Estos días nos enterábamos de la mano de Sucuri (EN) de un ataque dirigido a páginas de WordPress que se encarga de modificar los enlaces de la web a nivel del propio núcleo, de tal manera que posiciona contenido externo (principalmente de esa publicidad que no está permitida promocionar) a costa del posicionamiento con el que hasta ahora contaba la página.
Y esta nueva vulnerabilidad me sirve de gancho para sacar a la luz un tema que seguramente a algunos de ustedes les interese y preocupe tanto como a un servidor.
El SEO (y sus variantes) como moneda de cambio
A grandes rasgos, y como ya hemos comentado en alguna que otra ocasión, hoy en día el SEO (y todas sus vertientes en redes sociales SMO, en markets de aplicaciones ASO,…) es el garante de la información que consumimos.
Es un efecto secundario de la necesidad de gestionar grandes volúmenes de información en un océano caótico (sin reglas que lo delimiten más que el propio medio) de una manera lo más eficaz posible. La versión digital de esa imprenta que decide qué publicar o no en papel, de ese bibliotecario que debe elegir qué libros deja entrar en su biblioteca y cuáles no.
Pero no es perfecto, y aunque conforme pase el tiempo irá mejorando, depende en buena medida de una serie de factores que no son innatos en el contenido, sino en el contenedor. Meros acercamientos a esa utópica lectura objetiva y neutral de la información que tampoco la tenían las imprentas y los bibliotecarios de antaño.
Ya puedes crear el contenido más interesante para un porcentaje de la sociedad que si ese porcentaje no consigue hallarlo mediante una búsqueda en la plataforma del momento, ese contenido no existe.
Así, se genera un mercado de la picaresca en el que algunos ofrecemos nuestros servicios para a la larga estar mejor posicionados, y otros hacen lo propio pensando en corto, sabedores (o no) que quizás acaben siendo penalizados, y tergiversando el buen funcionamiento de estos algoritmos, lo que genera un círculo vicioso que a medio/largo plazo se vuelve nocivo para todos (tanto los que lo hacen bien como los que se aprovechan de la situación).
Dentro de este segundo grupo hay dos patas que aunque a veces sean bastante difíciles de diferenciar, podríamos definir como aquellos que hacen todo lo posible para rankear mejor (aunque esté dentro de la línea entre lo legal e ilegal), y aquellos que directamente apuestan por lo ilegal como modo de vida.
Si ya de por sí hay que aplicar picaresca para, en base a unos algoritmos que son públicamente desconocidos, aplicar una estrategia que permita a un contenido posicionarse por encima de otro, cuando ésta no está limitada por lo que podemos considerar ético las ramificaciones aumentan exponencialmente.
Y de ahí surgen los acercamientos que a diario vemos de la industria del cibercrimen. Una industria que como cualquier otra solo habla el lenguaje del dinero, y que es consciente de la necesidad de llegar a su público objetivo (las víctimas) a toda costa.
El negocio del SPAM y sus ciclos de vida limitados
¿Qué interés puede tener un cibercriminal en hackear nuestro CMS para mostrar resultados publicitarios?
Los mismos que un medio que decide colocar publicidad, con la diferencia que éste quizás lo haga en base a los criterios de la plataforma de publicidad, e incluso bajo la esperanza de servir a los intereses del profiling de cada uno de los usuarios que lo visita, mientras que en el caso del cibercriminal, se trata de una carrera contrarreloj para posicionar su contenido publicitario y obtener el máximo ROI posible antes de que algún miembro de la cadena de suministro de información acabe por expulsarlo.
De ahí que esto siga repitiéndose una y otra vez, con malware que infecta nuestros dispositivos o los servidores donde está alojado el sistema de información de turno (una web, una aplicación, un juego, una intranet, un foro, una plataforma de publicidad,…) incluyendo entre sus registros páginas de venta de viagra, de droga o de lo que sea, y otros malwares que se encargan de redirigir todos estos sistemas a esas páginas convenientemente ofuscadas. De ahí que haya elementos de la cadena publicitaria lo suficientemente corruptos como para desestabilizar la ya de por sí tensa confianza que existen entre estos, los medios de información y los usuarios.
Porque esa es otra. Este negocio tiene desde sus inicios los días contados, y por ello, es todavía más crítico que para los negocios tradicionales viralizarse y difuminarse entre ese océano caótico lo antes posible. De un día para otro varias de tus vías de monetización puede ser bloqueadas, y se hace crítico entonces haber hecho el trabajo necesario con anterioridad para que esto no suponga un punto y final a tu negocio.
Es curioso cómo estas medidas de ofuscación están dirigidas a controlar en la medida de lo posible todas las casuísticas potencialmente dañinas para un negocio ilegal, que pasan por ocultar del registro de los buscadores estas páginas (para que por ejemplo solo sean accesibles por usuarios y no por crawlers) o cambiar la experiencia de navegación según el usuario esté o no logueado (para evitar que los administradores o moderadores se den cuenta de que han sido hackeados).
Y luchar contra algo así se vuelve muy complicado cuando la cadena de suministro tecnológico es tan ancha como lo son hoy en día la mayoría de medios de información disponibles.
Cuando las propias reglas del juego NO SON CLARAS y definen una industria basada más en la picaresca que en la estrategia que aporte valor a la sociedad.
[Tweet «El SEO define unas reglas de juego que NO SON CLARAS, favoreciendo así los negocios del cibercrimen»]
¿Hay maneras de protegerse de este tipo de ataques?
Claro, pero no es tan sencillo de explicar como instalar un par de plugins y listo.
Hablamos de otra carrera en la que por su propia idiosincrasia el administrador siempre estará un par de pasos por detrás. Primero se genera la necesidad, luego la respuesta.
En el caso de WordPress, parece lógico pensar que lo suyo es evitar, en la medida de lo posible, que un tercero pueda escalar en privilegios como para colgar un archivo de nuestro servidor, y eso pasa por controlar cualquier entrada de datos que sea procesada a nivel del mismo, manteniendo convenientemente saneada la gestión de usuarios y el ámbito de actuación del resto de componentes (temas, plugins,…).
Revisar los permisos que tienen las carpetas es otro de los puntos necesarios para evitar, como en este caso, que nos metan uno en una sección tan crítica como es el /wp-includes de WordPress, o puedan modificar alguno de los ya presentes. Cosa que no debería realizarse jamás de los jamases sino es de la mano de una actualización oficial del propio WP (para incluir funcionalidad ya tenemos /wp-content).
Pero recalco que mientras haya negocio en esto de tergiversar el buen funcionamiento de las búsquedas de información habrá negocio en la industria del cibercrimen.
Si los sistemas de información de la sociedad están basados en la confianza de unos algoritmos creados por una serie de empresas cuya receta guardan con recelo, seguirá habiendo negocio (tanto legítimo como ilegítimo), y habrá interés en encontrar vulnerabilidades en todos estos sistemas que permitan tergiversar el funcionamiento de los mismos.
Esto si no acaba por empujar a buena parte de estos creadores de contenido a delegar el control de nuestro medio de información a un servicio alojado y mantenido por terceros. Algo que hemos paulatinamente haciendo estos últimos años (consumo de información por redes como Facebook, gestión de identidad unificada,…). Una centralización de la red que sería muy ventajosa para la seguridad, para la tranquilidad de cada uno de nosotros.
Y algo que cada día veo con mejores ojos, pese a que supone una pérdida de garantías a medio/largo plazo.
Pese a que el riesgo sigue estando ahí: Es pan para hoy, hambre para mañana…
