Hola buenas tardes equipo de PKP, escribo este tópico debido a que a principios de esta semana (abril 2025) una editora de una revista me hizo llegar un correo en donde mencionaban sobre un ciberataque masivo a 13 universidades de México, de hecho esto fue publicado en una publicación llamada publiMetro, comparto el enlace a la publicación:
Al parecer también en el boletín de Scielo México lo publicaron:
https://boletinscielomx.blogspot.com/2025/04/mexico-ciberataque-revistas-academicas.html
Estoy al tanto de la publicación que el equipo de PKP hizo en abril del 2017 https://pkp.sfu.ca/2017/04/12/regarding-recent-ojs-defacement-attacks/ donde hablan sobre el Defacement y explican que más que un hackeo es una caracteristica del OJS. Sin embargo, justo estaba haciendo una actualización de un OJS versión 2.4.8-5 a la versión 3.4.0.8 y me di cuenta que había un subdirectorio en el respaldo que me compartieron, justo debajo de directorio_ojs2/public/site/images llamado deface el cual no tenía ningun tipo de permiso para ningun usuario:
ls -l directorio_ojs2/public/site/images
d---------. 2 root root 22 abr 21 14:20 deface
una vez asignando los permisos adecuados para leer el directorio deface, encontré la siguiente imagen:
Lo cual me hizo preguntarme, realmente no es un hackeo, el cual se aprovecha de la caracterisitica de que cualquier usuario registrado en el OJS puede cargar una imagen? Más por el hecho de que este subdirectorio deface no tenía ningún permiso. Estoy pensando que quizás el ingeniero encargado del OJS 2 pudiera haberse dado cuenta de esta imagen con mensaje fraudulento, y que él decidiera retirarle por completo los permisos a este subdirectorio e imagen.
Al final de la publicación donde explican que medidas a tomar, dice esto:
“Edición 2021-04-15: Las versiones recientes del software PKP permiten deshabilitar por completo las cargas de imágenes de usuario configurando public_user_dir_size en 0 en config.inc.php.”
me tomé la molestia de traducirlo en el traductor de Google, jejeje.
Me imagino que si establezco la variable public_user_dir_size en 0, entonces ningún usuario podría cargar imagénes utilizando la herramienta imagen en los editores de texto enriquecido, es decir, en el TinyMCE? Por ejemplo cuando al crear un bloque personalizado o cuando se edita el pie de página (footer).
Espero no estar saturando el Foro con información que ya se habia visto en abril del 2017, pero se me hizo necesario comentarles lo que se publicó en esta semana de abril 2025, aquí en México. Espero puedan resolver mis dudas, sin más por el momento quedo atento a sus comentarios, gracias.