Noticias sobre tokenización, blockchain y activos del mundo real (RWA)

El medio independiente para entender la evolución cripto, Web3 y la tokenización del mundo real

Menu
Menu
,

Vulnerabilidad en WordPress: Implicaciones para la seguridad de criptomonedas

Una vulnerabilidad significativa, identificada en un conocido complemento de WordPress, representa un riesgo considerable para los sitios web de criptomonedas con interacción de usuario. Esta deficiencia podría ser explotada por ciberdelincuentes para la inserción de páginas de phishing, enlaces a monederos falsos y redirecciones maliciosas.

Aunque esta vulnerabilidad no afecta directamente la infraestructura de los monederos o contratos inteligentes de tokens, compromete la interfaz que los usuarios utilizan para acceder e interactuar de forma segura con los servicios de criptomonedas. A pesar de que la solución ya fue liberada, decenas de miles de sitios web permanecen expuestos al operar versiones desactualizadas del complemento.

El potencial de estafa de un plugin de WordPress

El incremento de crímenes relacionados con criptomonedas subraya la aparición de nuevos vectores de ataque que propician diversas modalidades de estafa.

Un reciente estudio de Patchstack, empresa especializada en seguridad digital, ha revelado un nuevo exploit en WordPress que podría facilitar la ejecución de estafas en el ámbito criptográfico.

“El plugin Post SMTP, con más de 400.000 instalaciones, es un complemento de entrega de correos electrónicos. En sus versiones 3.2.0 e inferiores, el plugin es susceptible a múltiples vulnerabilidades de Control de Acceso Roto en sus puntos finales de la API REST… lo que permite a cualquier usuario registrado (incluidos aquellos con nivel de Suscriptor, que carecen de privilegios) realizar diversas acciones,” detalló la compañía.

Estas funcionalidades incluyen la revisión de estadísticas de correos, el reenvío de mensajes y la visualización de registros detallados, que contienen el cuerpo completo del correo electrónico.

Un atacante podría explotar esta vulnerabilidad para interceptar correos electrónicos de restablecimiento de contraseñas, lo que permitiría, potencialmente, tomar control de cuentas de administrador.

Implicaciones de la vulnerabilidad en estafas de criptomonedas

Las posibles repercusiones de esta vulnerabilidad en el ámbito de las estafas de criptomonedas son amplias y diversas. La capacidad de interceptar comunicaciones, aunque sea de forma limitada, ya es preocupante. Por ejemplo, los correos electrónicos de soporte al cliente fraudulentos han sido un método recurrente en recientes intentos de phishing.

Un sitio web comprometido que utiliza WordPress podría insertar tokens o enlaces a sitios web fraudulentos mediante el uso de scripts maliciosos y redirecciones. Los ciberdelincuentes también podrían recopilar credenciales y usarlas en diversos intercambios, o incluso inyectar malware en los dispositivos de usuarios que visiten páginas específicas.

Monederos y seguridad: ¿están protegidos los activos digitales?

Es importante destacar que la mayoría de los monederos de criptomonedas y plataformas de tokens no dependen de WordPress para su infraestructura principal. Sin embargo, esta plataforma se emplea comúnmente para funciones orientadas al usuario, como páginas de inicio y sistemas de soporte al cliente.

En el caso de proyectos de criptomonedas pequeños o incipientes que carecen de un equipo de ingeniería robusto, las brechas de seguridad podrían pasar inadvertidas. Las cuentas de WordPress comprometidas tienen el potencial de obtener información de usuarios para futuras estafas o de redirigir a los clientes directamente a intentos de phishing.

Afortunadamente, Patchstack lanzó con prontitud una solución para esta vulnerabilidad específica. No obstante, más del 10% de los usuarios de Post SMTP no han actualizado su plugin. Esto significa que aproximadamente 40.000 sitios web continúan expuestos al exploit, lo que representa un riesgo de seguridad significativo.

Los usuarios experimentados de criptomonedas deben mantener la calma y cumplir con las prácticas de seguridad estándar: evitar hacer clic en enlaces de correos electrónicos sospechosos, elegir proyectos consolidados y utilizar monederos de hardware. La responsabilidad principal recae en los operadores de los sitios web.

Si un proyecto de criptomonedas a pequeña escala utiliza un sitio de WordPress sin implementar la solución de Patchstack, los ciberdelincuentes podrían explotarlo para perpetrar un sinfín de estafas. En síntesis, los usuarios de criptomonedas pueden mantenerse seguros siempre que actúen con cautela, especialmente con proyectos fuera de la corriente principal.