15 de mayo de 2024 – La web de la Junta de Andalucía ha sido el objetivo de un ciberataque silencioso y altamente efectivo que ha explotado una vulnerabilidad conocida desde hace 15 años. Este incidente pone de relieve la fragilidad de la ciberseguridad en las instituciones públicas y la necesidad urgente de tomar medidas contundentes para proteger a los ciudadanos.

¿Cómo han hackeado la web de la Junta de Andalucía?

El ciberataque a la web de la Junta de Andalucía ha puesto de relieve la importancia de la ciberseguridad y la necesidad de comprender cómo funcionan este tipo de ataques. En este apartado, analizaremos en detalle cómo se ha llevado a cabo el hackeo y las vulnerabilidades que han sido explotadas.

La vulnerabilidad en FCKeditor

El ataque se basó en una vulnerabilidad crítica en el editor de texto FCKeditor, presente en versiones anteriores a la 2.6.41. Esta vulnerabilidad, publicada en 2009, permite a los ciberdelincuentes inyectar código malicioso en páginas web vulnerables.

¿Cómo funciona la vulnerabilidad?

La vulnerabilidad reside en la gestión de archivos adjuntos en FCKeditor. Un atacante puede subir un archivo malicioso con una extensión de archivo permitida (por ejemplo, .jpg) y, a continuación, engañar al editor para que lo interprete como un tipo de archivo diferente (por ejemplo, .html). De este modo, el código malicioso se ejecuta en el servidor y puede tomar el control de la página web.

¿Por qué era tan peligrosa esta vulnerabilidad?

La vulnerabilidad de FCKeditor era especialmente peligrosa por varias razones:

• Facilidad de explotación: El ataque era relativamente sencillo de realizar, incluso para usuarios con conocimientos técnicos limitados.
• Amplia distribución: FCKeditor es un editor de texto muy popular, utilizado en millones de sitios web en todo el mundo.
• Antigüedad de la vulnerabilidad: La vulnerabilidad era conocida desde hace 15 años, lo que significa que los ciberdelincuentes tenían mucho tiempo para desarrollar exploits y utilizarlos en ataques.

El vector de ataque: Google y los resultados de búsqueda

Los atacantes aprovecharon una peculiaridad de los resultados de búsqueda de Google para amplificar el impacto del ataque. Al realizar la búsqueda «hackear Facebook» en Google, la web de la Junta de Andalucía aparecía en una de las primeras posiciones.

¿Cómo lo lograron?

Los atacantes utilizaron técnicas de SEO (Search Engine Optimization) para posicionar la web de la Junta de Andalucía en los primeros resultados de búsqueda para la frase «hackear Facebook». Esto lo lograron mediante la creación de backlinks (enlaces desde otras páginas web) a la web de la Junta de Andalucía, utilizando palabras clave relevantes como «hackear» y «Facebook».

¿Por qué era efectivo este vector de ataque?

Este vector de ataque fue efectivo por varias razones:

• Alta tasa de conversión: Muchos usuarios que buscan «hackear Facebook» son susceptibles a caer en este tipo de trampas, ya que están buscando una forma de obtener acceso no autorizado a una cuenta de Facebook.
• Dificultad de detección: Es difícil para los usuarios normales distinguir entre una web legítima y una web fraudulenta, especialmente cuando ambas aparecen en los primeros resultados de búsqueda de Google.

El ataque en acción: Redirección y robo de datos

Una vez que un usuario visitaba la web de la Junta de Andalucía a través de la búsqueda de Google, era automáticamente redirigido a un dominio fraudulento. Este dominio fraudulento estaba diseñado para imitar la página de inicio de sesión de Facebook y robar las credenciales de los usuarios cuando las introducían.

¿Cómo se realizó la redirección?

La redirección se realizó mediante código JavaScript malicioso inyectado en la web de la Junta de Andalucía. Este código JavaScript detectaba cuando un usuario visitaba la web desde la búsqueda de Google para «hackear Facebook» y, a continuación, lo redirigía al dominio fraudulento.

¿Cómo se robaron las credenciales?

El dominio fraudulento imitaba la página de inicio de sesión de Facebook con gran detalle. Cuando un usuario introducía sus credenciales de Facebook en la página fraudulenta, estas eran enviadas a un servidor controlado por los atacantes.

Las consecuencias del ataque: Un duro golpe a la ciberseguridad

Las consecuencias del ciberataque a la web de la Junta de Andalucía han sido significativas:

• Robo de datos personales: Miles de usuarios podrían haber visto comprometidas sus credenciales de Facebook, lo que podría derivar en robos de identidad, fraudes financieros o incluso el uso de datos para fines ilícitos.
• Daño a la reputación: La Junta de Andalucía ha visto empañada su imagen por este incidente, lo que podría afectar a la confianza de los ciudadanos en las instituciones públicas.
• Pérdidas económicas: El ataque podría haber causado daños económicos a la Junta de Andalucía, tanto por la reparación de los daños causados como por la pérdida de productividad.

Lecciones aprendidas y medidas a tomar

Este caso nos deja varias lecciones importantes:

• La importancia de la actualización del software: Es fundamental mantener actualizado el software de todas las webs y sistemas informáticos para evitar la explotación de vulnerabilidades conocidas.
• La necesidad de implementar medidas de seguridad: Se deben implementar medidas de seguridad adicionales, como firewalls, sistemas de detección de intrusiones y auditorías periódicas de seguridad, para proteger las webs y sistemas informáticos.
• La importancia de la formación a los empleados: Es fundamental educar a los empleados sobre los riesgos cibernéticos y cómo identificar y evitar sitios web fraudulentos.
• La necesidad de un plan de respuesta a incidentes: Es crucial contar con un plan de respuesta a incidentes que permita actuar de manera rápida y eficaz en caso de un ciberataque.
• Copias de seguridad: Ante la posible perdida de acceso a la información es fundamental contar con copias de seguridad que nos permitan recuperar la información.