Si hackean tu blog, ¿puede ayudarte WordPress?

Palacio presidencial de Hanoi. Foto de Paul Morse, dominio público.

Palacio presidencial de Hanoi. Foto de Paul Morse, dominio público.

El pasado mes de marzo, el blog de noticias políticas vietnamita Anh Ba Sam [vi], sufrió una serie de ataques que pusieron en peligro su contenido e impidieron que sus propietarios tuvieran acceso al manejo del blog. Los atacantes se hicieron con el control del sitio, sustituyendo los artículos por sus propios contenidos y cambiando las contraseñas de las secciones administrativas de la web.

Cuando los propietarios de Anh Ba se pusieron en contacto con WordPress –el servicio que aloja el blog– con la intención de reclamar el acceso a su web, la empresa les pidió que demostraran su identidad. Pero no resultó fácil: los atacantes habían cambiado la información de seguridad de la web, imposibilitando temporalmente que los propietarios demostraran su identidad. Aunque este problema ya se ha resuelto, puso de relieve cuestiones críticas sobre la función de las plataformas de alojamiento y su responsabilidad a la hora de proporcionar medidas de seguridad adecuadas a sus clientes.

«El Chismoso»

En los últimos años, Anh Ba Sam (ABS) se ha ganado una posición única [en] como agencia de reportajes sobre acontecimientos y tendencias en Vietnam. La web publica artículos tomados de la prensa extranjera y reportajes originales de la comunidad ABS, muchos de cuyos miembros se definen como disidentes. ABS publica actualizaciones de noticias cuatro veces al día y divulga con regularidad análisis políticos, económicos y sociales elaborados por intelectuales y expertos de prestigio. Antes del ataque, la web alcanzaba unas 100 000 visitas diarias.

En vietnamita, «Anh» es un pronombre personal que se utiliza para designar a un hombre de cierta edad. «Ba Sàm» significa «el chismoso». Uno de los administradores de la web explicó a Global Voices Advocacy que los lectores han desarrollado sus propias opiniones después de la fundación del blog: «Ba sàm thông tin chính thống, chính thống nói chuyện ba sàm», que quiere decir «El chismoso comunica noticias sociales, mientras que los medios oficiales solo chismorrean».

El ataque

ABS era un preciado objetivo para las agencias de seguridad interna de Vietnam, aunque no hay evidencias sólidas de que el gobierno esté implicado en el ataque. El 8 de marzo, unos hackers tomaron el control de ABS, desalojando a sus auténticos propietarios y borrando todo su contenido. El 13 de marzo, otros hackers (presumiblemente la misma persona o personas que en la anterior ocasión) publicaron en la web una presentación lasciva y difamatoria sobre la editora administrativa de ABS, Dinh Ngoc Thu, cuyas afirmaciones se desprendían de los materiales que los supuestos hackers habían robado del propio ordenador de la editora.

Thu envió peticiones urgentes al servicio de atención al cliente de WordPress, solicitando que se le restituyera, a ella y a sus colegas, el control de la web. La respuesta fue que Thu debía demostrar primero que era la verdadera propietaria de la web, pero eso era imposible: cualquier dato identificativo, correspondencia con WordPress, registros de facturas y cualquier evidencia de propiedad estaba almacenado en subdirectorios de la web, y había sido borrado o se encontraba inaccesible para el equipo de ABS.

¿Podría haber ayudado WordPress?

Los contactos de Thu llamaron la atención del consejo general de Automattic –la empresa matriz de WordPress.com– sobre este asunto. Entonces, el servicio de atención al cliente de WordPress se mostró más predispuesto a cooperar y el control del blog se devolvió al personal de ABS. Aún así, hizo falta un considerable esfuerzo para convencer a WordPress de que eliminara varios subblogs y otras trampas que los hackers habían ocultado en la web de ABS. Si el personal de ABS no hubiera tenido contacto con personal influyente de WordPress y Automattic, les hubiera costado mucho más tiempo recuperar el acceso a su web.

Poco después de esto, WordPress.com implementó un procedimiento de identificación en dos pasos [en] para uso de todos sus clientes. No hay medio de saberlo con seguridad, pero se cree que el incidente de ABS pudo impulsar este cambio.

ABS se encuentra de nuevo en pleno funcionamiento, con una mayor seguridad y una nueva URL, desde finales de marzo de 2013. Su promedio de visitas diarias ya vuelve a estar en unas 73 000. El personal de ABS espera trasladar pronto el blog a un nuevo servidor mucho más seguro.

Incremento de la seguridad para los blogs vulnerables

Los administradores de ABS y Global Voices Advocacy urgen a WordPress a adoptar una política de asistencia activa y preventiva en cuanto a los administradores de blogs que se enfrentan a problemas similares a los que ha sufrido ABS. Creemos que WordPress debe asumir su responsabilidad hasta donde sea posible para asegurarse de que no se piratean las webs de los clientes (por ejemplo, recomendando firmemente la identificación de dos factores e insistiendo en que todos los scripts y plugins de WP que utilizan los administradores de los blogs estén actualizados).

La empresa podría considerar el desarrollo de un mecanismo que posibilite que sus clientes recuperen el control de una cuenta pirateada. Como en el caso de ABS, supongamos que una persona que afirma ser la propietaria de la web pide con urgencia recuperar su control. Es muy probable que el personal de WordPress no conozca el idioma utilizado en dicha web. ¿Cómo pueden saber quién es el auténtico propietario? Un cambio reciente, repentino y radical en el patrón de acceso administrativo a la web debería ser una prueba preliminar de que ha sido pirateada. En ese momento, WordPress podría denegar el acceso administrativo de cualquiera a la web en espera de que se aclaren las reclamaciones.

WordPress debería sentirse orgulloso de su papel único como facilitador del discurso político en todo el mundo. Con este fin, creemos que la compañía debería proporcionar asesoría interactiva sobre seguridad a los múltiples blogueros alternativos y disidentes que alberga. Tal compromiso reforzaría la imagen pública de WordPress y de Automattic, además de prestar un servicio inestimable a su comunidad.

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.