La Junta de Andalucía, víctima de un ciberataque: Un caso que pone en jaque la ciberseguridad institucional

Junta de Andalucía

15 de mayo de 2024 – La web de la Junta de Andalucía ha sido el objetivo de un ciberataque silencioso y altamente efectivo que ha explotado una vulnerabilidad conocida desde hace 15 años. Este incidente pone de relieve la fragilidad de la ciberseguridad en las instituciones públicas y la necesidad urgente de tomar medidas contundentes para proteger a los ciudadanos.

¿Cómo han hackeado la web de la Junta de Andalucía?

El ciberataque a la web de la Junta de Andalucía ha puesto de relieve la importancia de la ciberseguridad y la necesidad de comprender cómo funcionan este tipo de ataques. En este apartado, analizaremos en detalle cómo se ha llevado a cabo el hackeo y las vulnerabilidades que han sido explotadas.

La vulnerabilidad en FCKeditor

El ataque se basó en una vulnerabilidad crítica en el editor de texto FCKeditor, presente en versiones anteriores a la 2.6.41. Esta vulnerabilidad, publicada en 2009, permite a los ciberdelincuentes inyectar código malicioso en páginas web vulnerables.

¿Cómo funciona la vulnerabilidad?

La vulnerabilidad reside en la gestión de archivos adjuntos en FCKeditor. Un atacante puede subir un archivo malicioso con una extensión de archivo permitida (por ejemplo, .jpg) y, a continuación, engañar al editor para que lo interprete como un tipo de archivo diferente (por ejemplo, .html). De este modo, el código malicioso se ejecuta en el servidor y puede tomar el control de la página web.

¿Por qué era tan peligrosa esta vulnerabilidad?

La vulnerabilidad de FCKeditor era especialmente peligrosa por varias razones:

  • Facilidad de explotación: El ataque era relativamente sencillo de realizar, incluso para usuarios con conocimientos técnicos limitados.
  • Amplia distribución: FCKeditor es un editor de texto muy popular, utilizado en millones de sitios web en todo el mundo.
  • Antigüedad de la vulnerabilidad: La vulnerabilidad era conocida desde hace 15 años, lo que significa que los ciberdelincuentes tenían mucho tiempo para desarrollar exploits y utilizarlos en ataques.

El vector de ataque: Google y los resultados de búsqueda

Los atacantes aprovecharon una peculiaridad de los resultados de búsqueda de Google para amplificar el impacto del ataque. Al realizar la búsqueda «hackear Facebook» en Google, la web de la Junta de Andalucía aparecía en una de las primeras posiciones.

busqueda-hackear-facebook

¿Cómo lo lograron?

Los atacantes utilizaron técnicas de SEO (Search Engine Optimization) para posicionar la web de la Junta de Andalucía en los primeros resultados de búsqueda para la frase «hackear Facebook». Esto lo lograron mediante la creación de backlinks (enlaces desde otras páginas web) a la web de la Junta de Andalucía, utilizando palabras clave relevantes como «hackear» y «Facebook».

¿Por qué era efectivo este vector de ataque?

Este vector de ataque fue efectivo por varias razones:

  • Alta tasa de conversión: Muchos usuarios que buscan «hackear Facebook» son susceptibles a caer en este tipo de trampas, ya que están buscando una forma de obtener acceso no autorizado a una cuenta de Facebook.
  • Dificultad de detección: Es difícil para los usuarios normales distinguir entre una web legítima y una web fraudulenta, especialmente cuando ambas aparecen en los primeros resultados de búsqueda de Google.

El ataque en acción: Redirección y robo de datos

Una vez que un usuario visitaba la web de la Junta de Andalucía a través de la búsqueda de Google, era automáticamente redirigido a un dominio fraudulento. Este dominio fraudulento estaba diseñado para imitar la página de inicio de sesión de Facebook y robar las credenciales de los usuarios cuando las introducían.

¿Cómo se realizó la redirección?

La redirección se realizó mediante código JavaScript malicioso inyectado en la web de la Junta de Andalucía. Este código JavaScript detectaba cuando un usuario visitaba la web desde la búsqueda de Google para «hackear Facebook» y, a continuación, lo redirigía al dominio fraudulento.

¿Cómo se robaron las credenciales?

El dominio fraudulento imitaba la página de inicio de sesión de Facebook con gran detalle. Cuando un usuario introducía sus credenciales de Facebook en la página fraudulenta, estas eran enviadas a un servidor controlado por los atacantes.

Las consecuencias del ataque: Un duro golpe a la ciberseguridad

Las consecuencias del ciberataque a la web de la Junta de Andalucía han sido significativas:

  • Robo de datos personales: Miles de usuarios podrían haber visto comprometidas sus credenciales de Facebook, lo que podría derivar en robos de identidad, fraudes financieros o incluso el uso de datos para fines ilícitos.
  • Daño a la reputación: La Junta de Andalucía ha visto empañada su imagen por este incidente, lo que podría afectar a la confianza de los ciudadanos en las instituciones públicas.
  • Pérdidas económicas: El ataque podría haber causado daños económicos a la Junta de Andalucía, tanto por la reparación de los daños causados como por la pérdida de productividad.

Lecciones aprendidas y medidas a tomar

Este caso nos deja varias lecciones importantes:

  • La importancia de la actualización del software: Es fundamental mantener actualizado el software de todas las webs y sistemas informáticos para evitar la explotación de vulnerabilidades conocidas.
  • La necesidad de implementar medidas de seguridad: Se deben implementar medidas de seguridad adicionales, como firewalls, sistemas de detección de intrusiones y auditorías periódicas de seguridad, para proteger las webs y sistemas informáticos.
  • La importancia de la formación a los empleados: Es fundamental educar a los empleados sobre los riesgos cibernéticos y cómo identificar y evitar sitios web fraudulentos.
  • La necesidad de un plan de respuesta a incidentes: Es crucial contar con un plan de respuesta a incidentes que permita actuar de manera rápida y eficaz en caso de un ciberataque.

¿Tiene dudas con la ciberseguridad de tu empresa? ¡Cibersafety podemos ayudarte!

En Cibersafety, entendemos la importancia de mantener la seguridad de tu empresa en un entorno digital cada vez más complejo y amenazante. Explora nuestro conjunto de servicios y descubre cómo podemos ayudarte a proteger tu empresa contra las amenazas cibernéticas. ¡Contáctanos hoy mismo para comenzar!

CONTACTA CON NOSOTROS

¿Tienes dudas? Te las resolvemos

    Últimas entradas

    5 de octubre de 2024
    En un mundo cada vez más digital, muchas empresas han migrado sus aplicaciones a la nube para aprovechar sus beneficios en términos de escalabilidad, flexibilidad...
    4 de octubre de 2024
    La adopción de servicios en la nube ha transformado la manera en que las empresas operan. Microsoft 365 (M365) se ha posicionado como una de...
    3 de octubre de 2024
    El ransomware se ha convertido en una de las amenazas más graves para las empresas en el mundo digital actual. Según el Informe de investigación...

    SESIÓN DE CONSULTORÍA

    Solicita una sesión de consultoría GRATIS

      GUÍAS

      Consigue la guía definitiva de Ciberseguridad para proteger empresas GRATIS

        guías

        Consigue la guía definitiva de Ciberseguridad para empresas del sector turístico GRATIS

          SESIÓN DE CONSULTORÍA

          Consigue la guía definitiva para implementar la normativa NIS2 en empresas GRATIS