{"id":1192,"date":"2026-06-15T13:29:46","date_gmt":"2026-06-15T13:29:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/15\/secuencias-de-comandos-de-complementos-populares-de-wordpress-manipuladas-para-colocar-puertas-traseras-ocultas-en-los-sitios-cyberdefensa-mx\/"},"modified":"2026-06-15T13:29:46","modified_gmt":"2026-06-15T13:29:46","slug":"secuencias-de-comandos-de-complementos-populares-de-wordpress-manipuladas-para-colocar-puertas-traseras-ocultas-en-los-sitios-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/15\/secuencias-de-comandos-de-complementos-populares-de-wordpress-manipuladas-para-colocar-puertas-traseras-ocultas-en-los-sitios-cyberdefensa-mx\/","title":{"rendered":"Secuencias de comandos de complementos populares de WordPress manipuladas para colocar puertas traseras ocultas en los sitios \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Un atacante manipul\u00f3 archivos JavaScript confiables utilizados por los sitios de WordPress que ejecutan EmpujarEngage<\/b>, OptinMonster<\/b>y ConfianzaPulse<\/b>convirtiendo esos archivos en una forma de ingresar a los sitios.<\/p>\n

Cuando un administrador del sitio iniciaba sesi\u00f3n mientras se cargaba el archivo, el c\u00f3digo creaba una cuenta de administrador bajo el control del atacante e instalaba un complemento oculto que abr\u00eda un camino de regreso. Los visitantes comunes no lo activaban.<\/p>\n

Cualquier sitio afectado debe tratarse como comprometido. Los tres complementos son administrados por una empresa, Awesome Motive, que no hab\u00eda comentado sobre los dos complementos m\u00e1s grandes hasta el 15 de junio.<\/p>\n

Empresa de seguridad sansec<\/a> revel\u00f3 la campa\u00f1a m\u00e1s amplia el 13 de junio y encontr\u00f3 el mismo c\u00f3digo malicioso en JavaScript servido para los tres complementos.<\/p>\n

PushEngage sigui\u00f3 un d\u00eda despu\u00e9s con el suyo propio. aviso de incidente<\/a>confirmando que un atacante hab\u00eda entregado copias manipuladas de su script y que los sitios que las cargaban podr\u00edan ser secuestrados.<\/p>\n

PushEngage, adquirida por Awesome Motive hace a\u00f1os, es hasta ahora el \u00fanico de los tres que publica orientaci\u00f3n; Los usuarios de OptinMonster y TrustPulse no han escuchado nada oficial.<\/p>\n

La ventana no era la misma para cada complemento. Sansec vio el c\u00f3digo malicioso en OptinMonster y TrustPulse durante solo unos 25 minutos el 12 de junio, primero alrededor de las 22:17 UTC y desapareci\u00f3 a las 22:42. La exposici\u00f3n de PushEngage dur\u00f3 m\u00e1s: varias horas el 12 de junio, y su script todav\u00eda estaba siendo servido desde algunos de los servidores de CDN hasta el 14 de junio.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Entonces, los dos complementos con m\u00e1s sitios ten\u00edan la ventana m\u00e1s peque\u00f1a y PushEngage ten\u00eda la m\u00e1s grande.<\/p>\n

Sansec estima que los tres complementos llegan a m\u00e1s de 1,2 millones de sitios entre ellos, la mayor parte de OptinMonster, que por s\u00ed solo tiene m\u00e1s de un mill\u00f3n de instalaciones activas. PushEngage complemento de WordPress<\/a> Tiene m\u00e1s de 9.000. Esa cifra es alcance, no da\u00f1o: cuenta los sitios que ejecutan los complementos, no los sitios en los que fueron pirateados.<\/p>\n

C\u00f3mo funcion\u00f3 el ataque<\/h2>\n

El script envenenado no hizo nada en una vista de p\u00e1gina normal. Actu\u00f3 solo cuando un administrador de WordPress que hab\u00eda iniciado sesi\u00f3n lo carg\u00f3 y luego us\u00f3 la sesi\u00f3n de ese administrador para tomar el control.<\/p>\n

Ese dise\u00f1o tambi\u00e9n es la raz\u00f3n por la que el panel de WordPress no puede decirle si fue atacado: la puerta trasera est\u00e1 dise\u00f1ada para permanecer fuera de las pantallas de administraci\u00f3n, por lo que la \u00fanica verificaci\u00f3n confiable est\u00e1 en el servidor.<\/p>\n

En el caso de PushEngage, los archivos manipulados eran sus incrustaciones normales, pushengage-web-sdk.js y pushengage-subscription.js, servidos desde clientcdn.pushengage.com, la red de entrega de contenido que env\u00eda el script de PushEngage a los sitios de los clientes. OptinMonster y TrustPulse se vieron afectados a trav\u00e9s de puntos finales separados de Awesome Motive CDN.<\/p>\n

\"\"<\/a><\/div>\n

PushEngage dice que el resto de sus sistemas permanecieron intactos: no encontr\u00f3 se\u00f1ales de que su aplicaci\u00f3n principal o los servidores que contienen datos de los clientes hubieran sido alcanzados.<\/p>\n

Seg\u00fan la propia cuenta de PushEngage, una vez que el script se ejecut\u00f3 con un administrador conectado,:<\/p>\n

    \n
  1. us\u00f3 la sesi\u00f3n de ese administrador para actuar con permisos completos,<\/li>\n
  2. cre\u00f3 una nueva cuenta de administrador bajo el control del atacante,<\/li>\n
  3. instal\u00f3 un complemento que no aparece en el panel de control y<\/li>\n
  4. Envi\u00e9 los nuevos detalles de inicio de sesi\u00f3n y la informaci\u00f3n del sitio a tidio.[.]cc, un dominio falso creado para parecerse al tidio.com real.<\/li>\n<\/ol>\n

    Sansec encontr\u00f3 la misma secuencia en los tres complementos. el tidio[.]El dominio cc se registr\u00f3 el 28 de abril, semanas antes del ataque, lo que apunta a una operaci\u00f3n planificada en lugar de un ataque r\u00e1pido.<\/p>\n

    El complemento oculto es el verdadero premio. Abre lo que se conoce como un shell web, un canal de comando remoto: cualquiera que conozca la URL correcta puede ejecutar c\u00f3digo en el servidor sin iniciar sesi\u00f3n. Desde all\u00ed, el atacante puede leer o cambiar cualquier archivo, copiar la base de datos, instalar m\u00e1s puertas traseras, inyectar c\u00f3digo de robo de tarjetas, redirigir a los visitantes o robar datos.<\/p>\n

    La cuenta de administrador adicional es una forma sencilla de regresar si elimina el complemento pero pierde la cuenta. Y debido a que el atacante puede ejecutar c\u00f3digo libremente, eliminar el complemento y la cuenta nombrados puede no ser suficiente; Tanto Sansec como PushEngage dicen asumir que podr\u00edan quedar otras puertas traseras.<\/p>\n

    C\u00f3mo entr\u00f3 el atacante<\/h2>\n

    \u00c9sta es la parte en la que los dos relatos no est\u00e1n de acuerdo. PushEngage dice que el atacante primero irrumpi\u00f3 en el servidor que ejecuta su sitio web de marketing, a trav\u00e9s de una falla conocida en UpdraftPlus<\/b>un complemento de copia de seguridad de WordPress. Ese servidor est\u00e1 separado de los sistemas que ejecutan el producto y almacenan los datos del cliente.<\/p>\n

    Lo que importaba no era el servidor en s\u00ed, sino la clave que conten\u00eda: una clave CDN API. Con esa clave, el atacante no necesitaba ingresar a los sistemas principales de PushEngage. Simplemente podr\u00eda cambiar los archivos que la CDN ya estaba entregando a los sitios de los clientes.<\/p>\n

    Sansec no est\u00e1 convencido de que el punto de entrada est\u00e9 resuelto. Dice que el sistema violado a\u00fan se desconoce, siendo los propios servidores de Awesome Motive el lugar m\u00e1s probable, la cuenta CDN posible y el proveedor de CDN, BunnyNet, poco probable.<\/p>\n

    El an\u00e1lisis p\u00fablico de Sansec no examina ni respalda la teor\u00eda UpdraftPlus; esa cuenta proviene \u00fanicamente de PushEngage, sobre su propio entorno. UpdraftPlus tiene un error de omisi\u00f3n de autenticaci\u00f3n independiente, CVE-2026-10795<\/a>que Wordfence tiene una puntuaci\u00f3n de 8,1 (alta gravedad); ahora est\u00e1 parcheado y Wordfence ha informado de ataques en su contra, por lo que cualquiera que ejecute UpdraftPlus deber\u00eda actualizar pase lo que pase.<\/p>\n

    \n
    \"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

    No se ha confirmado si ese error tuvo algo que ver con este robo. Trate el punto de entrada como inestable.<\/p>\n

    Qu\u00e9 comprobar y hacer<\/h2>\n

    Seg\u00fan la l\u00ednea de tiempo de Sansec, los archivos OptinMonster y TrustPulse estaban limpios el 13 de junio, mientras que el script de PushEngage permaneci\u00f3 en algunos servidores CDN hasta el 14 de junio. PushEngage dice que todav\u00eda est\u00e1 trabajando en la ventana exacta y desde entonces reemplaz\u00f3 los archivos defectuosos, borr\u00f3 el cach\u00e9 CDN, cambi\u00f3 la clave CDN y todas las credenciales relacionadas, y traslad\u00f3 el sitio de marketing a una nueva infraestructura.<\/p>\n

    Nada de eso limpia un sitio que ya fue tomado.<\/p>\n\n\n\n\n
    \"\"<\/a><\/td>\n<\/tr>\n
    Indicadores de compromiso (IoC) de Sansec<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    Debido a que la puerta trasera se esconde del tablero, no se puede descartar un compromiso al mirar WordPress. Si su sitio ejecut\u00f3 alguno de los tres complementos durante la ventana de amenaza, la \u00fanica respuesta confiable es un an\u00e1lisis del lado del servidor.<\/p>\n

    No intente resolverlo adivinando si inici\u00f3 sesi\u00f3n; la mayor\u00eda de los propietarios no pueden probarlo de ninguna manera. Trate los pasos siguientes como base.<\/p>\n

      \n
    1. Ejecute un an\u00e1lisis del lado del servidor.<\/b> Cualquiera que haya tenido PushEngage, OptinMonster o TrustPulse activos durante la ventana deber\u00eda escanear el servidor directamente. Una verificaci\u00f3n del navegador o del panel de control perder\u00e1 una carga \u00fatil que solo se ejecut\u00f3 para los administradores que iniciaron sesi\u00f3n. (Sansec vio la misma carga \u00fatil en los tres complementos, pero no confirm\u00f3 que OptinMonster y TrustPulse se entregaran de la misma manera o en la misma ventana que PushEngage).<\/li>\n
    2. Verifique el sistema de archivos, no el tablero.<\/b> En wp-content\/plugins, busque carpetas denominadas content-delivery-helper (\u00abAyuda de entrega de contenido\u00bb) o optimizador de base de datos (\u00abOptimizador de base de datos\u00bb). Conf\u00eda en lo que hay en el disco. Elimine cualquier cuenta de administrador que no haya creado, especialmente desarrollador_api1 o cualquier cuenta que coincida con dev_xxxxxx.<\/li>\n
    3. Revisa tus registros.<\/b> Revise los registros de acceso al servidor web del 12 al 14 de junio UTC para ver el tr\u00e1fico saliente a tidio.cc, incluidas sus rutas \/cdn-cgi\/, y al servidor del atacante en 84.201.6.54.<\/li>\n
    4. Si encuentra algo, asuma lo peor.<\/b> Gire todo: contrase\u00f1as de administrador, claves API, credenciales de base de datos y claves secretas (sales) en wp-config.php. Con la ejecuci\u00f3n del c\u00f3digo en el servidor, es posible que quede m\u00e1s persistencia.<\/li>\n<\/ol>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

      Un atacante manipul\u00f3 archivos JavaScript confiables utilizados por los sitios de WordPress que ejecutan EmpujarEngage, OptinMonstery ConfianzaPulseconvirtiendo esos archivos en una forma de ingresar a los sitios. Cuando un administrador del sitio iniciaba sesi\u00f3n mientras se cargaba el archivo, el c\u00f3digo creaba una cuenta de administrador bajo el control del atacante e instalaba un complemento […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[3113,176,3111,24,52,3112,3114,36,2601,1325,3110,266,2032,2928],"class_list":["post-1192","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-colocar","tag-comandos","tag-complementos","tag-cyberdefensa-mx","tag-los","tag-manipuladas","tag-ocultas","tag-para","tag-populares","tag-puertas","tag-secuencias","tag-sitios","tag-traseras","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1192","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1192"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1192\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1192"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1192"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1192"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}