La web del Hospital de Clínicas, del INISA y de otras organizaciones uruguayas fueron víctimas de un ciberataque la semana pasada que en algunos casos los sigue afectando.
Es lo que se llama en la jerga informática un defacement: una adulteración de la página web. Si el atacante hubiese querido podría haber hecho que en esa web aparezcan links creíbles para generar otro tipo de daño a la institución
El ataque que dejó caídas varias webs uruguayas no fue dirigido contra ninguna de ellas en particular o con una intencionalidad de hacerles daño individualmente. Fue un programa automático, diseñado por un ciberdelincuente, que salió a buscar sitios web vulnerables, y las páginas del Hospital de Clínicas, el INISA y Sociedad Uruguaya de Gerontología estaban entre los que encontró.
El ingeniero informático Danilo Espino, especializado en seguridad informática, contó que ese bot tenía la capacidad de aprovechar vulnerabilidades de Joomla, un sistema de gestión de contenidos (CMS) de código abierto, ampliamente utilizado para crear y administrar sitios web, blogs y aplicaciones en línea, permitiendo a los usuarios actualizar y gestionar el contenido de sus páginas de manera sencilla.
El asunto es que Joomla arrastra un problema de fondo. "Es un CMS que está soportado por la comunidad, pero es un CMS que está cayendo en desgracia porque lo está usando cada vez menos gente", dijo Espino.
Cómo entraron a los sitios y cómo recuperarlos
El ataque aprovechó una falla que no requería usuario ni contraseña: en vez de “entrar” como administrador, el bot encontró una puerta “trasera” abierta y la usó para modificar la configuración interna de la web.
Todo navegador tiene una consola: una ventanita escondida donde se pueden escribir órdenes mientras estás parado en cualquier página. Está pensada para programadores, pero cualquiera puede abrirla.
Desde ahí, el atacante escribe una orden que agrega un dato en la lista de usuarios autorizados del sitio. Se anota a sí mismo. Nadie le abrió la puerta: se puso en la lista de los que tienen la llave.
Espino sostiene que la salida es sencilla. "La solución es bien fácil. Es agarrar el último respaldo que haya previo al defacement, reinstalar Joomla con Helix actualizado a la última versión, aplicar el respaldo de la base de datos y problema resuelto", señaló.
De hecho, muchos de esos respaldos están siendo compartidos en foros de la comunidad de Joomla, en YouTube y en Reddit de informáticos que sufrieron el mismo incidente.