Novedades de la semana: vulnerabilidades y cibercriminales

“Nunca supongas nada” – Esta cuarta máxima en la sección de seguridad en el Manual de API Comunes de WordPress para desarrolladores no debería ser ignorada. En términos de seguridad para los plugins de WordPress, las suposiciones pueden resultar perjudiciales. Esto se demostró cuando una vulnerabilidad de Cross-Site Scripting (XSS) en 14 diferentes plugins de registro de correos electrónicos fue descubierta.

¿El patrón común? La suposición de que el contenido de los correos generados en una instancia de WordPress no puede ser manipulado por entidades externas. Esta negligencia ha potencialmente expuesto a más de 600.000 usuarios a riesgos de seguridad importantes.

Todos los plugins, a excepción de uno, han sido actualizados para tratar estas vulnerabilidades.

El análisis de esta vulnerabilidad comenzó identificando la forma más sencilla y habitual de obtener información suministrada por el usuario en un correo generado por la instancia de WordPress: los formularios de contacto.

Se encontró que la entrada enviada a través del formulario de contacto predeterminado del plugin Contact Form 7 (utilizado por más de 5 millones de usuarios) no se sanitizaba cuando se mostraba en la página de registro de correos electrónicos de ninguno de los 14 plugins examinados. Esto dejó una brecha para un ataque XSS almacenado no autenticado.

Debe enfatizarse que el Contact Form 7 no es vulnerable por sí mismo y sí lleva a cabo la sanitización de su salida. La vulnerabilidad surge cuando un plugin de formulario de contacto se utiliza en conjunto con uno de los plugins de registro de correo mencionados en este post, los cuales no sanitizan su salida.

En este contexto, se está subrayando una vulnerabilidad significativa que afecta a un gran número de usuarios de WordPress. El hecho de que tantos plugins que brindan la misma funcionalidad sean vulnerables al mismo método de ataque sugiere una brecha en las consideraciones de seguridad por parte de los desarrolladores de plugins.

Una vulnerabilidad XSS explotada de esta naturaleza puede llevar a la toma completa del sitio, especialmente en sitios de WordPress que no han implementado las recomendaciones de la guía de fortalecimiento de WordPress. Esta vulnerabilidad acentúa la importancia de no solo mantener actualizados los plugins, sino también de asegurar que tu sitio esté correctamente reforzado contra posibles ataques. Es un recordatorio claro de que, en términos de seguridad, nunca debemos asumir nada.

Se recomienda a los usuarios de WordPress asegurarse de que sus sitios están actualizados a la última versión parcheada si están utilizando un plugin afectado.

En abril pasado, el infame Genesis Market, reconocido como uno de los principales foros de intercambio de credenciales en línea, fue objeto de una acción de seguridad cibernética realizada por 17 naciones, entre las que se incluye a la Guardia Civil y la Policía Nacional de España. Como resultado de este operativo, se arrestaron a 120 individuos y se clausuró la plataforma, lo que representó un hito importante en la lucha contra el ciberdelito.

A pesar de esto, el colectivo delictivo que estaba al mando de Genesis Market comunicó recientemente que habían transferido la propiedad del foro a un comprador no identificado. La noticia fue difundida en un foro por un usuario con el alias GenesisStore, quien había estado vinculado previamente con los administradores del sitio.

Los detalles de la transacción no son conocidos, pero GenesisStore declaró que el trato no abarcaba las cuentas de los usuarios presentes, sino que englobaba “todos los avances, incluyendo una base de datos íntegra (excepto algunos pormenores de la base de clientes), códigos fuente, scripts, con un acuerdo previamente establecido, así como la infraestructura del servidor”.

El funcionamiento de Genesis Market se basaba en ser una plataforma clandestina para la adquisición y venta de credenciales, permitiendo a sus usuarios comprar nombres de usuario y contraseñas de diversas entidades públicas y privadas. La plataforma otorgaba las herramientas para replicar la huella digital de dichas cuentas, posibilitando el acceso ilegítimo y la suplantación de identidad.

La clausura de Genesis Market en abril fue un hito relevante. En las primeras 24 horas, las autoridades sustituyeron los dominios web del mercado por páginas iniciales de las fuerzas policiales, logrando identificar y localizar los servidores del mercado y obteniendo datos de alrededor de 59,000 cuentas individuales.

Se calcula que Genesis distribuía información a más de 1.5 millones de bots, que contenían datos de más de 2 millones de identidades a nivel global. Solo en España, se vieron comprometidas más de 700,000 credenciales.

Este reciente suceso recalca el hecho de que, aunque se han logrado avances en la lucha contra el ciberdelito, este sigue siendo un desafío en constante cambio. La reventa de Genesis Market enfatiza la necesidad de un seguimiento constante y la adaptabilidad en la lucha contra el cibercrimen.

Las inteligencias artificiales generativas, aunque son herramientas poderosas con un enorme potencial para el bien, pueden convertirse en amenazas significativas cuando caen en manos equivocadas. En este sentido, los ciberdelincuentes están empleando nuevas estrategias, yendo más allá de su dependencia de las IA existentes, como ChatGPT, y creando sus propias soluciones.

WormGPT es una de estas nuevas herramientas, diseñada principalmente para llevar a cabo actividades maliciosas. Descubierta por investigadores de seguridad de SlashNext, esta IA les permite a los ciberdelincuentes superar las barreras idiomáticas, mejorar su efectividad e impactar en mercados donde previamente tenían dificultades para penetrar.

La IA ha sido entrenada con conjuntos de datos relacionados con malware, aunque las fuentes exactas de este entrenamiento han sido mantenidas en secreto por su autor.

Los investigadores han probado la capacidad de WormGPT para generar emails amenazantes convincentes. Estos pueden ser utilizados en ataques de compromiso de email comercial (BEC) o phishing. La conclusión es clara: WormGPT tiene la capacidad de generar emails de phishing avanzados y lanzar ataques BEC altamente sofisticados.

Una de las características más preocupantes de WormGPT es que, a diferencia de ChatGPT, no tiene límites éticos incorporados. Esto lo convierte en una amenaza aún mayor en manos de actores malintencionados.

Para combatir amenazas como WormGPT, los expertos sugieren implementar medidas mejoradas de verificación de emails, probar la eficacia de seguridad en el modo de observación, incorporar capacitaciones específicas de BEC y emplear soluciones de ciberseguridad robustas. Este desarrollo enfatiza la necesidad de una constante adaptación y preparación en el campo de la ciberseguridad, dado que las amenazas evolucionan al mismo ritmo que las tecnologías que buscan contrarrestarlas.