{"id":18189,"date":"2019-04-05T01:35:29","date_gmt":"2019-04-04T23:35:29","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=18189"},"modified":"2019-11-22T10:54:41","modified_gmt":"2019-11-22T08:54:41","slug":"dangerous-plugins","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/dangerous-plugins\/18189\/","title":{"rendered":"Los complementos web de terceros y sus riesgos"},"content":{"rendered":"

Las tiendas online<\/em>, los portales de informaci\u00f3n y otros recursos a menudo se basan en plataformas que abastecen a los desarrolladores con un conjunto de herramientas predefinidas. Por ejemplo, nuestro blog se ha elaborado siguiendo esas l\u00edneas. Las funciones se suelen poner a disposici\u00f3n de los usuarios mediante complementos que les permiten a a\u00f1adirlos seg\u00fan requieran. Por un lado, se trata de un sistema c\u00f3modo que no obliga a los desarrolladores a reinventar la rueda cada vez que necesitan una herramienta o funci\u00f3n en concreto. Y, por otro, cuantos m\u00e1s desarrollos de terceros haya en tu p\u00e1gina web, m\u00e1s posibilidades hay de que algo salga mal.<\/p>\n

El problema de los complementos<\/h3>\n

Un complemento es un m\u00f3dulo de software<\/em> peque\u00f1o que a\u00f1ade o mejora la funcionalidad de un sitio web. Algunos complementos muestran widgets<\/em> de redes sociales, otros recopilan estad\u00edsticas y elaboran estudios y otro tipo de contenido.<\/p>\n

Si conectas un complemento al motor de tu sitio web, este se ejecuta autom\u00e1ticamente y solo te molesta si ocurriera alg\u00fan error durante su operaci\u00f3n, es decir, si alguien notifica el error. Y precisamente ah\u00ed est\u00e1 el problema de estos m\u00f3dulos: si el creador abandona su complemento o lo vende a otro desarrollador, nadie te notificar\u00e1 nada.<\/p>\n

Las filtraciones de los complementos<\/h3>\n

Los complementos que no se hayan actualizado durante a\u00f1os tienen m\u00e1s probabilidades de contener vulnerabilidades sin parchear que podr\u00edan aprovechar los ciberdelincuentes para tomar el control de un sitio web o descargar con \u00e9l un\u00a0keylogger<\/em><\/a>, un minero de criptomonedas o lo que los cibercriminales quieran.<\/p>\n

Incluso cuando las actualizaciones est\u00e1n disponibles, muchos propietarios de sitios web las ignoran, por lo que los m\u00f3dulos vulnerables siguen activos durante a\u00f1os despu\u00e9s de que se les retire el soporte.<\/p>\n

A veces, los creadores de complementos parchean vulnerabilidades, pero, por la raz\u00f3n que sea, los parches no se instalan autom\u00e1ticamente. Por ejemplo, en algunos casos, los autores de m\u00f3dulos se olvidan de cambiar el n\u00famero de versi\u00f3n en la actualizaci\u00f3n y, como resultado, los clientes que confiaron en la actualizaci\u00f3n autom\u00e1tica se quedan con complementos desactualizados por no haber comprobado manualmente las actualizaciones.<\/p>\n

La sustituci\u00f3n de complementos<\/h3>\n

Algunas plataformas de gesti\u00f3n de contenidos de sitios web bloquean la descarga de m\u00f3dulos que ya no tienen soporte. No obstante, ni el desarrollador ni la plataforma pueden eliminar los complementos vulnerables<\/a> de los sitios web de los usuarios, ya que podr\u00edan alterarlo o algo mucho peor.<\/p>\n

Adem\u00e1s, es posible que los complementos abandonados no se almacenen en la misma plataforma, sino en servicios disponibles al p\u00fablico. Cuando el creador interrumpe el soporte o elimina un m\u00f3dulo, tu sitio web puede seguir accediendo al contenedor en el que estaba ubicado. Pero los cibercriminales pueden interceptar o clonar este contenedor abandonado y obligarlo a descargar malware<\/em> en lugar del complemento.<\/p>\n

Y esto es lo que sucedi\u00f3 con el contador de tuits New Share Counts<\/a>, alojado en el servicio de almacenamiento en la nube, Amazon S3. Cuando se interrumpi\u00f3 el soporte del complemento, el desarrollador public\u00f3 un mensaje al respecto en su sitio web, pero hubo m\u00e1s de 800 clientes que no lo leyeron.<\/p>\n

Al poco, el autor del complemento cerr\u00f3 el contenedor en Amazon S3 y los cibercriminales se aprovecharon de la situaci\u00f3n; crearon un almacenamiento con el mismo nombre e introdujeron un script<\/em> malicioso. Los sitios web que segu\u00edan utilizando el complemento comenzaron a cargar el nuevo c\u00f3digo que ya no redirig\u00eda a los usuarios al contador de tuits, sino a una fuente de phishing<\/em> que promet\u00eda un premio a cambio de realizar una encuesta.<\/p>\n

Los usuarios no son conscientes del cambio de propietario<\/h3>\n

A veces los desarrolladores venden sus creaciones en lugar de abandonarlas directamente. El problema es que no suelen ser selectivos con el comprador, por lo que podr\u00eda tratarse de un cibercriminal que emitiera malware<\/em> a tu sitio web con la pr\u00f3xima actualizaci\u00f3n.<\/p>\n

Detectar este tipo de complementos es muy complicado, a veces incluso una cuesti\u00f3n de casualidad.<\/p>\n

Analiza los complementos de tu sitio web<\/h3>\n

Como has podido comprobar, se puede infectar un sitio web de muchas formas a trav\u00e9s de los complementos instalados en \u00e9l y la plataforma no puede afrontarlas todas. Por ello, te recomendamos que supervises de forma independiente la seguridad de los complementos de tu sitio web.<\/p>\n