Ejecución de código remoto: Guía completa sobre este tipo de infección

Tabla de contenidos

Si eres de los que se toma en serio la seguridad de tu página web estamos seguros de que te interesará conocer qué es la infección de ejecución de código remoto web y como combatirla.

Por todo ello, hemos creado esta sencilla guía en la que te explicaremos como funciona este tipo de infección y como prevenirla y combatirla.

Ten en cuenta que la ejecución remota de código (RCE) se refiere a varias técnicas de piratería y ciberataques diferentes. Sin embargo, todas estas infecciones cuenta con un punto en común, la inyección de código para vulnerar las diferentes páginas web.

En esta guía, explicaremos en detalle cómo se ve un ataque de ejecución remota de código y los pasos exactos que debe seguir para evitarlo. Vamos a ver.

¿Qué son los ataques de ejecución remota de código (RCE)?

La ejecución remota de código (RCE) es un tipo de vulnerabilidad que le otorgará al pirata informático la capacidad de acceder y cambiar la propiedad de un servidor o base de datos.

De hecho, durante un ataque RCE el pirata informático se apoderará del servidor donde esté la página web mediante el uso de malware (Software malicioso).

Un ataque de ejecución remota de código se lleva a cabo sin la autoridad del propietario del hardware y no importa en qué parte del mundo se almacenen los datos.

Explicación de los ataques de RCE

Se puede hacer una comparación entre un ataque de RCE y una infección por termitas:

  • Una termita se mete debajo de una casa.
  • El propietario no lo sabe y definitivamente no habría invitado a la termita si hubiera sabido el daño que pretendía hacer.
  • La termita se come los cimientos de la casa hasta que la casa cae por su proprio pie.

Si bien la metáfora no es exactamente igual a cómo funciona un ataque RCE puede servir para entender este tipo de ataques. Por desgracia, un ataque RCE puede llegar a ser peor que una infección de termitas ya que diferencia de la termita que ha de estar en tu casa, un hacker podrá acceder a tu página desde cualquier lugar.

El hecho es que los ataques RCE son increíblemente peligrosos porque los piratas informáticos pueden ejecutar cualquier tipo de código malicioso en un servidor vulnerable sin límites.

De hecho, en 2018 Microsoft reveló una vulnerabilidad de ejecución remota de código en el programa de software Excel. Debido a esta vulnerabilidad, un hacker Un podía aprovechar la vulnerabilidad para ejecutar código malicioso en el ordenador para el usuario correspondiente.

Por todo ello, si el usuario actual iniciaba sesión con derechos de usuario administrador el ciber delincuente podría tomar el control del sistema operativo afectado para instalar programas, ver, cambiar, eliminar datos o crear nuevas cuentas con todos los derechos de usuario.

¿Cuáles son los diferentes tipos de ejecución remota de código que existen?

Para comprender mejor los diferentes tipo de ejecución de código remoto  (RCE) que existen en internet te hemos preparado esta guía:

Inyecciones SQL

Las inyecciones de SQL se producen cuando un atacante consigue el acceso a tu base de datos de WordPress, es decir, a todos los datos de tu página web. 

Nota: Este tipo de infecciones son típicas de páginas web WordPress puesto que necesitan una base de datos MySQL para funcionar.

Con una inyección de SQL el atacante podrá crear una nueva cuenta de usuario de nivel de administrador para posteriormente iniciar sesión y obtener acceso completo a tu página web WordPress.

Las inyecciones de SQL también se suelen utilizar para insertar nuevos datos en tu base de datos como enlaces a páginas web maliciosas o spam.

Muchas vulnerabilidades de RCE suelen atacar la forma en que se construyen las declaraciones SQL de WordPress. Por ejemplo, si una aplicación necesita leer los nombres de usuario de la base de datos un desarrollador podrá cometer el error de usar un código como el siguiente para una búsqueda de nombre de usuario:

SELECCIONAR * DE usuarios DONDE nombre = 'nombre de usuario'

Pero ¿Cuál es el problema con una consulta como esta en relación con RCE?

Pues que con la siguiente consulta cualquier visitante de tu página web  WordPress (Incluidos los piratas informáticos) podrán ingresar con un usuario.

Por ejemplo el pirata informático podría ingresar ‘1 ”1’ = -, OR ‘ creando una declaración SQL como esta:

SELECCIONAR * DE usuarios DONDE nombre = '1' = '1' - 'O' '

De esta forma lo que ocurriría es que los piratas informáticos podrían conseguir todos los nombres de usuario dentro de la base de datos SQL.

Sin embargo, una fuga de datos como esta no es el único peligro de las inyecciones de SQL. Un atacante también podría enviar multitud de comandos a la base de datos SQL para sobrescribir o eliminar datos cruciales de la página web WordPress.

Secuencias de comandos entre sitios

La secuencia de comandos entre sitios es otra vulnerabilidad de RCE y afecta directamente a los visitantes de la página web en vez de al servidor web.

Cross-site scripting (XSS) es un tipo de ataque de malware que se ejecuta mediante la explotación de vulnerabilidades en páginas web WordPress. De hecho, esta es la forma más común de piratear páginas web WordPress ya que existen muchos plugins de WordPress con vulnerabilidades XSS en el mercado.

Dentro de cada página web el código y el contenido se representarán de forma idéntica. Es decir, lo que esté en el código se pintará en la pantalla.

Sin embargo, un navegador web podrá diferenciar el código del contenido si este se encuentra envuelto en etiquetas de secuencia de comandos.

Esto significará que sin un filtro adecuado los atacantes podrán introducir código malicioso en cualquier lugar de una página web que permita ingresar texto como las secciones de comentarios o incluso nombres para mostrar y, de esta forma, el atacante podrá robar fácilmente contraseñas de usuarios legítimos o incluso podrá robar los datos de tarjetas de crédito o de la cuenta de PayPal.

Cruce de directorio

Este tipo de ataque no estará dirigido a una aplicación ni a los visitantes de tu página web WordPress. En cambio, el objetivo principal de este ataque será tu página web.

Normalmente, los datos de tu página web se almacenarán en un directorio estándar como /home/user/public_html.

Por todo ello, a los scripts que se encuentren dentro de este directorio se accederá a ellos mediante una ruta relativa como wp-admin/index.php que referirá directamente a /home/user/public_html/wp-admin/index.php.

Cuando un script esté configurado para acceder a un archivo que está fuera del directorio actual simplemente se tendrá que incluir  la ruta «../» para referirse a un directorio que esté de paso por encima del directorio actual.

Por ejemplo, el patrón de directorio /home/user/public_html/../ se dirigirá a /home user/.

Por lo tanto, si una secuencia de comandos puede leer o cargar un archivo desde cualquier nombre de archivo personalizado el atacante dirigirá la aplicación hacia los directorios que le interesen como un nombre o contraseña de esta forma../../../../../../../ ../../etc/passwd.

¿Qué puedo hacer para evitar ataques de ejecución remota de código (RCE)?

Lo sabemos puede que este tipo de infecciones te superen o no tengas lo conocimientos técnicos necesarios para entender estos escenarios.

Sin embargo, lo que pretendemos con esta guía es informarte de forma detallada y resaltar la importancia de tener las medidas de seguridad más sólidas posibles en tu página web WordPress.

También, con esta guía pretendemos que tengas actualizado todo tu WordPress, tus themes y, por supuesto, tengas actualizados los plugins de tu WordPress ya que estos últimos son los más vulnerables a ataques de RCE.

De hecho, la gran mayoría de los ataques RCE podrán mitigarse o detenerse por completo con tan solo estar al tanto de ellos y estar preparados antes de que sucedan.

Cómo prevenir ataques de ejecución remota de código (RCE): 5 pasos

La mejor forma de asegurar tu página web frente a vulnerabilidades de RCE será emplear un sistema de defensa multifacético.

Para ello , te dejamos 5 pasos con los que podrás prevenirte de ataques de ejecución de código remoto:

  1. Utiliza un plugin de seguridad.
  2. Mantén siempre tu WordPress, themes y plugins actualizados.
  3. Escanea de forma regular tu página web en busca de malware mediante algún plugin de seguridad.
  4. Evita el Hijacking o secuestro de sesiones para los administradores de tu página web mediante un sistema de dispositivos seguros.
  5. Utiliza siempre la autentificación en dos pasos.

¿Necesitas desinfectar tu web hackeada? Podemos ayudarte.

Desinfectar web AHORA

¿Necesitas seguridad para tu web?

Deja tu página web en manos de expertos y mantén segura tu página web segura frente a ciberdelincuentes

+113 CLIENTES SEGUROS

Contacta con nosotros

O escríbenos a hola [@] limpiatuweb.com para más preguntas

Descubre si tu página web ha sido hackeada

En esta guía 100% gratuita te enseñaremos cómo averiguar si tu página web ha sido hackeada de forma fácil y sencilla

Descubre si tu WordPress es vulnerable

Guía 100% gratuita en la que te mostraremos cómo saber si tu página web es vulnerable a hackeos y ciberdelincuentes