Tu hogar de recursos

Encuentra plantillas web, plugins y más …

Prensa «especializada», publicidad encubierta, bulos y WordPress @ Ayuda WordPress


Hace unos días, el 19 de noviembre de 2024, en la sección especializada en tecnología de un medio generalista español, 20Bits del diario 20 minutos, se publicaba la siguiente noticia

WordPress sufre su mayor ciberataque con miles de webs afectadas: «Cualquier dato es valioso para robar»

No suelo leer este tipo de medios pero me enteré por tuit de una usuaria habitual de WordPress, que lo compartía, quizás sin caer en todo lo que está mal en el artículo.

Y es que el artículo peca de todo lo que no debe ser informar de manera especializada, así que me gustaría analizar contigo cada parte del mismo, como mal ejemplo, para que veas lo fácil que es alarmar a los usuarios mal informados, y de paso informarles aún peor.

Pero antes…

¿Cuál es la fuente original de la noticia?

4 000 000 wordpress sites using really simple security free and pro versions affected by critical authentication bypass vulnerability 11 25 2024 10 04 am

Lo primero que NO encontramos en el artículo es la fuente original de la noticia, en la que – quizás – poder contrastar o ampliar lo que nos cuenta el periodista, y esto ya es un problema, porque parecería entonces que la fuente de la noticia es el mismo medio, 20Bits, o el experto al que se alude varias veces en el artículo: «Sancho Lerena, CEO de Pandora FMS, una tecnológica española especializada en seguridad y gestión IT», cuando en realidad que se sepa no tiene nada que ver, ni con WordPress ni con la noticia en cuestión, pero esto lo hablaremos más tarde.

Para que tú lo sepas, la fuente original de la noticia es esta publicación de Wordfence, la empresa de seguridad especializada en WordPress, que en este caso informa de una vulnerabilidad en un plugin de la competencia, pero esto no significa que no sea cierto, todo hay que decirlo.

El titular original es falso

really simple security – simple and performant security formerly really simple ssl – plugin wordpress wordpress org españa 11 25 2024 12 23 pmreally simple security – simple and performant security formerly really simple ssl – plugin wordpress wordpress org españa 11 25 2024 12 23 pm

Eso sí, desde su mismo titular también incurren en inexactitudes, exageraciones, mentiras en realidad, cuando indican que hay «4 millones de sitios WordPress que usan Really Simple SSL gratis y pro afectados por una vulnerabilidad critica de bypass de identificación», así que mal empezamos si la misma fuente de la noticia desinforma.

Y es falso porque aunque es verdad que el plugin tiene más de 4 millones de instalaciones activas, no todas eran potencialmente vulnerables según el propio informe de Wordfence, que indica que…

La vulnerabilidad permite que un atacante obtenga acceso remoto a cualquier cuenta del sitio, incluida la cuenta de administrador, cuando la función de autenticación de dos factores está habilitada.

«… cuando la función de autenticación de dos factores está habilitada» dice, y ahí está el motivo por el que su titular es falso, y es debido a la misma historia del plugin antiguamente conocido como Really Simple SSL y actualmente denominado Really Simple Security.

No te lo cuento, te lo muestro…

really simple security 2fareally simple security 2fa

La protección de acceso mediante la doble verificación, o 2FA, está por defecto inactiva, no solo en instalaciones nuevas del plugin, sino también en las actualizaciones de los millones de antiguos usuarios del plugin Really Simple SSL, antes de que le añadiesen funcionalidades de seguridad adicionales.

Así que no, no hay 4 millones de sitios que usen Really Simple Security vulnerables, de hecho es imposible que se sepa cuántos de los usuarios del plugin tienen activa esta funcionalidad, que dicho sea de paso, y por recomendable que sea, la mayoría de administradores web no activan porque la consideran molesta, sobre todo cuando hay un único administrador.

¿Cuántos sitios habrá vulnerables en realidad?, podrían ser millones, pero podrían ser miles, cientos o incluso ninguno, nadie lo sabe, Wordfence tampoco, por lo que es más que amarillista, engañoso, alarmista, el titular que han empleado, por muy condicionalmente probable que sea, pues no habla en el titular en condicional (sitescould be) sino en afirmativo (sites … affected). Es guerra comercial, a nadie le sorprenderá, aunque debería escandalizarte, porque se supone que Wordfence pretenden ser, con su newsletter, una fuente fiable de seguridad informática relacionada con WordPress.

Pero claro, a nadie le sorprenderá que la empresa con la vulnerabilidad sea de la competencia de Wordfence.

¿Es correcta la información técnica sobre la vulnerabilidad?

Nada que cuestionar, la fiabilidad y precisión de la información técnica, así como la pericia de los investigadores de seguridad está fuera de toda duda, y todo lo que se informa en detalle en la nota de Wordfence no solo es cierto, sino técnicamente muy preciso y digno de reconocimiento a sus profesionales.

Lo que es cuestionable es la política de comunicación, el marketing generado a partir de la vulnerabilidad detectada ¿vale?

¿Ha informado Wordfence de manera ética sobre la vulnerabilidad?

Curiosamente, toda la parte técnica es impecable, pues el equipo de Wordfence detectó la vulnerabilidad el 6 de noviembre de 2024 y, ese mismo día, empezaron la comunicación con la empresa propietaria del plugin Really Simple Security, y además, no ha sido hasta el 14 de noviembre de 2024, fecha en que, de acuerdo con el equipo de plugins de WordPress.org, se forzó una actualización del plugin Really Simple Security a la versión 9.1.2, libre de la vulnerabilidad detectada, que no publicaron la noticia de la que estamos hablando.

Se realizó una divulgación responsable, inmaculada.

Fueron responsables con la posible vulnerabilidad detectada, no publicándola abiertamente, algo que habría puesto en peligro a los usuarios, pero luego la cagaron hasta el fondo en el modo de comunicarlo, incurriendo en lo peor de la mala comunicación: amarillismo, desinformación, bulos, alarmismo.

Resumiendo, bien por el equipo técnico de Wordfence y muy mal por el de comunicación.

El titular de 20Bits es falso

wordpress sufre su mayor ciberataque con miles de webs afectadas cualquier dato es valioso para robar 11 25 2024 11 08 amwordpress sufre su mayor ciberataque con miles de webs afectadas cualquier dato es valioso para robar 11 25 2024 11 08 am

Ya desde el titular, obviando además que está WordPress mal escrito, que se lo pasaremos, vemos que el titular afirma que «WordPress sufre su mayor ciberataque», con «miles de webs afectadas».

Para reforzar el bulo, en el subtítulo o entradilla indica que «… ha permitido a los ciberdelincuentes acceder como administradores a las cuentas afectadas incluso en aquellas con autenticación de dos factores activada.»

¿Te acuerdas de lo que hemos visto hace un momento en la noticia original publicada por Wordfence?

Vamos por partes:

  1. WordPress no ha sufrido ningún ciberataque. WordPress es un software, y nada ni nadie ha atacado a WordPress, su ecosistema, web ni nada.
  2. Que se sepa con certeza, no miles de webs, NADIE ha sufrido ningún ciberataque por nada de lo que se cita en la noticia, o al menos no hay datos al respecto que corroboren tal afirmación, ni en el artículo de 20Bits ni en la noticia de Wordfence.
  3. Ningún ciberdelincuente, que se pueda comprobar, ha accedido como administrador ni como nada a ninguna cuenta afectada, o no. De lo único que informa Wordfence es de una vulnerabilidad explotable, pero no hay dato alguno de que ninguna web haya sido afectada por la misma, en parte seguramente gracias a la divulgación responsable que, inicialmente, realizó Wordfence, informando primero a los desarrolladores del plugin, algo habitual en WordPress.

Y aún no hemos hecho más que empezar, solo estamos en el titular.

La noticia de 20Bits es falsa

A continuación, el primer párrafo simplemente repite lo dicho en el titular y la entradilla, así que vuelve a incurrir en los mismos errores. Y este es el único párrafo en el que la redacción de 20Bits informa de algo, si es que se le puede llamar informar.

No hay nada más, todo lo siguiente pasa a ser territorio del experto de Pandora FMS…

El experto

La mayoría del artículo refiere a Sancho Lerena, CEO de Pandora FMS, una empresa especializada en monitorización de seguridad en redes, que complementa la «noticia» con afirmación verídicas, pero totalmente genéricas y ajenas a la supuesta noticia, como las siguientes:

… hay sistemas que se adaptan a cada estructura y que son también económicos. No es suficiente depender de un solo ‘escudo’ y menos cuando es tan mayoritario, porque cuando cae te deja sin reacción

También hay un párrafo completo, con el que finaliza el artículo, en un subtítulo denominado Monitorización continua y soluciones personalizadas,
con el siguiente texto lapidario…

La respuesta, según el CEO de Pandora FMS, pasa por apostar por sistemas de seguridad que monitoricen continuamente la situación de cada infraestructura. Estas soluciones permiten adelantarse a fallos generalizados y minimizan el riesgo de colapso al estar adaptadas específicamente a cada compañía. En un contexto donde el 94% de los plugins maliciosos instalados entre 2012 y 2021 estaban activos en más de 24.000 sitios de WordPress, contar con una estrategia de ciberseguridad sólida y diversificada se ha convertido en una necesidad ineludible para cualquier organización con presencia online.

Dejaremos aparte de que la mayoría del texto de la «noticia» más parece un artículo patrocinado por Pandora FMS, más después de las afirmaciones genéricas que se hacen en el mismo, y más teniendo en cuenta que la susodicha empresa en ningún momento añade ningún detalle de ningún tipo a la información objeto del artículo, sino que habla de SUS servicios, pero es que para una vez que habla de WordPress tampoco es que haya estado muy fino, y me explico…

Cuando dice que el 94% de los plugins maliciosos instalados entre 2012 y 2021 estaban activos en más de 24 mil sitios WordPress hay un buen montón de detalles a destacar:

  • El rango de años desde 2012 a 2021 (9 años) en Internet son una eternidad, y no reflejan ningún tipo de tendencia, y no hay ningún estudio al respecto de ese periodo sobre plugins WordPress, ni maliciosos ni de ningún tipo.
  • La cifra de los más de 24 mil sitios WordPress está extraída de una noticia de Hackernews de junio de 2022, divulgada por una entonces naciente aplicación, YODA, cuyo desarrollo ya llevaba 1 año abandonado a la fecha de la información, y que actualmente sigue inactiva.  Y ni siquiera la noticia dice lo que alude el experto de Pandora FMS, también tiene toda la pinta de artículo patrocinado por la propia herramienta YODA, o como mínimo enviada por su departamento de comunicación, no hay más que leerlo para darse cuenta. Dicho sea de paso, en el estudio se hablaba de que la peor parte era debido a plugins nulled.
  • En ninguna parte, ni hay cita o referencia o enlace al respecto se indica de dónde se extrae tal afirmación, tales cifras, nada de lo afirmado.

No quiero enrollarme mucho, pero también en otro párrafo afirma lo siguiente…

…cualquier dato es valioso para robar, por muy pequeña que sea la web. De hecho, se estima que el 97% de las brechas de seguridad en páginas web de WordPress se aprovechan de los complementos instalados. La popularidad tanto de WordPress como de este plugin en particular ha aumentado significativamente la gravedad del ataque.

La afirmación genérica inicial, aunque cierta, no viene a cuento, pero bueno, ¿y lo de que se estima que el 97% de las brechas de seguridad…?, ¿quién lo estima?, ¿dónde está ese dato?, en base a qué se indica una cifra tan concreta como el 97%, no el 95% ni el 90%, exactamente se estima el 97%.

Este tipo de cosas son algunas de las que hay que vigilar para que no nos la cuelen cuando se supone que nos están informando. No existe esa cifra en ningún estudio ni informe realizado sobre seguridad y WordPress.

Si uno piensa mal llegaría a la conclusión de que el artículo o es pagado por Pandora FMS para hablar de sus cosas o simplemente enviado a la redacción y estos lo han publicado sin contrastar nada. Solo hay que ver la cantidad de inexactitudes, afirmaciones no contrastadas, y sobre todo que al final se habla más de los servicios de Pandora FMS que de la misma supuesta noticia.

No se informa de las medidas de corrección aplicadas

Me parece especialmente lamentable que, siendo una «noticia» publicada el día 19 de noviembre, 5 días después de que el plugin ya no era vulnerable, primero, se publique como noticia, cuando ya no lo es, sino que la noticia completa sería en todo caso haber informado de que la vulnerabilidad estaba corregida, y no se haga mención alguna a que la supuesta noticia ya no lo es, y de que el aludido ciberataque, que nunca existió, ya no es posible, si es que lo fue en algún momento.

Pero bueno, es de esperar, visto lo visto.

Transparencia y credibilidad ante la proliferación de noticias falsas

¿A que me ha quedado un bonito titular?: transparencia y credibilidad frente la proliferación de noticias falsas.

Justo esto es lo que he pretendido hacer con esta publicación, en la que puedo haber cometido algún error, y ahí estás tú, lector, para recordármelo en los comentarios, o tú, editor de 20 Minutos o 20Bits, para pedirme una rectificación, pero ¿sabes lo que pasa?, que ese titular es lo que el propio 20 Minutos dice ser su principio rector, como medio de confianza.

the trust project 20bitsthe trust project 20bits

Para ello, al final de cada artículo añaden este bonito banner de The Trust Project, y un enlace a su política de buenas prácticas periodísticas, que en lo que se refiere a la publicación que estamos revisando se salta totalmente a la torera, del punto primero al último.

En cuanto a eso del The Trust Project, pues es un indicador de confianza, como otros muchos que, en la dinámica actual, usan los medios tradicionales para mostrarse como línea de defensa frente a los bulos, cuando son ellos precisamente los que con mayor intensidad los promueven, bien por su dependencia de la publicidad, institucional y comercial, bien la falta de profesionalidad y sesgo.

Y, en cuanto a las buenas prácticas de 20 Minutos, pues que revisen este artículo que hemos revisado y que ellos mismos se lo hagan mirar, pues se los pasa todos por el arco del triunfo.

Por si a alguien se la va el dedo, dejo aquí capturas de todo…

¿Conclusiones?

No sé si este artículo de ¿análisis, opinión? merece alguna conclusión.

Simplemente he querido compartir contigo algo que creo que todos vemos a diario y que hay que denunciar más: la manipulación de la información, las noticias falsas, los bulos.

No tengo nada en contra ni de 20 Minutos ni de Pandora FMS, allá cada cual con su modo de informar y de posicionarse como empresa experta en lo suyo, pero no estaría de más que al menos adornasen sus publicaciones de algo de seriedad, enlazando a las fuentes, citando el origen de los datos que ofrecen, contrastando algo, y si no es mucho pedir, informando, pues cuesta lo mismo informar bien que hacerlo mal, ya puestos a juntar letras.

¿En quién confiar?, pues por defecto en nadie, ni siquiera en mi o este humilde sitio, valora cada información por sí misma, pero pide algunos mínimos de profesionalidad a la hora de informar, como enlazar a las fuentes, estudios e informes a los que se aluda, mostrar como citas las que lo sean, y separar lo que sea información de la opinión.

He encontrado esta traducción de unos buenos consejos para poder separar noticias fiables de falsas, que me parece un buen resumen…

esta noticia es falsa (how to spot fake news)esta noticia es falsa (how to spot fake news)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!



Fuente Original:

Compartir:

Noticias Relacionadas

Editar opciones