En cuestión de seguridad, no importa lo protegido que esté un servicio, si usa partes inseguras desarrolladas por un tercero; los hackers prefieren atacar a través de ese “eslabón débil”, en vez de chocarse una y otra vez contra nuestra seguridad. Unas 4.600 páginas web han descubierto esto por las malas, después de descubrirse que la información de sus usuarios ha sido filtrada en Internet; y no por su culpa.

El ataque ha sido descubierto por el experto en seguridad Willem de Groot de Sanguine Security, y no afecta realmente a las páginas en sí, sino a dos complementos, Picreel y Alpaca Forms, usados por los creadores de estas páginas. Originalmente, este tipo de complementos se usan para no tener que desarrollar todo el software desde cero; lo único que tenemos que hacer es pegar un código en nuestra página web, y los complementos hacen el resto.

Filtración de datos de usuarios de miles de webs

Picreel es un servicio que permite a cualquier administrador obtener registros de comportamiento de sus usuarios; en otras palabras, qué es lo que hacen cuando visitan nuestra web. Esta es información muy valiosa para rediseñar y mejorar el servicio. Por otra parte, Alpaca Forms nos permite crear formularios web de manera sencilla; es un proyecto de código libre y cualquiera puede usarlo para sus proyectos.

picreel

Hackers descubrieron que ambos complementos eran inseguros, y que permitían la inserción de código malicioso; y eso es justo lo que hicieron, implementando su propio código para obtener información de los usuarios que visitaban las páginas que usan esos complementos. Por lo tanto, hay que aclarar que estas páginas no han sido hackeadas. Los atacantes no han conseguido acceso al código de las páginas ni a sus bases de datos; en vez de eso, han aprovechado los complementos para espiar a los usuarios y obtener la información que introducían en las páginas.

Una cantidad absurda de información obtenida

Eso supone que los atacantes han conseguido información como la relacionada con los pagos, o el nombre de usuario y las contraseñas. Todo lo que hayamos escrito en formularios se ha podido registrar; estos datos se grababan automáticamente en un servidor situado en Panamá. Para los atacantes, sólo es cuestión de repasar toda esa información para encontrar contraseñas o números de tarjetas de crédito.

malware

Todo indica que, aunque afecta a dos complementos diferentes, los mismos hackers están detrás de estos ataques. Se calcula que más de 4.600 páginas web se han visto comprometidas de esta manera; unas 1.249 por Picreel, y unas 3.435 por Alpaca Forms. En la lista de páginas afectadas, además de la web de Correos nos encontramos otras páginas populares, como la de Discover Magazine, Astronomy.com o drugabuse.com. Sin embargo, Correos afirma que ya no usa Picreel.

Los creadores de ambos complementos ya han reaccionado y han eliminado el código malicioso; por lo que estas páginas ya no son un peligro. Pero el daño ya está hecho. La cantidad de información privada y personal obtenida por este ataque puede haber sido enorme; pero probablemente aún falta un poco para conocer su verdadero alcance. Por el momento, es recomendable que cambiemos las contraseñas y comprobemos cualquier operación sospechosa en nuestras cuentas.

Actualizado: Correos niega que se haya visto afectada

Correos ha respondido a las informaciones de Sanguine Security, afirmando que no se ha visto afectada por este caso. Aunque es cierto que la web de Correos antes usaba el complemento de Picreel, el pasado septiembre de 2018 pasaron a usar Google Analytics para el mismo cometido.

Dado que el bug de Picreel fue descubierto el pasado 12 de mayo, es poco probable que haya podido ser usado para obtener datos de usuarios de Correos.