Hacker ético encontró vulnerabilidades en los servicios de hosting web más grandes del mundo

La firma de seguridad Website Planet publicó recientemente un informe a través del cual revela que uno de sus investigadores, el hacker ético Paulos Yibelo, descubrió una serie de vulnerabilidades que han afectado a varios de los servicios de hosting web más importantes del mundo.

Según lo que dice el experto de cuello blanco en este reporte, estas vulnerabilidades son cinco en total, y han afectado a los servicios de hosting DreamHost, BlueHost, OVH, HostGator e iPage (nada más y nada menos que los más grandes del planeta), y las mismas facilitan el robo de datos confidenciales o el acceso remoto a las cuentas de los usuarios.

Cabe destacar que OVH es el proveedor más importante de hosting web en España, manejando el 20% de la cuota de mercado junto con BlueHost y HostGator. Las empresas cuyas herramientas de alojamiento web presentan las vulnerabilidades del informe ofrecen sus servicios al 30% de los sitios web de España.

Según Website Planet, las vulnerabilidades fueron notificadas a todos los servicios de host web involucrados, y todas estas compañías informaron que los errores informáticos ya han sido solucionados. La firma reveló además que aún existen vulnerabilidades similares en otros servicios de hosting web, especialmente en aquellos que no cuentan con el presupuesto de seguridad para hacer frente a las amenazas.

La firma de seguridad también reveló que cada uno de los servicios de hosting web tenía al menos un error de seguridad grave que permitía el hackeo de las cuentas de los usuarios. Las vulnerabilidades podrían haber sido explotadas para realizar ataques a cualquiera de los dos millones de dominios web que se alojan en los cinco servicios de host involucrados.

El hacker ético Yibelo explica en sus resultados que la mayoría de los ataques pudieron realizarse de manera simple, a través de una campaña de phishing dirigida a usuarios de alto perfil. Al contar con los datos de registro de los usuarios, la mayoría de los ataques se basan en el envío de un enlace malicioso al dueño del dominio a través de su correo electrónico y esperar que caiga en la trampa.