Los últimos días han corrido ríos de tinta en los medios de comunicación para hablar de los ciberataques contra numerosos países. Ataques dirigidos a «hackear» desde grandes empresas a sistemas críticos como los sanitarios o de abastecimiento.
¿Es tal y como lo están contando? … ni debemos menospreciarlo, ni es el principio del colapso de la red.
El ataque ha existido, eso es evidente, pero está muy lejos del sensacionalismo mediático con el que se ha difundido. Vamos a ver en que ha consistido, que ha provocado y como se puede evitar y mitigar.
El ataque del ransomware wcrypt, WannaCry…
Grandes empresas en toda Europa, varios hospitales en Reino Unido, decenas de empresas punteras de Japón… están entre los afectados por este ataque hacker. Compañías como Telefónica, han enviado a casa a sus empleados por no poder trabajar, al tener sus ordenadores inutilizados o en riesgo de ser infectados.
Comencemos diciendo que no se trata de hackers que logran «colarse» en sistemas de terceros. Los cibercriminales (que es la palabra correcta y no hackers) crean un virus, lo distribuyen y esperan a ver quien se infecta e intentan extorsionarle.
Mediante spam se han enviado diferentes correos. Cuando una víctima lo abre, el sistema descarga «el regalo».
En este caso el ransomware busca una vulnerabilidad en el sistema de Windows y si la encuentra, la explota para encriptar el contenido del equipo.
A partir de ese momento los archivos quedan inutilizados, pues se cifran con una clave que solo nos enviarán después de pagarles. Amablemente dejan todo tipo de instrucciones detalladas para realizar este pago y por supuesto debe realizarse en una criptomoneda o moneda virtual (bitcoins en este caso), para dificultar el rastreo del dinero hasta los ciberdelincuentes.
Correo Spam + Victima lo abre + Windows Vulnerable = ¡¡ archivos cifrados !!
Si recibimos uno de estos correos, lo abrimos y Windows no está debidamente actualizado y con el antivirus al día, es muy probable que nos infectemos y perdamos los datos del equipo.
Cuando un ordenador se vea afectado por el ransomware, buscará en la red a la que está conectado, más equipos vulnerables. Si en una empresa un puesto es vulnerable, es muy probable que haya más en la misma situación, por lo que la propagación se producirá de forma muy rápida.
¿Se sabía de esta vulnerabilidad? Sí. Microsoft como el resto de fabricantes de software publican de forma constante sus actualizaciones, a medida que se van descubriendo errores, problemas de seguridad, etc. Es algo inherente a cualquier programa. En este caso concreto, se trata de la actualización:
Microsoft Security Bulletin MS17-010
Critical – Security Update for Microsoft Windows SMB Server (4013389)
Published: March 14, 2017
Que como podemos comprobar en la web de Microsoft, se califica como crítica y se liberó hace 2 meses.
Aunque sin tener la certeza absoluta, si podemos intuir que no se trata de un ataque dirigido puesto que se ha liberado mediante campañas de spam y ha llegado de forma masiva. Al mismo tiempo la cantidad de dinero exigida para poder «recuperar» los datos es de aproximadamente unos 300$. Cantidad que no parece mayor problema para una gran empresa y seguramente sí para un particular. Si tuviesen en mente secuestrar los datos de una multinacional, la cuantía sería mayor.
Podemos ver más detalles sobre esta noticia en la información facilitada por el Centro Criptológico Nacional:
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-de-ransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
¿Cómo es posible que haya afectado a grandes empresas, hospitales, etc?
En el caso de las grandes empresas, que cuentan con cientos o miles de ordenadores, el periodo para implementar las actualizaciones de sistema operativo, es más largo que en una red pequeña.
No pueden arriesgarse a por ejemplo, instalar un parche de seguridad y que entre en conflicto con el programa corporativo. Es necesario realizar pruebas sobre múltiples escenarios antes de realizar una integración. Esta lentitud hace a estas empresas, de partida, más vulnerables, pues más tiempo desde que el fabricante saca una actualización hasta que esta se instala.
Por supuesto existen virus que aprovechan lo que se llaman vulnerabilidades de día cero, o lo que es lo mismo, aprovechan vulnerabilidades que el fabricante aun no ha descubierto. En este caso la exposición es total porque usa vías de entrada para las que no hay solución por el momento y todos los sistemas son vulnerables.
Y los sistemas antivirus, ¿han fallado?
No, no han fallado. Prácticamente el 100% de los programas antivirus se basan (aunque con variaciones) en el análisis de firmas. Cuando se detecta un nuevo programa malicioso, se obtiene para entendernos, su “huella dactilar” (la firma). En adelante cuando un nuevo archivo, proceso, etc sea leído por el antivirus, se buscará esa firma para saber si está infectado. Problemas de este método:
- Aparecen cientos de programas maliciosos al día y por lo tanto cientos de firmas nuevas. Si el antivirus cada vez tiene que comprobar más firmas para cada archivo, le llevará más tiempo, consumirá más recursos del ordenador, etc
- Hasta que no se tiene esa firma el antivirus no lo detecta.
- Variando lo suficiente el mismo virus, hará que el antivirus ya no lo detecte.
Sigue la evolución de las infecciones en todo el mundo en tiempo real
https://intel.malwaretech.com/botnet/wcrypt
¿Qué consecuencias ha tenido?
El impacto real ha sido bastante escaso, sin embargo el impacto mediático ha sido muy grande por la relevancia de los implicados. A estas infraestructuras se las considera muy seguras al contar con numeroso personal especializado, grandes recursos y medios técnicos. Al verse afectados de la misma forma que instalaciones más modestas, el público percibe una sensación de vulnerabilidad e indefensión y cobra más actualidad la frase que se escucha en muchas empresas cuando se comentan los temas de seguridad informática:
Si han entrado en la NASA, como no van a entrar en mi empresa.
Lo que es una frase sin pies ni cabeza y que solo sirve para autojustificarse y no adoptar las medidas de seguridad necesarias: pueden robar en un museo, pero no por ello dejaremos de poner puertas en las casas…
Comentábamos que el impacto real ha sido escaso, e incluso se puede consultar las transacciones realizadas (la cartera digital en la que se pide que se haga el pago):
https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw
Y vemos que en el momento de redactar el artículo lleva recaudados unos 19.000€ (en bitcoins) en menos de un centenar de transacciones. Es una cifra infinitamente inferior a otras campañas de ransomware que no han dejado huella informativa.
Pero la gran difusión si que ha servido para darse cuenta de algo: es necesario tomar medidas y estar preparados para estos incidentes.
Lamentablemente son el tipo de ataques más numerosos hoy en día. Fácil de entender si atendemos a sus enormes beneficios.
¿Cómo prevenir un ataque de este tipo?
Hace falta que de forma previa se aplique:
- Contar con software original.
- Actualizar el sistema operativo y las aplicaciones.
- Tener un antivirus actualizado.
- Contar con software antiransomware
- Tener un firewall
- Cumplir la normativa de protección de datos y tener los datos cifrados
- Sentido común.
Y si todo esto falla:
Un sistema de copias de seguridad fiable y a ser posible con un plan de recuperación ante desastres
En detalle
Tener software pirata en los ordenadores del trabajo es además de un delito (paso de falta a delito en la última reforma del código penal, siendo los responsables los administradores de la sociedad) una irresponsabilidad. Al no ser original, no contamos con los parches de las vulnerabilidades que se van conociendo y los sistemas están expuestos a estos y otros muchos ataques tan peligrosos o más. Por descontado, utilizar sistemas operativos y programas que ya no cuentan con soporte y se encuentran descatalogados (Windows XP por ejemplo).
Los sistemas deben estar actualizados. Desde tecnozero gestionamos las actualizaciones disponibles en los equipos de nuestros clientes de forma online. Ni siquiera es necesario conectar con el equipo del cliente porque nuestro servicio técnico lo hace desde la consola de administración centralizada y los distribuye a todos los equipos administrados.
Tener un antivirus actualizado y a ser posible centralizado. Nosotros trabajamos con el Endpoint de Sophos en su versión Cloud. Igualmente distribuimos una de las pocas aplicaciones existentes en el mercado para la detección y eliminación de ransomware, Sophos InterceptX. Este software no se basa en firmas sino en patrones de comportamiento y permite identificar y rastrear el origen del malware en la empresa (a diferencia de algunas de las grandes empresas de nuestro país que están tratando de localizar la vía de entrada de la infección y parece que no va a ser sencillo)
Tener un firewall en la empresa que proteja las comunicaciones. Implantarlo y administrarlo. Es algo imprescindible para las comunicaciones de cualquier empresa, sin importar su tamaño.
Aunque en el ataque de ransomware sufrido en los últimos días no se ha producido una fuga de datos, es algo habitual. Los atacantes aparte de inutilizar los equipos afectados, sustraen de forma automática aquella información que pueda serles de utilidad para la extorsión en ese momento o en el futuro. También se suele producir la descarga de troyanos que permitan acceder de forma remota.
Con una brecha en la seguridad de la empresa de esta naturaleza, la compañía está obligada a comunicarlo a la Agencia de Protección de Datos y a sus clientes que se hayan podido ver afectados. Aparte de la correspondiente sanción económica y el menoscabo en la imagen de la empresa, hay que saber que tipo de información sensible a podido caer en malas manos. Es obligatorio que los datos estén cifrados y sean totalmente inaccesibles si son robados. Así, cumpliremos la ley vigente, no tendremos sanciones y no será necesario informar a los clientes del incidente.
El sentido común: poco se puede decir en este tema. Recomendar no abrir correos de gente a la que no conocemos y mucho menos aún los archivos adjuntos. No seguir las cadenas de mensajes pidiendo que lo reenvíes para salvar a un niño de un país pobre, pensar que te ha tocado la lotería sin haber jugado o que alguien va a pagar un sueldo de 4.000€/mes por trabajar desde casa leyendo correos. Aunque parezca increíble que este tipo de campañas pueda tener éxito, si los atacantes envían 10.000.000 de correos, con que «piquen» el 0,001% ya habrá 100 redes infectadas y con los datos secuestrados. Se siguen haciendo porque funcionan.
Si todo lo anterior (o alguno de ellos) ha fallado, lo único que queda es restaurar una copia de seguridad. Por supuesto debe estar actualizada y tendremos que: formatear y restaurar sistemas operativos, actualizar, instalar aplicaciones, programas, restaurar datos, permisos… lo que sin duda nos llevará a varios días sin poder trabajar con los consiguientes perjuicios económicos. Por ello es imprescindible contar con un sistema de recuperación ante desastres que nos permita continuar con la actividad en apenas unos minutos y que nos de la seguridad de que los datos van a estar cuando los necesitemos.
Conclusiones sobre wannacry
Las amenazas de este tipo no son algo nuevo. Es sin lugar a dudas el formato de infección que más rápido ha crecido en los últimos años y que no parece que vaya a disminuir al menos en el corto plazo. Y el motivo es sencillo: es relativamente barato realizar estos ataques comparado con los ingentes beneficios obtenidos.
Aunque no debe dramatizarse, como se ha hecho estos días, no hay que olvidar un factor muy importante que afecta a las pequeñas empresas: en muchas ocasiones las empresas tienen directamente que echar el cierre al negocio. La pérdida irremediable de la contabilidad o de otros datos vitales de la empresa, hacen que muchas no sean capaces de volver a ponerse al día y no tengan más remedio que cerrar.
No es lo mismo la capacidad de respuesta de una gran empresa que una pyme y lo que para una puede suponer una pérdida económica, para otra puede ser la ruina.
