Select Page

Reconozcámoslo, se nos hace muy difícil resistirnos a la tentación de incluir una nueva función en nuestro navegador o en alguna aplicación que utilicemos de manera recurrente. Estos complementos, conocidos como plugins, son sencillos de instalar y de usar, por lo que ganan peso en las barras de los navegadores y en las pestañas de las aplicaciones de millones de usuarios. Pero como sucede, por desgracia, con todo lo relacionado con las conexiones a Internet, algunos hackers se han empeñado en hacer que empecemos a desconfiar de los plugins. Te contamos por qué.

En primer lugar, la amenaza no es común a todos los complementos de navegación sino, “simplemente”, a los más utilizados. Por ejemplo, el plugin NextGEN Gallery de WordPress cuenta con más de un millón de usuarios, lo que lo convertiría, de acuerdo con esta lógica, en un blanco atractivo para los ciberdelincuentes. El modo de proceder de los piratas informáticos sería dirigir ataques a estos plugins para alojar en ellos códigos maliciosos o malware. De este modo, los usuarios que visiten las páginas infectadas se verán igualmente contagiados.

Y no, no se trata de una psicosis por la ciberseguridad basada únicamente en conjeturas. En 2017, el pluginLastPass, utilizado en algunas webs para ayudar a los usuarios a recuperar sus contraseñas, provocó una considerable alarma en la red al probarse sus numerosos fallos de seguridad. Además, las técnicas de los hackerspara infectar plugins pasan muchas veces por programas “secuestradores”. Con estos, se consigue tomar el control de la navegación del usuario, mostrando sistemáticamente ventanas que nadie ha abierto. Generalmente, se trata de publicidad o de sitios web poco seguros. En los peores casos, la infección afecta a los archivos propios.

Entre las consecuencias más negativas de los ataques, los usuarios se exponen a que cualquier información sensible que hayan introducido en alguna plataforma sea tratada de manera ilícita. Por ejemplo, sus credenciales de acceso a alguna aplicación o datos relacionados con sus preferencias de consumo o sus historiales de búsqueda pueden pasar a manos indebidas. Pero, ¿por qué resulta tan sencillo infiltrarse en los plugins? En realidad, lo sencillo no sería infectar es función sino mantener alojados los códigos maliciosos en ella. Muchos ataques a plugins pasan desapercibidos a los propietarios de las páginas o aplicaciones, por lo que tardan en actuar y los delincuentes lo aprovechan.

Y si este riesgo debería poner sobre aviso a los usuarios particulares, las empresas tendrían que hacer un esfuerzo adicional para evitar esta amenaza. Como recomendaciones, conviene asegurarse de disponer de un buen antivirus y de conocer los términos básicos de la ciberseguridad. También puede reforzarse la seguridad en la navegación con la instalación de actualizaciones o funciones adicionales en el antivirus (hay herramientas específicas para combatir las infecciones desde plugins). Por último, nunca puede ser descartable optar por no utilizar ningún plugin.