Historias reales: «¿Mi web está en una lista negra?»

Un día Pedro recibió un mensaje de uno de sus clientes preguntándole por un extraño comportamiento en su catálogo de productos. Al cliente le aparecía un aviso de que esa web albergaba un posible Phishing. Pero… ¿qué es eso de un Phishing? ¿Cómo nos puede afectar? En esta historia real os lo explicamos y os contamos lo que hizo Pedro para solucionar el problema.

A la empresa de Pedro le ocurrió algo similar que a la de Andrés. Un día recibió un mensaje de móvil de un cliente de toda la vida:

A: Hola Pedro. Oye... ¿Qué os pasa en la web? B: Hola ¿De qué me hablas? A: Desde ayer al acceder al catálogo sale en el navegador un aviso de no sé qué de un phishing... B: Un que?? Espera que lo miro... Yo no veo nada raro. A: Mmm, te mano una captura y ya me dices

La imagen que recibió al poco rato Pedro le dejó perplejo:

Advertencia: posible amenaza de phishing

…así que decidió preguntarle a la empresa de servicios de alojamiento web que les mantenía la web.

- SoyElHosting S.A ¿dígame?

- Hola Soy Pedro García, tengo alojada mi web empresadepedro.es con vosotros y tengo clientes que les salta en el navegador que mi web tiene una amenaza de phishing o algo así.

- Vale, abrimos una incidencia, lo investigamos y le llamamos.

Al poco rato, Pedro recibió la respuesta de su proveedor de hosting:

- Hola Pedro, soy Luis, su asesor de SoyElHosting S.A. Hemos investigado su caso y hemos encontrado que, efectivamente, en su web habían alojado una web fraudulenta que se hacía pasar por el Banco de la banca. Es lo que se llama un phishing, es decir intentan «pescar» usuarios y contraseñas de sus clientes sin que se den cuenta de que se trata de una suplantación de su banco de verdad.

- Pues vaya…

- Quiero informarte de que hemos recuperado una copia de la web del pasado martes y en principio ahora en tu web ya no se encuentra alojado ningún phishing. Además hemos actualizado tu gestor de contenidos porque era vulnerable y habían entrado en tu web a través de este fallo.

- Genial. ¡Muchas gracias! ¿Y a mis clientes ya no les saldrá el aviso ese cuando visiten nuestra web?

- La razón por la que a tus clientes les sale este aviso es porque tu dominio ha sido incluido en una lista negra de phishing. Para eliminar tu dominio de estas "listas negras" tienes que ir a un formulario que ofrece la web de Google https://www.google.com/safebrowsing/report_error/ y comunicar que se trata de una advertencia errónea ya que está solucionado. Te aviso de que tus clientes pueden seguir recibiendo el aviso durante horas después de esta comunicación.

- Ok, gracias por la información, yo me encargo de rellenar el formulario para esta incidencia.

- Por otra parte, quiero que sepas que hemos almacenado todos los registros de acceso desde vuestra empresa, así como una copia de seguridad de la web fraudulenta por si acaso hubiera algún tipo de denuncia.

- Perfecto, esperemos que no haya sido así. Muchas gracias por todo, creo que voy a vigilar un poco mejor mi web y cerciorarme de que ya no me la puedan volver a jugar ni ahora ni en el futuro. Espero que no haya tenido mucho impacto en la imagen de la empresa, pero vamos… «Santo Tomás, una y no más»

¿Por qué mi dominio está en una lista negra de phishing?

Su dominio está en una lista negra de phishing porque el portal web ha sido comprometido. Es decir, ha estado controlado por un ciberdelincuente, para la realización de fraude bancario (o de otro tipo) mediante phishing.

Si nuestro servidor comprometido estaba alojando una web fraudulenta, es probable que alguien lo haya denunciado a entidades como la Anti-Phishing Working Group (APWG), a su banco (si se trata de un fraude bancario), INCIBE o ante las fuerzas y cuerpos de seguridad del estado.

En todos los casos el proceso es lento y comenzará con la inserción del dominio en una lista negra de phishing y la notificación al responsable del dominio. A partir de ahí, navegadores como Google Chrome o Mozilla Firefox comprueban por defecto la URL a la que se accede contra la lista negra de Google Safe Browsing. En Internet Explorer hay que activar el filtro de phishing que por defecto viene apagado. Estos navegadores, durante nuestra navegación diaria habitual, al comprobar que la dirección a la que queremos acceder se encuentra dentro de una lista negra nos mostrarán un aviso indicándolo. Es posible que los proveedores de listas negras nos avisen de la inclusión en sus listas, algo que también puede hacer nuestro proveedor de internet.

¿Qué hacer si mi dominio está en una lista negra de phishing?

En caso de vernos afectados por un incidente de este tipo, debes contactar con tu proveedor de servicios informáticos o con tu proveedor de internet. El Instituto Nacional de Ciberseguridad (INCIBE), también ofrece, a través del centro de respuesta a incidentes de seguridad (CERT) de Seguridad e Industria (CERTSI), un servicio de asistencia y soporte desde el cual puedes solicitar asistencia ante un incidente de seguridad.

En cualquier caso, algunas de las recomendaciones generales para intentar resolver el incidente y que debes de tener en cuenta tanto si lo tienes que corregir tú, tu equipo técnico o tu proveedor tecnológico habitual, pasan por:

Lo primero de todo, si nuestra web tiene realmente un phishing, es necesario realizar una copia de seguridad de nuestra web con el phishing, así como los registros del servidor donde se vean los accesos de los hackers y de las víctimas. La razón es para protegernos de posibles denuncias y tener evidencias de que nuestra empresa ha sido una víctima más.
Comprobar que los antivirus de los equipos y servidores de la empresa se encuentran activos y actualizados, y realizar un análisis de todas las máquinas que hayan podido verse afectadas.
Restaurar la página web desde una copia de seguridad.
Notificar al proveedor de internet y/o directamente al servicio de listas negras (por ejemplo https://www.google.com/safebrowsing/report_error/ ) para indicarles:
- Que el problema ha sido resuelto.
- Solicitar la eliminación de la IP del servidor de las listas negras de phishing.

¿Qué hacer para no sufrir un phishing en tu web?

En este tipo de incidentes, la prevención es fundamental:

Mantener nuestros equipos (porque en ocasiones son la puerta de entrada hacia la administración del portal web) y servidores web actualizados (lo que incluyen el gestor de contenido y módulos que hayamos instalado)
tener unas contraseñas robustas
concienciar a los empleados. Aquí te explicamos cómo.

Estas son las principales medidas para que los ciberdelincuentes no utilicen nuestros servidores web para alojar contenidos maliciosos.

Además, de forma general estas son las principales recomendaciones para que las realices junto con el equipo técnico que gestione tu servidor de web:

Comprobar si todo el software de tu empresa se encuentra actualizado. Existen herramientas que te pueden ayudar en este cometido.
Comprobar que todo el software que corre en los servidores tanto web como de correo electrónico este actualizado.
Configurar adecuadamente el servidor web.
Comprobar que el antivirus se encuentre activo y actualizado.
Definir y aplicar políticas para utilizar contraseñas robustas, sin basarse en palabras existentes y que contenga con números, mayúsculas, minúsculas y símbolos con una longitud de al menos 8 caracteres.
Monitorizar el tráfico saliente (HTTP/HTTPS) del servidor web.

Que nuestro dominio o IP esté incluido en listas negras de phishing puede suponer no solo perdidas económicas para la empresa sino también pérdida de imagen, por ello aplicar estos consejos se hace esencial.

Este tipo de incidentes son habituales, por lo que toda precaución es poca. Desde INCIBE te ofrecemos diferentes materiales información que pueden ser de utilidad para ayudarte a mejorar la seguridad de tu empresa. Además, si has sufrido un incidente similar, estamos aquí para ayudarte.

Etiquetas: