En los últimos meses, más de 20,000 sitios web de WordPress han sido comprometidos por la banda cibercriminal
conocida como Balada Injector, según revela el último ESET Threat Report. Los ataques se han centrado en la
explotación de vulnerabilidades en plugins populares como PopUp Builder, permitiendo a los atacantes tomar
control completo de los servidores afectados.

Aumento de ataques desde finales de 2023

El semestre final de 2023 marcó un incremento en este tipo de ataques, con un notable aumento de detecciones
desde enero de 2024. Balada Injector ha utilizado principalmente vulnerabilidades en el plugin PopUp Builder,
una herramienta ampliamente utilizada para la creación de Pop ups en sitios de WordPress, como su vía de acceso
inicial a los servidores comprometidos.

WordPress: un blanco atractivo para cibercriminales

Con más del 43% de los sitios web en internet utilizando WordPress para la creación y gestión de contenidos,
según datos de w3techs.com, la plataforma se ha convertido en un objetivo principal para actores de amenazas. Los
operadores de Balada Injector son conocidos por aprovechar las vulnerabilidades en los complementos de
WordPress, y tienen la capacidad de instalar múltiples mecanismos de persistencia, lo que les permite mantener el
control de los servidores incluso después de la detección inicial.

Advertencias de expertos y medidas de seguridad

Ján Adámek, ingeniero sénior de detección de ESET, ha alertado sobre la peligrosidad de los scripts utilizados
por Balada Injector, los cuales pueden otorgar a los atacantes el control total del servidor web. Ante la
detección de actividad maliciosa, es crucial eliminar los complementos comprometidos y actualizar todos los
plugins asociados a WordPress. Además, se debe verificar la existencia de cuentas de administrador maliciosas y
archivos sospechosos en el servidor, y cambiar todas las credenciales de acceso para prevenir futuras
intrusiones.

Cómo detectar actividad maliciosa en WordPress

La plataforma de WordPress detalla varios indicadores de compromiso que los administradores deben monitorear para
detectar actividad maliciosa, entre ellos:

• El sitio web aparece en la lista negra de Google, Bing, u otros motores de búsqueda.
• El host deshabilita el sitio.
• La web es marcada por distribuir malware.
• Se detectan comportamientos no autorizados, como la aparición de usuarios nuevos desconocidos.
• El sitio presenta un aspecto extraño o inusual.

Acciones recomendadas tras la detección de actividad maliciosa

Ante la detección de actividad maliciosa en un sitio de WordPress, se recomienda:

• Controlar y revocar accesos dudosos.
• Documentar toda actividad sospechosa para generar un reporte de incidente.
• Escanear el sitio y su entorno en busca de amenazas.

Una vez que se confirma que el sitio está limpio, es crucial cambiar todas las contraseñas y credenciales de
acceso, utilizando contraseñas robustas.

Mantener los sistemas actualizados para prevenir ataques

Como insiste WeLiveSecurity, mantener todos los sistemas y aplicaciones actualizados es una de las mejores
maneras de prevenir ciberataques. Las actualizaciones incluyen parches de seguridad que abordan vulnerabilidades
recientemente descubiertas. En el caso de WordPress, se recomienda utilizar siempre la última versión disponible,
actualmente la serie 6.6, que es la única versión considerada segura y que se mantiene activamente
actualizada.