Si tu blog, medio de comunicación, ecommerce o página de tu negocio está construída con WordPress tienes algunas papeletas para que los cibermalos accedan a él y lo infecten de alguna manera. Ese riesgo se incrementa según el número de plugins que hayas instalado para completar o "mejorar" tu espacio.
Cada plugin que hayas configurado en tu web puede ser una puerta de entrada a los cibercriminales que escapa a tu control. Bien porque estos complementos sean maliciosos de base y se camuflen como otras cosas, bien porque tengan vulnerabilidades o porque puedan ser transformados de alguna manera.
Un exhaustivo estudio llevado a cabo por investigadores del Instituto de Tecnología de Georgia y compartido en un paper cuantifica estas amenazas. La investigación se prolongó durante 8 años, así que es un trabajo bastante profundo sobre la materia. Los autores han usado una nueva herramienta llamada YODA que tiene como objetivo detectar plugins de WordPress no autorizados y rastrear su origen.
Este 'jedi' del mundo de la ciberseguridad encontró había 47.337 plugins maliciosos instalados en 24.931 páginas web, de los cuales unos 3.685 se vendieron en mercados legítimos. Estos habrían generado a los amigos de lo ajeno digitales 41.500 millones de dólares.
"Los atacantes se hicieron pasar por autores de plugins benignos y propagaron malware mediante la distribución de plugins pirateados", aseguran los investigadores.
Los autores del estudio cuentan como estos complementos maliciosos han ido in crescendo y alcanzaron su punto álgido en marzo de 2020, coincidiendo con el inicio de los confinamientos por la pandemia. Además, el 94% de estos plugins instalados siguen activos tras 8 años.
Infectados a posteriori
El estudio arroja otros datos interesantes. Por ejemplo, se ha encontrado que 3.452 plugins disponibles en marketplaces legítimos facilitaron la inyección de spam. También se ha hallado que 40.533 plugins fueron infectados tras su implementación en 18.034 páginas.
Por otro lado, aquellos complementos o temas de WordPress manipulados para descargar código malicioso en los servidores representaron 8.525 del total de add-ons maliciosos, con aproximadamente el 75% de los plugins pirateados engañando a los desarrolladores para embolsarse 228.000 dólares en ingresos.