Categoría: Seguridad

Tutoriales, consejos y buenas prácticas de seguridad orientada a entornos web.

Categorías
Seguridad

Solucionar el Aviso de Seguridad por Phising

Aviso seguridad Phising - El sitio web al que vas a acceder es engañoso

¿Estás viendo el aviso de seguridad «El sitio web al que vas a acceder es engañoso» en tu página web?

Sí, el sitio web al que vas a acceder es engañoso aunque se trate de tu propia página web.
Solucionar el Aviso de Seguridad por Phising - EL sitio web al que vas a acceder es engañoso Ampliar imagen

Seguramente tu sitio web sea objeto de phising, es decir, alguien o algo ha introducido archivos maliciosos en tu web y podrían obtener datos tuyos o de tus usuarios y clientes. No te alarmes, solucionar el aviso de seguridad que se muestra en tu página web es desagradable pero no es difícil de eliminar. Lo malo es que el proceso puede llevar algo de tiempo, entre 12 y 48 horas si se hace correctamente, bastante más tiempo si se hace mal. Esto depende de Google.

¿Qué vas a necesitar para solucionar el aviso de seguridad por phising y restaurar tu sitio web?

No hace falta tener conocimientos técnicos elevados para solucionar el aviso de seguridad por phising, tan solo debes seguir los pasos adecuadamente y tener:

  1. Acceso al hosting de tu sitio web.
  2. Una cuenta en Google Search Console.
  3. La propiedad de tu dominio configurada en Google Search Console.

Tener un antivirus en tu panel de control de hosting es opcional pero recomendable, un antivirus puede eliminar archivos infectados que no seamos capaces de localizar.

¿Te falta algún punto anterior?

Si lo tienes todo haz scroll o salta a los siguientes pasos pinchando aquí, si no es así sigue leyendo para configurar todo lo necesario previamente.

Punto 1. El acceso a tu hosting.

Seguramente tengas el usuario y contraseña de acceso al panel de control de tu hosting (alojamiento en español) en alguna carpeta de tu ordenador, o quizás en tu correo. Cuando registras un hosting el proveedor te envía estos datos por correo, pero si no recuerdas donde tienes tus datos de acceso, los has perdido o no los posees, entonces debes solicitar el usuario y contraseña de acceso a tu proveedor de hosting.

Punto 2. Abrir una cuenta en Google Search Console.

Iniciar Google Search Console es sencillo si ya tienes una cuenta en Google, con tu cuenta de Google además de Gmail también tienes acceso a infinidad de aplicaciones y plataformas que Google pone a disposición de usuarios y desarrolladores, muchas de ellas muy útiles para tu sitio web.

Si no tienes cuenta en Google debes registrar una, aunque no utilices Gmail. Solo tienes que buscar en tu navegador la palabra «Google» y en la parte superior derecha de tu ventana aparece Iniciar Sesión, accede y en el login pulsa «Crear cuenta», podrás elegir si la cuenta es para ti o para tu empresa, elige la opción según sea tu caso.

Acceder a cuenta de Google o crear una cuenta en Google para solucionar el aviso de seguridad Ampliar imagen
Punto 3. Configurar la propiedad de tu dominio en Search Console.

Para solucionar el aviso de seguridad por phising de tu sitio web debes añadir y verificar la propiedad de tu dominio en Google Search Console. Inicia sesión en Google Search Console y nada más acceder aparecerás en la sección «Descripción General», es el escritorio donde verás un resumen de secciones. En la parte superior izquierda del menú lateral, verás «Añadir Propiedad«.

Solucionar el Aviso de Seguridad por Phising - Añadir propiedad en Google Search Console Ampliar imagen

En la imagen puedes ver «Añadir propiedad», en este caso aparece más abajo por la cantidad de propiedades que ya hay en la cuenta, puedes añadir varias propiedades si tienes o gestionas varios dominios.

Una vez pulses «Añadir propiedad» aparece una ventana emergente para añadir tu dominio.

Uso de Google Search Console para solucionar el aviso de seguridad por phising Ampliar imagen

Elige «Dominio» para escribir tu dominio en el casillero y después pulsa «Continuar».

Después aparecerá otra ventana emergente donde Google te indicará el registro TXT que tendrás que añadir en la configuración DNS de tu hosting.

Registro TXT para verificar propiedad en Google Search Console Ampliar imagen

Copia el registro en el portapapeles pulsando el botón «Copiar», pero todavía no pulses «Verificar» porque antes tienes que añadir el registro en tu configuración de DNS. Mantén abierta esta ventana, luego tenemos que volver a ella y verificar.

Añadir registro TXT a tus DNS para verificar propiedad en Google Search Console

Para añadir el registro a tus DNS abre otra pestaña en tu navegador y accede a tu hosting. Dependiendo del panel de control que tengas en tu hosting el acceso a la configuración DNS puede estar en un sitio u otro. Los paneles de control más habituales son Plesk y cPanel, en la siguiente imagen te mostramos donde está el acceso DNS en el panel de control cPanel y en Plesk.

Zona DNS en cPanel Acceso a configuración DNS en cPanel «Zone DNS» Ampliar imagen Zona DNS en Plesk Acceso a configuración DNS en Plesk «DNS Settings» Ampliar imagen

Para añadir un registro DNS en cPanel (en Plesk es similar y más accesible) pulsa en el icono «Zone DNS» y verás la opción para añadir registros, hay varios tipos, tendrás que seleccionar «MANAGE» para añadir un registro TXT.

Añadir DNS cPanel Ampliar imagen

Una vez pulses en MANAGE se abrirán los registros que tienes configurados en tu hosting, puedes añadir más registros pulsando en «ADD RECORD», en este caso debe ser un registro TXT.

Añadir un registro TXT a DNS en panel de control cPanel Ampliar imagen

A continuación se abre la configuración del registro TXT, solo tienes que añadir el registro que anteriormente nos ha facilitado Google Search Console. Pégalo en la columna «Record» (recuerda que lo tienes copiado en el portapapeles) y pulsa «ADD RECORD». Ya tienes añadido el registro TXT para verificar la propiedad en Google Search Console.

Registo TXT de Google Search Console Ampliar imagen

Ahora volvemos a la pestaña del navegador que hemos dejado abierta donde se encuentra Google Search Console y pulsamos en el botón «Verificar». Si todo ha ido bien Google nos dirá que se ha añadido la propiedad correctamente y esta aparecerá siempre que entremos en Google Search Console. A partir de ahora Google te enviará correos con mejoras para tu sitio web, noticias y estadísticas de tu propiedad.

Limpieza de carpetas indicadas por Google Search Console.

Tras verificar tu propiedad, en pocos segundos Google Search Console te avisará de las carpetas con archivos maliciosos que se encuentran en tu hosting. En la siguiente imagen vemos las carpetas con archivos maliciosos que en nuestro caso provocan el aviso de seguridad por phising en la página web, Google Search Console nos indica que están en «nuestrodominio.com/wuller/mews«

Páginas y archivos malware identificados por Google Search Console Ampliar imagen

Accede a tu panel de control de hosting y entra en las carpetas a través de File Manager (o por FTP). Tanto en cPanel como en Plesk se accede desde el primer icono que aparece llamado «File Manager» y que encontrarás en la parte superior.

Entrar en las carpetas web desde cPanel Ampliar imagen

Al acceder entrarás en las carpetas que contienen tus documentos, correos, software y todos los archivos de tu sitio web. Si tu panel de control es cPanel localiza la carpeta llamada public_html y entra en ella, si tienes Plesk entonces se llama httpdocs.

Solucionar el Aviso de Seguridad por Phising

Limpieza de archivos y carpetas

Sigue la ruta que te ha indicado Google Search Console para localizar el archivo infectado. En nuestro caso nos indica que el archivo malware está en public_html/wuller/mews, es decir, clic en la carpeta wuller y después en la carpeta mews, pero en tu caso seguramente será cualquier otra ruta con nombres de carpetas distintos.

En nuestro caso vemos dos documentos dentro de la carpeta llamada mews, uno con extensión php y otro documento txt, eliminamos los dos. Puedes eliminar las carpetas que te indique Google si no contienen archivos necesarios para tu web, normalmente no tendrán más que el malware.

Recomendación importante

Si no estás seguro a la hora de borrar los archivos dudosos, puedes buscar en Google el nombre de los archivos que encuentres dentro de la carpeta indicada en Google Search Console y ver si son necesarios o si están en la carpeta correcta. Si tienes dudas no los borres, renombralos y mira detenidamente si todo va bien en tu sitio web, si es así borralos tras la comprobación.

Nota: Si a través de File Manager no ves las carpetas o archivos que Google Search Console te ha indicado, es posible que tengas que marcar en cPanel «Ver archivos ocultos», esto se activa desde el menú superior derecha en «Settings» y marcando «Show Hidden Files (dotfiles)» mientras estás dentro de File Manager.

Es muy recomendable pasar un antivirus a todo tu sitio web, archivos, bases de datos y correo incluido. En cPanel puedes hacerlo si tienes un antivirus en el panel de control, busca un icono llamado «Virus Scanner».

Solicitar Revisión a Google Search Console

Una vez eliminados los archivos, carpetas y pasado un antivirus si es posible, vuelve a la página de Google Search Console para solicitar la comprobación pulsando el botón «Solicitar Revisión».

Verificar página web en Google Search Console Ampliar imagen

En unos días, horas con suerte, Google te enviará un correo con el resultado de la comprobación. Si has eliminado correctamente el malware que provocaba el aviso de seguridad por phising, el aviso desaparecerá de tu sitio web y volverá a ser visible sin problemas. También volverá a estar presente en los buscadores sin que haya perdido el posicionamiento anterior.

¿Cómo evitar que el aviso de seguridad aparezca de nuevo?

No hay un método infalible, solo buenas recomendaciones que en suma harán que tu sitio web eleve sus niveles de seguridad y sea muy complicado que vuelvas a sufrir este tipo de ataques y avisos de seguridad. Algunas recomendaciones sencillas que puede adoptar cualquier usuario:

  1. Pedir a tu proveedor de hosting que actualice la versión PHP instalada en tu alojamiento. A día 12/08/2020 va por la versión php 7.4 (evita a toda costa tener una versión 5.x)
  2. Comprar un antivirus para tu hosting.
  3. Instalar un módulo de seguridad si tu web está realizada con WordPress, Joomla!, Drupal, etc.
  4. Verifica que tu sitio web tiene un certificado SSL activo, también evitarás avisos de seguridad.

En neonet.es podemos ayudarte si no consigues solucionar el aviso de seguridad o si tienes cualquier otro problema de seguridad en tu sitio web.

Categorías
Seguridad

Cómo detectar y evitar correo phising, malware, spam y similares.

Evitar correo phising basura

Todos hemos recibido correo basura más de una vez, es habitual, posiblemente también correo phising o de suplantación de identidad, esto quiere decir que alguien se hace pasar por una persona, empresa o entidad que no es. Este tipo de correo phising además suele adjuntar virus, malware o distintas fórmulas para la captación de datos personales de los usuarios. Detectarlo es sencillo, pero no todos los usuarios están familiarizados con este tipo de correo cada vez más elaborado, por lo que es fácil caer en sus nefastas intenciones y tener problemas que pueden llegar a ser auténticas pesadillas.

Por norma general el correo phising deja evidencias de su falsedad. Si conocemos los puntos que debemos verificar al recibir un correo es muy fácil detectar si se trata de correo phising, al final lo haremos de manera automática y tardaremos décimas de segundo en abrir el correo y darnos cuenta. Vamos a poner un caso real de correo phising para reconocer sus errores y así reconocer este tipo de correos.

A continuación presentamos un correo phising que se hace pasar por una entidad estatal conocida, con logotipos oficiales, remitente elaborado y en este caso además aprovecha el actual estado de alarma por el COVID-19 para crear más confusión en el receptor.

Evitar correo phising Puedes pinchar en las imágenes para ampliar.

Como puedes apreciar, aparentemente se trata de un correo que nos ha llegado de la Agencia Tributaria, pero no lo es. Vamos con los puntos de chequeo:

Fíjate bien en el remitente.

En este caso se trata de contact@medidastibutaria.es

  • Los correos oficiales de entidades españolas no utilizan términos en otros idiomas, en este caso el usuario remitente es «contact». Por norma general los correos phising no tienen buenas traducciones y tienen alguna parte en otro idioma.
  • El dominio desde el que se envía medidastributaria.es no está bien escrito (singular + plural), aunque se trata de una extensión TLD de tipo geográfica (.es) típica de páginas de España. Esta parte está elaborada por el hacker porque es necesario especificar el DNI del titular del dominio para registrar un dominio .es, es decir, el hacker se ha tomado ciertas molestias en sustraer el nombre, apellidos y DNI de un tercero. Lo habitual es ver un remitente con extensiones de dominio tipo .top, .xyz, .news, .club, etc., más fáciles de registrar.

La redacción suele ser deficiente.

  • Los correos phising suelen ser extranjeros, provienen de Rusia y China en su mayoría, por lo que las traducciones suelen fallar. En el asunto del correo puedes ver de nuevo el uso indistinto de plural y singular, también un texto confuso «si su empresa es elegible«.
  • En el cuerpo del correo puedes ver un texto escueto, inconexo, dudoso, mal redactado, etc. En este caso se trata de un texto muy reducido donde se indica que, por un motivo poco claro pero alarmante, debes descargar un documento y devolverlo firmado. En las administraciones públicas no te van a enviar un documento por correo para solicitar que lo firmes y reenvíes sin más. Tampoco van a contactar contigo en una dirección de correo que no esté facilitada voluntariamente por ti y verificada por las administraciones públicas en sus bases de datos.
  • En este caso, al pie del correo puedes ver una política de privacidad escueta y no reglamentaria, donde se indica una dirección de la Agencia Tributaria en Madrid, situada en Spania.

Enlaces a direcciones dudosas.

  • En el cuerpo del correo verás que siempre indican con urgencia que debes entrar en un enlace o descargar un documento para solventar una situación peregrina. En este caso indican que se debe descargar un documento, que no está adjunto, a través de un enlace. Antes de pinchar en el enlace de un correo debemos posar el ratón encima para comprobar la dirección a la que nos va a dirigir. Este caso el enlace nos dirige a una página que no es medidastributaria.es como indica el dominio del usuario remitente del correo, nos va a llevar a medidastributaria.club. De hecho medidastributaria.es no apunta a ninguna página si buscamos en internet. Si tienes dudas, en la página oficial del Ministerio de Asuntos Económicos y Transformación Digital dominios.es puedes comprobar el titular de un dominio con extensión española. En este caso el titular no es una empresa o entidad, es una persona física. Las personas físicas no son titulares de dominios de entes gubernamentales. Si se trata de una extensión de dominio distinta al .es, puedes comprobar su titular en WHOIS

 

Evitar correo phising Puedes pinchar en las imágenes para ampliar.

¿Cómo evitar correo phising?

Es complicado, la seguridad se basa en gran medida en el sentido común y buenas prácticas. Para evitar la recepción de correo basura, spam o phising debes mantener un criterio de seguridad:

  1. Crea filtros que envíen correo a la basura directamente, es decir, puedes indicar en tu gestor de correo que un usuario o una extensión de dominio determinada siempre entre en la bandeja de no deseados o se elimine directamente. Si indicas en tu filtro que *@loquesea.com llegue a no deseados, cualquier cuenta de correo del dominio loquesea.com entrará en no deseados. Si indicas en tu filtro user?@*.com harás que cualquier cuenta de correo con la extensión .com llegue a no deseados. Esto último es útil con extensiones de dominio ampliamente utilizadas para correo basura como .rocks, .today, .news (lo siento por los que tengan una extensión de este tipo y sean legales)
  2. No te registres en páginas dudosas.
  3. Si te registras en páginas dudosas no lo hagas jamás con un correo que hayas utilizado, o vayas a utilizar, para el registro en administraciones públicas, ayuntamientos, instituciones oficiales, etc.
  4. Evita el registro en páginas sin certificado SSL (candado verde en la barra de direcciones). Aunque curiosamente son muchas las páginas de administraciones oficiales que no tienen certificado SSL…
  5. No ofrezcas jamás datos personales, DNI o tarjetas de crédito, en páginas no verificadas. No facilites jamás tus contraseñas a nadie por ninguna vía: correo, teléfono, etc. Las administraciones públicas no solicitan tus contraseñas.
  6. No utilices jamás la misma contraseña para varias páginas, es tan cómodo como peligroso. Evitarás que terceros puedan acceder a perfiles y páginas con información personal donde te hayas registrado. Si además empleas contraseñas seguras con más de doce caracteres alfanuméricos y símbolos aumentas muchísimo tu propia seguridad. (ej. Hi2=LM-FpKl3), evita siempre palabras conocidas en tus contraseñas (ej. pepito123).

Aunque cumplas todos estos criterios no estarás completamente a salvo de correo phising, pero lo reducirás de manera drástica. Ten en cuenta que hasta la canciller alemana Angela Merkel o Telefónica han sufrido ataques y robos de cuentas, aunque por métodos distintos al correo phising.