Los Plugins (del ingl√©s “plug-in”, conectar) son complementos desarrollados para todo tipo de soluciones y aplicaciones.¬†Los m√°s famosos son aquellos que proporcionan nuevas caracter√≠sticas a los navegadores, a los servicios de mensajer√≠a o a las herramientas como WordPress. Y todos ellos, sin excepci√≥n, pueden suponer una importante brecha en la seguridad de nuestra empresa.

Los plugins como base para un ataque

El uso masivo de ciertos plugins se ha convertido en la razón principal para que algunos hackers hayan centrado su atención en la adquisición o en el uso de estos a la hora de lanzar un ataque. Hay que resaltar que la naturaleza y el comportamiento de estos complementos, así como su objetivo, es muy variado. Pero no importa el formato al que está orientado el plugin, todos son susceptibles de abrir nuevas brechas.

Por ejemplo, en WordPress, el caso de Display Widgets (con más de 200.000 usuarios), Appointments (8.000), Captcha (300.000), o NextGEN Gallery (más de un millón) han puesto de relevancia esta tendencia creciente de usar complementos para alojar ataques y la inyección de código malicioso. Estos afectan a todos los usuarios que visitan una página que contenga dicho plugin activado.

Los plugins para exploradores como Chrome, Firefox o Explorer no son menos peligrosos. Por ejemplo, el conocido¬†LastPass¬†(para ayudar a recordar contrase√Īas) ha sido objeto de cr√≠ticas debido a serios problemas de seguridad mostrados durante el pasado a√Īo.¬†La aparici√≥n de software de tipo “secuestrador” (adware, hijackers y similares) est√° muy presente¬†en este tipo de plugins. Uno de los mejores ejemplos de este pasado a√Īo es¬†Fireball, que consigui√≥ infectar a m√°s de 250 millones de ordenadores.

Aunque los plugins son incre√≠blemente distintos entre s√≠, todos tienen el potencial de generar¬†un problema de seguridad que suele manifestarse con una p√©rdida de control del equipo: aparici√≥n de ventanas de anuncios, comportamiento err√°tico, etc. Tambi√©n pueden provocar la p√©rdida de datos puesto que recogen informaci√≥n personal, incluyendo credenciales de acceso, y la env√≠an de forma clandestina. Y, adem√°s, pueden ir ligados a la inyecci√≥n de software da√Īino: virus, malware de todo tipo o¬†backdoors.

¬ŅPor qu√© los plugins?

Existen dos razones principales para que los hackers le presten tanta atención a los plugins. La primera, como decíamos, es la masiva base de usuarios con los que algunos cuentan. Explotar un fallo de seguridad de plugins ya establecidos es una apuesta segura para los cibercriminales. La segunda es la heterogeneidad.

El uso de soluciones¬†open source, as√≠ como la divers√≠sima variabilidad de lenguajes y herramientas permite un crecimiento exponencial en las soluciones que implementamos a nuestro d√≠a a d√≠a. Y tambi√©n en el n√ļmero de problemas potenciales de seguridad. La evoluci√≥n de estas aplicaciones¬†est√° en una constante carrera contra los hackers que desean explotar sus vulnerabilidades. Cuando m√°s diverso es el “panorama”, m√°s posibilidades existen de que estas sean explotadas.

Las técnicas preferidas en el caso de WordPress implican el uso de exploits y fallos existentes en PHP, Ajax o Java, entre muchos otros, lo que multiplica de manera exponencial la posibilidad de un problema de seguridad. Por otro lado, esto afecta tanto a los visitantes de la página como a los servidores donde se alojan, pudiendo extender la infección de manera rápida y prolífica para los cibercriminales.

 Los plugins en la empresa

Esto deber√≠a darnos una idea del potencial impacto que tiene el uso indiscriminado para la empresa. Si la web corporativa est√° hecha con este popular CMS (o con cualquier otro similar: Drupal, Joomla…)¬†existe la posibilidad de poner en peligro los datos de la empresa, del servidor y de los usuarios.

En cuanto al uso de complementos dentro del sistema de la compa√Ī√≠a, debemos saber que estos, usados como vectores de ataque, pueden ocasionar grandes p√©rdidas. ¬ŅCu√°l es la soluci√≥n? En primer lugar,¬†es imprescindible contar con un buen equipo de TI¬†y una buena educaci√≥n en seguridad entre los trabajadores.

En segundo lugar, las herramientas de inteligencia y seguridad predictiva , como Panda Adaptive Defense 360, son la mejor opción para mantener un control exhaustivo de todo lo que ocurre en la red de la empresa, previendo, previniendo y remediando potenciales ataques gracias a su capacidad para monitorizar todos los procesos del sistema en tiempo real.

Por √ļltimo, siempre existe la opci√≥n radical de ‚Äúplugins cero”. Es decir, prohibir su uso tanto en navegadores de la empresa como en la p√°gina de la misma. En el caso de la p√°gina¬†no deber√≠a haber problema si contamos con una web hecha “a medida”. En el caso de los navegadores y aplicaciones, con un buen control limitaremos much√≠simo el posible da√Īo que pueda sufrir la empresa.