Cada minuto se lanzan 40.000 ataques que intentan robar contraseñas de sitios web

Mónica Tilves,

SiteGround detecta 57 millones de intentos de ‘login’ diarios a páginas basadas en WordPress y alojadas en sus servidores.

La debilidad de las contraseñas elegidas por muchos usuarios se combina con la constante insistencia de los ciberdelincuentes por hacerse con el control de cuentas online. Esto deriva en altas cifras de ataque.

La empresa de hosting SiteGround registra 57 millones de intentos de login diarios en páginas web que están basadas en WordPress y alojadas en sus servidores. Esto serían unos 40 000 ataques por minuto “en un día normal”. En fechas especiales, como el Black Friday o el Cyber Monday, los números se disparan.

“También observamos un gran incremento de ataques a los sitios webs cuando se producen actualizaciones de WordPress“, revela José Ramón Padrón, Country Manager de SiteGround en España. Esto es así porque los ciberdelincuentes atacan sitios que siguen usando versiones antiguas de la plataforma afectadas por vulnerabilidades. “Por ello es tan necesario mantener actualizado todo tu software a las últimas versiones”, recuerda este experto.

Para evitar los ataques de fuerza bruta también se recomienda instalar soluciones de seguridad, incluyendo un firewall de aplicaciones. Otros consejos son admitir únicamente contraseñas fuertes y requerir a los usuarios la verificación en dos pasos.

De los 57 millones de tentativas de ataque detectados por SiteGround, 16 millones fueron bloqueados por un firewall web y 4 millones fueron intentos de acceso o registro incorrectos.

Los delincuentes aplican ataques de fuerza bruta que van uniendo letras y números hasta que encuentran credenciales que funcionan. También disponen de listas de contraseñas ya usadas y palabras que se pueden combinar. “Como los ataques de fuerza bruta desde un solo ordenador eran realmente fáciles de detectar y bloquear, ahora una red de cientos o miles de ordenadores trabajan juntos para atacar un sitio web y adivinar su nombre de usuario o contraseña”, explica Padrón.

En la actualidad, un hacker es capaz de realizar intentos de adivinar un nombre de usuario y una contraseña a un ritmo de miles de veces por segundo.