es el vivo reflejo del Mago Negro ( cracker).

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data
demdex	5 months 27 days	The demdex cookie, set under the domain demdex.net, is used by Adobe Audience Manager to help identify a unique visitor across domains.
s_ecid	2 years	Adobe installs this cookie to allow persistent ID tracking in the 1st party state and is used as a reference ID if the AMCV cookie has expired.

Cookie	Duración	Descripción
A1S	session	This cookie is associated with Yahoo Search Analytics and is used for advertising purposes.
B	1 year	This Cookie is used by Yahoo to anonymously store data related to user's visits, such as the number of visits, average time spent on the website and what pages have been loaded. This data helps to customize website content to enhance user experience.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.