Fallo de seguridad en WordPress

fjavierm

Supongo que al igual que yo, hoy mucha gente habrá recibido un correo como el que voy a copiar a continuación. Lo pongo aquí por si hay algún despistado, o por si alguien que no se ha visto teóricamente afectado decide cambiar sus credenciales. Yo lo haría por si acaso.

Como vemos una vez tras otra, cualquiera puede caer, hoy en día, no hay nada lo suficientemente seguro.

[El texto en rojo y negrita ya explicaré más abajo que es]

Hola svoboda,

Recientemente hemos encontrado y arreglado un fallo del que nos gustaría hablarte. Las contraseñas en WordPress.com se guardan de forma extremadamente segura, de forma que ni siquiere nuestros empleados pueden ver tu contraseña – esa con al que entras en tu cuenta de WordPress.com. Sin embargo, entre julio de 2007 y abril de 2008, y entre septiembre de 2010 y julio de 2011, un fallo en uno de los sistemas que se utilizan para encontrar y corregir errores den WordPress.com accidentalmente guardó contraseñas de algunos usuarios en un formato menos seguro.

Hemos actualizado nuestros sistemas para prevenir que las contraseñas se guarden de esta forma en el futuro, para que no vuelva a ocurrir. No tenemos ninguna evidencia de que se haya utilizado esta información de forma maliciosa, pero tu cuenta está entre las afectadas por este fallo y por seguridad vamos a resetear tu contraseña.

Por favor, cambia aquí tu contraseña o copia y cola este enlace en tu navegador:

[Supuesto enlace para la modificación de la contraseña]

Si la contraseña que utilizaste cuando te registraste en WordPress.com es la utlizas en todos sitios, deberías cambiarla también. En el futuro, recuerda que es una buena práctica utilizar contraseñas diferentes y únicas para cada servicio.

Sentimos mucho el fallo. A nadie le gusta tener que crear nuevas contraseñas y queremos incluir un descuento del 15% para pediros perdón. este descuento puede utilizarse para dominios personalizados, mejoras de diseño, VideoPress o ampliación de espacio. Sólo tienes que utilizar el código que acompaña a este texto en cualquiera de las mejoras en la tienda de WordPress.com:

[Código para la promoción imagino]

Si tienes cualquier pregunta, contesta este mensaje para que nuestro equipo de Happiness te ayude.

Gracias

El equipo de WordPress.com

En principio, el correo viene de una dirección que no tiene mala pinta, pero como uno es desconfiado por naturaleza en estas cosas, de usar el enlace que viene en en correo ni hablamos. Y aunque en principio, si examinamos la cabecera del correo este no tiene mala pinta, hay un par de cosas que no me han gustado (están marcadas en rojo en el texto del correo):

1 – “ni siquiere”: Evidentemente aquí querían decir “ni siquiera”. Desconozco si es un error tipográfico o alguna diferencia lingüística entre mi español y el de otras zonas del mundo. Si es un error tipográfico, me parece un fallo bastante gordo, si es un error lingüístico, bueno, no pasa nada.

2 – “den”: Dudo mucho que este sea un fallo lingüístico. Este tipo de fallos no se deberían permitir en un comunicado “oficial”.

3 – “Copia y cola”: Este si que puede ser un error lingüístico ya que en mi zona hispanohablante se dice “copia y pega”. De nuevo, si es lingüístico no pasa nada.

4 – “este”: Tampoco me creo que esto sea un fallo lingüístico. Después de punto, siempre mayúscula.

Qué le vamos a hacer, uno es desconfiado por naturaleza.

De todas formas, me he ido a mi cuenta de WordPress y allí, en el panel de control, también aparecía un mensaje indicándote lo mismo. Así que por lo que parece el correo era verídico.

Una de las cosas que no me ha convencido tampoco, no ha nivel de veracidad, sino a nivel de usuario de su aplicación, son las fechas: 2007 y 2008. ¡Guauu! Pero bueno, si en 3 o 4 años no ha pasado nada, no le daremos más vueltas, de momento.

Nos vemos.

[ACTUALIZACIÓN – 17:43 (24h) GTM +1]

Acabo de encontrar este hilo en los foros de WordPress sobre el correo por si queréis echarle un ojo.

Fallo de seguridad en WordPress

5 thoughts on “Fallo de seguridad en WordPress

  1. Je, je, estaba buscando info sobre este email porque yo desconfiaba por los mismos motivos que tú… está sembrado de errores de ortografía, como el típico mensaje de “¡Hotmail cierra, envía esto a 1350 contactos!”. Inicialmente lo descarté dando por hecho que era phishing y además de los malos, pero me extrañaba que el dominio del enlace aparentemente fuese genuino. Hoy he vuelto a mirarlo y he encontrado tu blog, confirmando que por lo visto el mensaje es auténtico, aunque tremendamente cutre.

    Si cuidan tanto su seguridad como la redacción/traducción de esta clase de mensajes, estamos apañados…

    Saludos.

    Like

    Reply
    1. svoboda says:

      A mi me ha dado la impresión de falso también al principio, pero como dices, el dominio encaja. Además, si has accedido a tu cuenta, te habrá mostrado el mismo mensaje y la misma recomendación de cambiar los credenciales. Bueno, el mismo, pero más corto, incluso coincidiendo el código de promoción. Ya si te lo muestra el propio wordpress, poco tenemos que hacer… aunque nunca se sabe
      x-)

      Like

      Reply
  2. Anonymous says:

    Hola!!! Esto me tiene algo confundida. No se si este correo que me llego es verdadero. Eso esta como el correo que estaban enviando que hotmail que cobrarían que lo iban a cerrar y de eso no paso nada. Necesito saber cual es el rollo de todo esto .

    Like

    Reply
    1. svoboda says:

      El correo es legítimo. De hecho, no uses el enlace que te adjuntan, ve directamente al panel de administración de tu blog y accede a la sección de cambio de credenciales, verás que te aparece un mensaje similar aunque mucho más corto.
      Además, puedes consultar el hilo del foro de WordPress que hay en la actualización de este post.

      Like

      Reply

  3. […] Comprensiblemente ha habido quien ha dudado de la legitimidad del aviso; también un usuario del foro de ayuda de WordPress.com quiso saber si era auténtico. Lo inesperado de la misiva, su carácter de urgencia, la ambigüedad de la dirección de envío (fácil de falsificar, además de que passwordcoupon suena a chiste, si se me permite la comparación) y la baja calidad de la redacción, una traducción aparentemente hecha deprisa y corriendo con evidentes fallos ortográficos y gramaticales, hacían sospechar de un posible ataque de phishing. Sin embargo, la observación de dos detalles significativos debilita la sensación de fraude. En primer lugar, los enlaces internos señalan directamente al dominio wordpress.com usando una conexión HTTPS, de modo que la información de restablecimiento de la contraseña viaja cifrada a través de la red. Por otra parte, muchos mensajes de phishing se caracterizan por incorporar saludos genéricos como “Estimado usuario” o cliente, o una dirección de destino diferente de la nuestra. En este caso ocurre al contrario: la comunicación se dirige al destinatario por el nombre y la dirección de correo registrados en su perfil. No obstante, los delincuentes podrían aprovecharse en cualquier momento de las “miguitas de pan” que vamos dejando aquí y allá para conferir mayor verosimilitud a sus campañas de phishing, o construir enlaces aparentemente inocuos que en realidad, a través de vulnerabilidades en aplicaciones web, inyecten falsos formularios de solicitud de credenciales que envíen los datos a un lugar distinto. […]

    Like

    Reply

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.