¿Tienes dominios registrados en GoDaddy? Ha sido hackeado

Gravísimo hackeo el que ha sufrido la mayor empresa registradora de dominios de Internet del mundo. Es la organización dedicada a esta actividad más grande del mundo acreditada por la ICANN, y cuenta con decenas de millones de dominios registrados. Ahora, ha sufrido un hackeo muy preocupante, donde han reconocido que los hackers llevaban más de dos meses infiltrados en su red.

Así lo ha comunicado la empresa, que afirma que el pasado 17 de noviembre descubrió que había cibercriminales en su red desde el 6 de septiembre de 2021, por lo que estuvieron unas 10 semanas dentro. En ese tiempo, se hicieron con los correos electrónicos y números de cliente de 1,2 millones de páginas de WordPress, haciéndose con los correos y contraseñas de esas bases de datos. Además, accedieron a todas las claves privadas SSL y TLS de usuarios activos.

1,2 millones de cuentas de Godaddy hackeadas

Entre las contraseñas que han sido accedidas, GoDaddy reconoce que todas las contraseñas de administrador que se envían por defecto al crear una cuenta han sido accedidas. Así, si no has cambiado esa contraseña por defecto, los hackers ahora la tienen en su poder y pueden acceder a tu cuenta. Estas contraseñas se envían normalmente en texto plano al correo electrónico, de manera que no estaban cifradas.

Normalmente, cunado los hackers obtienen contraseñas cifradas, obtenerlas en texto plano es un proceso que les puede llevar días, meses, años, e incluso puede que no lleguen a descifrarlas. Sin embargo, si son accesibles en texto plano, entonces pueden empezar a generar caos de inmediato.

Por ello, GoDaddy ha reseteado todas las contraseñas afectadas, y está en proceso de sustituir todos los certificados web robados con unos nuevos. También está contactando con los 1,2 millones de usuarios afectados, aunque tras dos meses en su red, es posible que muchos hayan generado ya graves problemas en sitios web gestionados con WordPress.

Así, un hacker con acceso a la contraseña sFTP, puede descargar todo el contenido de una página web, y además modificar el que hay e instalar plugins maliciosos. Con esto, incluso tras cambiar la contraseña, es posible que tengan acceso a la nueva. También pueden publicar contenido falso, enlaces a webs maliciosas o introducir scripts de minado.

Teniendo acceso a la clave privada SSL/TLS de la web y a todo el contenido, un atacante puede crear una web idéntica a la nuestra que no sólo afirme ser la web real, sino que además puede demostrarlo al tener el certificado web real.

Qué hacer para protegerse

Por ello, es importante llevar a cabo multitud de medidas de protección. Lo primero es revisar a fondo la web de WordPress, incluyendo todos los archivos en el directorio de plugins y temas. También hay que ver todas las cuentas registradas en la web, ya que puede haber usuarios nuevos con permisos de administrador.

Tras ello, hemos de cambiar las contraseñas y activar la verificación en dos pasos para evitar que los hackers puedan acceder de nuevo a la web. Por último, ten cuidado si alguien te contacta por email ofreciendo «ayuda» para limpiar el sitio de WordPress, ya que en realidad pueden ser los atacantes que tienen tus datos de contacto, y puede que sólo necesiten la contraseña para entrar.