Eliminación de virus

Los sitios web se pueden ver afectados por virus, si bien no son los mismos virus que afectarían a un ordenador, son virus creados y pensados específicamente para ejecutarse en una web y aprovecharse de ese entorno.

¿Cómo entran los virus? #

Habitualmente entran aprovechándose de algún problema de seguridad ya conocido, este método es el más habitual porque es el que requiere menos esfuerzo por parte del atacante. En estos casos hay un componente del sitio web o del servidor en el que se ha descubierto que, haciendo una serie de operaciones concretas, se puede realizar una acción que no debería poder hacerse, ahí está el agujero de seguridad. Normalmente estos problemas de seguridad se solucionan rápidamente, pero es necesario que la web y el servidor estén mantenidos para aplicar esta solución. En estos casos los atacantes se aprovechan de sitios no mantenidos.

En otras ocasiones, aunque es menos habitual, entran aprovechando que han conseguido averiguar una contraseña que da acceso a partes desde las cuales se pueda introducir un virus. Hay varias formas por las que pueden averiguar una contraseña:

  • La contraseña era muy sencilla: Hay diccionarios con las contraseñas más usadas que usan los atacantes para ver si estás usando una contraseña que muchas otras personas también están usando. Es recomendable siempre usar contraseñas complejas.
  • El atacante ha podido leer tu contraseña: Hay virus para ordenador que obtienen la contraseña de todo aquello a lo que te conectas. Luego esas contraseñas se las venden los atacantes entre si «al peso» y algún atacante especializado en sitios web la usa para sus propósitos. Para evitar esto, es importante usar las claves solo en equipos seguros.
  • El atacante ha probado miles de contraseñas hasta dar con la tuya. Más conocido como un ataque de fuerza bruta. Para atajar esto nosotros instalamos en la web un sistema que impide probar con muchas contraseñas, bloqueando a aquellos que lo intentan.

¿Por qué lo hacen? #

Lo más probable es que el atacante no tenga nada personal contra ti, ni contra tu sitio web, de hecho en muchas ocasiones ni siquiera sabe que ha hackeado tu sitio, porque estos procesos están automatizados. El objetivo principal es aprovecharse de tus recursos para, de algún modo, ganar dinero:

  • Mostrando publicidad a tus visitantes.
  • Realizando estrategias SEO que beneficien a otros sitios (normalmente en detrimento del tuyo).
  • Enviando correo no deseado (spam) a distintas cuentas de email.
  • Minando criptomonedas y/o haciendo que tus visitantes minen criptomonedas a su favor.
  • Usar tu servidor para atacar a otros sitios web.
  • Obteniendo la información de los usuarios de tu sitio web con objetivos ilícitos (En caso de que suceda esto, hay que avisar a la Agencia Española de Protección de Datos)
  • Usando tu servidor como alojamiento para sus contenidos.

Y en ocasiones también simplemente se quedan escondidos para aprovechar un mejor momento en el futuro para atacar.

¿Qué se puede hacer contra estos atacantes? #

Estos hechos están tipificados como delito informático en España y en otras legislaciones Europeas, pero en la práctica normalmente no se llega al autor final de este hecho ya que dificultan cualquier tipo de rastreo y se refugian en países que no van a actuar contra ellos.

¿Cómo afectan estos virus? #

El modo en el que afectan estos virus es particular de cada caso:

  • Los hay que entran y hacen sus cosas en silencio sin que nadie se entere.
  • Los hay más descarados que de repente muestran publicidad y por tanto se hace obvio que ha sucedido algo.
  • Los hay que de repente rompen el sitio, y por tanto son más obvios.

En cuanto a cómo afectan técnicamente al sitio: Los hay que son muy fáciles de limpiar porque solo afectan a unos pocos archivos y los hay que actuando como un virus se expanden y enquistan en todos los archivos y datos posibles del sitio web para hacer su limpieza mucho más complicada.

Nuestro proceso #

En GIGA4 tenemos un protocolo definido para: eliminar el virus, recuperar el sitio, poner el sitio al día y securizarlo:

  1. Realizamos una copia del sitio aislada del sitio original.
  2. Analizamos el sitio para saber a qué nos estamos enfrentando y su alcance.
  3. Tratamos de recuperar una copia de seguridad no afectada.
    1. Si esto es posible, usamos la copia de seguridad como referencia para limpiar el sitio, de este modo la limpieza es más eficiente.
    2. En caso de que no exista copia de seguridad, realizamos una limpieza totalmente manual.
  4. En este punto ya no existiría virus, pero sabemos que existe un agujero de seguridad por el que ya entró una vez y por el que posiblemente pueda volver a entrar. Por tanto:
    1. Ponemos el sitio al día actualizando sus componentes.
    2. Segurizamos el sitio con varias estrategias preventivas que evitarían ataques comunes como ataques de fuerza bruta, el uso de contraseñas ya conocidas, o el uso de determinados scripts de control.
    3. Segurizamos el servidor cambiando sus contraseñas.
  5. Eliminamos todos los archivos del servidor y subimos nuestra copia aislada como nueva versión segura del sitio.

Haciendo esto el sitio queda limpio, no se puede recontagiar con el mismo virus ni usando el mismo agujero de seguridad y queda más protegido de cara al futuro con medidas preventivas.

Asistencia prioritaria #

Atendemos estos casos de forma prioritaria porque es importante para que la situación no vaya a peor.

Es habitual que, cuando existe un agujero de seguridad conocido, llegue a él más de un atacante, por tanto puede que no solo exista solo un virus en el sitio web, sino que convivan varios, y el tiempo que pasa es determinante en este sentido. Habitualmente cuanto más tiempo pasa, más virus.

Si bien hay algunos casos curiosos en los que hay atacantes que, cuando entran, cierran tras de sí ese agujero de seguridad, de ese modo evitan que otros atacantes entren por el mismo sitio con el objetivo de no tener que compartirlo.