Historias reales: ¡Han secuestrado mi tienda online y me piden un rescate!

Publicado el 10/10/2016, por INCIBE
Historias reales: ¡Han secuestrado mi tienda online y me piden un rescate!

«¡Han secuestrado mi tienda online!», « ¡No puedo acceder a ella y me piden un rescate para poder recuperarla!».

Javier es el dueño y administrador de una tienda virtual de serigrafía de regalos publicitarios, ubicada en un pequeño pueblo de Teruel.

Utiliza un sistema gestor de contenidos o CMS (Content Management System) para administrar la página web y la tienda virtual de su negocio. Desde este gestor, mantiene actualizada toda la información de sus productos y visualiza el estado de sus ventas.

Un buen día, al ir a actualizar su catálogo de productos en su tienda virtual, se dio cuenta que no podía acceder a ella. Su contraseña de acceso no funcionaba, y cada vez que intentaba entrar le mostraba este mensaje:

Mensaje de bloqueo de web por ransomware

Intentó acceder de varias formas, desde varios navegadores y desde varios ordenadores, pero el resultado era siempre el mismo. No podía acceder. Su página web estaba bloqueada, y le pedían un rescate para desbloquearla.

Había oído hablar del malware de moda que estaba haciendo estragos entre las empresas, el ransomware, que secuestra los ordenadores, cifrando la información y pidiendo un rescate a cambio de la clave para descifrarlos. No se imaginaba como le podía haber pasado a él, y no sabia como solucionarlo.

Hacía poco, habia asistido a unos talleres de ciberseguridad para micropymes y autónomos, organizados por Incibe, donde le hablaron del servicio de respuesta a incidentes, donde le podrían asesorar para solucionar el problema.

¿Qué fue realmente lo que pasó?

Javier se puso en contacto con el servicio de respuesta a incidentes de Incibe, que le asesoraron e investigaron la causa del problema.

Tras varias pruebas y comprobaciones, vieron los pasos que dio el delincuente en su ataque. Primero comprobaron que Javier tenía una versión del CMS antigua, sin parchear, con un agujero de seguridad «conocido» que pudo aprovechar. Así se dieron cuenta del tipo de ataque que habían perpetrado y de los daños que podía haber causado. Afortunadamente, no se trataba de un caso de secuestro de página por ransomware. No habían cifrado la información.

En realidad, se trataba de un engaño para extorsionar al propietario de la web haciéndole creer que estaba infectado por ransomware. El delincuente aprovechó un antiguo y conocido fallo de seguridad  de los gestores de contenidos web. Si no están actualizados a la última versión, mediante una secuencia de comandos un delincuente puede fácilmente acceder y cambiar la contraseña de administración del portal.

Con la contraseña de administración del portal, pudieron acceder libremente a él y bloquear la visualización de los contenidos de su tienda, permitiendo que se mostrara únicamente el mensaje del chantaje. De esta forma, le hicieron creer que había sido víctima del malware ransomware. ¡Menos mal que no picó!

¿Cómo llevaron a cabo el engaño?

Los estafadores, aprovecharon una vulnerabilidad de Drupal del año 2014, que afecta a sistemas con versiones anteriores a la 7.32 de este CMS. Esta es una vulnerabilidad conocida y catalogada (con CVE-2014-3704) que podría haber sido fácilmente evitable de haber mantenido su gestor de contenidos debidamente actualizado.

¿Qué hacer si nos sucede esto?

Para recuperar el control de su CMS, Javier se vio obligado a reinstalar el software de su gestor de contenidos con la última versión disponible. Tras esto, restauró los contenidos de su tienda a partir de la última copia de seguridad que había hecho la semana anterior. Gracias a que realizaba copias de seguridad regulares de los contenidos de su tienda, solamente perdió la información de la última semana.

¿Qué hacer para que no nos suceda?

En cualquier caso, para este tipo de timos, debemos seguir las siguientes recomendaciones:

  • Mantener actualizado tanto el CMS como el sistema donde se aloja este.
  • Realizar copias de seguridad periódicas de nuestro CMS y de su contenido para poder recuperar todos los contenidos en caso de un ataque o secuestro como este.
  • No pagar la «multa» o «rescate», pues no nos garantiza la devolución de nuestros ficheros una vez pagado el rescate.
  • Ante cualquier tipo de delito, es conveniente denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado, como la Brigada de Investigación Tecnológica de la Policía Nacional, o el Grupo de Delitos Telemáticos de la Guardia Civil.

Si necesita soporte o asistencia, INCIBE dispone de su servicio de Respuesta y Soporte.

Conclusión

En este caso, una vez identificado el problema, se solucionó fácilmente y con pérdidas asumibles, gracias a que Javier estaba algo concienciado y realizaba copias de seguridad periódicas de su información.

En muchos otros casos parecidos, no se realizan estas copias de seguridad, por lo que las pérdidas pueden ser catastróficas y pueden, incluso, poner en serio peligro la continuidad del negocio.

Este tipo de incidentes de ciberseguridad es cada vez más habitual, y el comercio electrónico no es una excepción, por lo que debemos estar alerta y extremar las precauciones. Protege tu empresa.