Los riesgos potenciales de los complementos web de terceros

4 Abr 2019

Las tiendas online, los portales de información y otros recursos a menudo se basan en plataformas que proporcionan a los desarrolladores un conjunto de herramientas predefinidas. Por ejemplo, nuestro blog se ha elaborado siguiendo esas líneas. Las funciones se suelen poner a disposición de los usuarios mediante complementos que les permiten a añadirlos según requieran. Por un lado, se trata de un sistema cómodo que no obliga a los desarrolladores a reinventar la rueda cada vez que necesitan una herramienta o función en concreto. Y, por otro, cuantos más productos desarrollados por terceros haya en tu página web, más posibilidades hay de que algo salga mal.

El problema de los complementos

Un complemento o plugin es un módulo de software pequeño que añade o mejora la funcionalidad de un sitio web. Algunos complementos muestran widgets de redes sociales, otros recopilan estadísticas y elaboran estudios y otros tipos de contenidos.

Si conectas un complemento al motor de tu sitio web, este se ejecuta automáticamente y solo te molesta si ocurriera algún error durante su operación, es decir, si alguien notifica el error. Y precisamente ahí está el problema de estos módulos: si el creador abandona su complemento o lo vende a otro desarrollador, lo más probable es que no notes nada extraño.

Las filtraciones de los complementos

Los complementos que no se hayan actualizado durante años tienen más probabilidades de contener vulnerabilidades sin parche que los cibercriminales podrían aprovechar para tomar el control de un sitio web o descargarlas en un keylogger (un registrador de pulsaciones de teclas), un minero de criptomonedas o cualquier cosa que se les ocurra.

Incluso cuando las actualizaciones están disponibles, muchos propietarios de sitios web las ignoran, por lo que los módulos vulnerables siguen activos durante años después de que se les retire el soporte.

A veces, los creadores de complementos parchean vulnerabilidades, pero, por la razón que sea, los parches no se instalan automáticamente. Por ejemplo, en algunos casos, los autores de módulos se olvidan de cambiar el número de versión en la actualización y, como resultado, los clientes que confiaron en la actualización automática se quedan con complementos anticuados por no haber comprobado manualmente las actualizaciones.

La sustitución de complementos

Algunas plataformas de gestión de contenidos de sitios web bloquean la descarga de módulos que ya no tienen soporte. No obstante, ni el desarrollador ni la plataforma pueden eliminar los complementos vulnerables de los sitios web de los usuarios, ya que podrían alterarlo o algo mucho peor.

Además, es posible que los complementos abandonados no se almacenen en la misma plataforma, sino en servicios disponibles al público. Cuando el creador interrumpe el soporte o elimina un módulo, tu sitio web puede seguir accediendo al contenedor en el que estaba ubicado. Pero los cibercriminales pueden interceptar o clonar este contenedor abandonado y obligarlo a descargar malware en lugar del complemento.

Y esto es lo que sucedió con el contador de tuits New Share Counts, alojado en el servicio de almacenamiento en la nube, Amazon S3. Cuando se interrumpió el soporte del complemento, el desarrollador publicó un mensaje al respecto en su sitio web, pero hubo más de 800 clientes que no lo leyeron.

Poco después, el autor del complemento cerró el contenedor en Amazon S3 y los cibercriminales se aprovecharon de la situación; crearon un almacenamiento con el mismo nombre e introdujeron un script malicioso. Los sitios web que seguían utilizando el complemento comenzaron a cargar el nuevo código que ya no redirigía a los usuarios al contador de tuits, sino a una fuente de phishing que prometía un premio a cambio de realizar una encuesta.

Los usuarios no son conscientes del cambio de propietario

A veces los desarrolladores venden sus creaciones en lugar de abandonarlas directamente. El problema es que no suelen ser selectivos con el comprador, por lo que un cibercriminal podría adquirir fácilmente un módulo. En tal caso, podrías adquirir malware para tu sitio web en tu próxima actualización.

Detectar este tipo de complementos es muy complicado; de hecho, a veces es pura casualidad.

Da seguimiento a los complementos de tu sitio web

Como has podido comprobar, se puede infectar un sitio web de muchas formas a través de los complementos instalados en él y la plataforma no puede afrontarlas todas. Por ello, te recomendamos que supervises de forma independiente la seguridad de los complementos de tu sitio web.

  • Recopila una lista de complementos utilizados en tus fuentes, junto con la información de almacenamiento, y compruébala y actualízala periódicamente.
  • Lee las notificaciones de los desarrolladores de software de terceros que utilices y de los sitios web a través de los cuales se distribuyen.
  • Lleva al día la actualización de tus complementos y, si ya no tienen soporte, reemplázalos en cuanto puedas.
  • Si por algún motivo uno de los sitios web de tu empresa ya no es necesario e interrumpes su soporte, no te olvides de eliminar sus contenidos, incluidos todos los complementos. De lo contrario, es solo cuestión de tiempo que aparezcan vulnerabilidades de las que podrían aprovecharse los cibercriminales para comprometer tu empresa.
  • Los empleados que trabajan con sitios web de acceso público deben recibir formaciones para afrontar las ciberamenazas actuales, por ejemplo, con la ayuda de nuestra plataforma ASAP.