Se calcula que de todos esos sitios (la mayoría blogs creados con WordPress), han sido infectados con la idea de distribuir el falso software de seguridad, según reportó el lunes la compañía Websense.

WordPress es un sistema de gestión y publicación de contenido web, enfocado a la creación de blogs, pero con la suficiente versatilidad como para crear y administrar sitios completos.

Dentro de los denominados "scamware" (software malicioso que se presenta como un programa útil), los "rogue", software que simula ser una aplicación antimalware, son los más conocidos, y los que más fácilmente pueden lograr su propósito de engañar a los usuarios.

Imagínese que mientras navega por Internet, luego de una acción solicitada (hacer clic para examinar su PC), y a veces sin su intervención, se le presenta una pantalla que aparenta hacer un examen de su PC, y luego le avisa de la presencia de una cantidad "X" de infecciones.

Este tipo de falsos antivirus o páginas de análisis, no es algo nuevo, y desde hace un tiempo se ha convertido en uno de los principales métodos de infección que utilizan la llamada "ingeniería social" para engañar a los usuarios e instalarse.

Para lograr su objetivo, se valen también de vulnerabilidades en navegadores obsoletos o desactualizados, lo que permite formas de ataque conocidas como "Drive-by-Download", o sea un enlace que lleva a un sitio malicioso para descargar un código maligno sin intervención alguna del usuario.

En este caso, se destaca la gran cantidad de páginas infectadas que pueden servir para este propósito específico. Los treinta mil sitios, representan más de doscientas mil páginas de Internet.

Cuando el usuario accede a ellas, se muestra una ventana que simula ser la del explorador de Windows con el título de "Windows Security Alert" o alguno similar. Luego del supuesto escaneo (que es falso por supuesto, porque se trata de una simple animación), se pide descargar y ejecutar una "herramienta antivirus" para eliminar las infecciones encontradas. Si el usuario accede a esta solicitud, termina descargando e instalando un troyano.

La mayor cantidad de sitios se encuentran físicamente en los Estados Unidos, pero ello no indica que sean sitios únicamente en inglés. La mayoría de las páginas web y blogs de hispanohablantes, están alojadas en servidores de ese país. Por supuesto, los visitantes infectados pueden ser de cualquier parte del mundo.

Lo común en este caso concreto, es que la mayoría de los blogs comprometidos, están ejecutando versiones obsoletas de WordPress, o utilizan complementos vulnerables, que no han sido actualizados, o simplemente son de origen dudoso.

Existe un plugin para WordPress llamado ToolsPack, que parece ser el principal culpable de la mayoría de las infecciones en los sitios comprometidos. Se trata de una colección de herramientas que ayuda a administrar y configurar WordPress, pero en realidad contiene una puerta trasera o "backdoor" que es utilizada por los atacantes.