Campaña de malware infecta 2,000 sitios WordPress y usa perfiles de Steam para ocultar sus instrucciones
Cerca de 2,000 sitios WordPress fueron infectados con malware que usa comentarios en perfiles de Steam — la plataforma de videojuegos — para ocultar sus instrucciones de comando y control. La técnica evita los filtros de seguridad que bloquean dominios maliciosos conocidos.
Contexto
Cerca de 2,000 sitios WordPress fueron comprometidos por una campaña de malware que usa una técnica poco habitual: oculta sus instrucciones de comando y control — los mensajes que le dicen al malware qué hacer — en comentarios de perfiles públicos de Steam, la plataforma de videojuegos de Valve. Al comunicarse a través de un servicio legítimo y conocido, el malware evita los filtros de seguridad que bloquean tráfico hacia dominios maliciosos conocidos. Los sitios infectados pueden ser usados para distribuir más malware a sus visitantes, redirigirlos o recopilar información.
Por qué importa
- La técnica es una señal de evolución: los atacantes usan plataformas legítimas (Steam, GitHub, Telegram) para ocultar comunicaciones maliciosas, lo que hace ineficaces los filtros basados en listas de dominios bloqueados.
- Los propietarios de sitios WordPress afectados pueden no saberlo — el malware opera en segundo plano.
- Los visitantes de esos sitios quedan expuestos a redirecciones, descargas maliciosas o robo de datos sin señal visible.
Impacto potencial
Para personas
- Visitar un sitio WordPress comprometido puede derivar en redirecciones a páginas fraudulentas o descarga automática de malware.
- Si tienes un sitio WordPress, puede estar siendo usado para atacar a tus propios visitantes sin que lo sepas.
Para organizaciones
- Sitios corporativos en WordPress sin mantenimiento activo son candidatos a ser parte de esta campaña.
- El daño reputacional de que tu sitio distribuya malware a clientes y prospectos puede ser mayor que el técnico.
- Si el sitio recopila datos de visitantes o clientes, un compromiso puede activar obligaciones de notificación.
Recomendaciones
Para personas
- Si tienes un sitio WordPress, revisa si tiene plugins o temas desactualizados — son el vector de entrada más común.
- Instala un plugin de seguridad que escanee el sitio en busca de código no autorizado (Wordfence o equivalente).
- Si tu hosting ofrece escaneo de malware, actívalo o solicítalo.
Para organizaciones
Gestión
- Confirmar con el responsable del sitio que WordPress, sus plugins y temas están actualizados.
- Si el sitio es administrado externamente, solicitar un reporte de seguridad esta semana.
Técnicas
- Escanear el sitio en busca de código inyectado no autorizado, especialmente en archivos
functions.php,index.phpy en la carpeta de uploads. - Revisar logs de acceso en busca de patrones inusuales de tráfico o requests a URLs desconocidas.
- Si no tienes equipo de TI: pide a tu agencia o proveedor que ejecute un escaneo de malware y te confirme el resultado por escrito.
Pregunta diagnóstica
¿Sabe qué componentes externos tiene su sitio y quién responde por actualizarlos?
Leer fuente original →