No es nuevo, pero hoy salta a la luz en todos los medios la realización de un ciberataque de escala mundial dirigido contra grandes empresas, pero wannacry no es más que una variente de ransomware, una tipología de malware que se caracteriza por el secuestro de la información de la víctima, la última moda en ataques cibernéticos, y que cifra la información de los equipos atacados a cambio de un rescate en términos económicos a pagar en bitcoins. Todo esto no deja de ser una extrapolación del mundo real, un tipo de infección vírica (ransomware), con una mutación (wannacry o wanna decryptor) y unas consecuencias (secuestro de la información por cifrado), y un antídoto para recuperar la información (un pago en bitcoins).
Pero que hoy salga en las noticias, no implica que esto no lleve tiempo pasando, que le pase a Telefónica nos puede dar idea de lo que nos puede pasar a nosotros, y es que el ransomware es la nueva epidemia informática, y desde el año 2014 convive con nosotros con diferentes mutaciones y variantes, empezó a ser conocido con el famoso «virus de la policía» que era bastante inocuo, hasta convertirse en una herramienta peligrosa con las variantes de crypotlocker y ahora con esta versión más avanzada denominada wannacry, que su principal característica innovadora es su capacidad de aprovechar un agujero de seguridad del protocolo SMB de windows, que permite que el virus infecte a otros equipos de la misma red, creando toda una legión de ordenadores dispuestos a cifrar la información que almacenan y a la que tienen acceso en unidades de red. Esta es la característica que lo hace más peligroso, si bien, las variantes de cryptolocker infectaban al equipo de la víctima y este equipo una vez infectado empezaba a cifrar la información del equipo y a la que tenía acceso a través de unidades de red, y para las que el usuario tuviera permisos, el gran peligro de wannacry, es que una vez que se infecta el equipo, este virus es capaz de contagiar a otros equipos de la red cercanos, al equipo del gerente, del administrador de sistemas, del departamento de ingenieria, … y por lo tanto, esos equipos infectados se pondrán también a cifrar la información a la que tienen acceso, y que en el caso de un departamento de ingeniería pueden ser planos, proyectos, patentes, desarrollos (entre otros), en el caso de un financiero, la información fiscal, contable, presupuestos …etc y en el caso del jefe o del informático de la empresa, tal vez el resto de información que quede por cifrar.
Pero ¿Cómo entra el virus wannacry o cualquier otra variante de ransomware en nuestros equipos? pues como en la mayoría de las ocasiones, por una combinación de múltiples factores, la existencia de un fallo de seguridad en el sistema operativo y la falta de conciencia del usuario. Todo comienza por un correo electrónico, al usuario víctima le llegará un correo electrónico, desde un mensaje simulando que tenemos un paquete en correos (simulando proceder el mensaje de la compañía Correos), una factura de Endesa para descargar (simulando una factura de la compañía eléctrica), o un simple «te adjunto la factura para que la revises» sin más texto. La curiosidad mató al gato, y es que los usuarios lejos de desconfiar de estos correos, decide abrirlos, aún cuando pueda ser abonado de Gas Natural o Iberdrola no le resulta sospechoso que sea Endesa quién le envía una factura, el sentido común sin embargo no nos orienta adecuadamente para evitar abrir correos electrónicos que nunca deberíamos abrir, ni el «sentidiño» ni el sexto sentido nos alerta de que tal vez el correo que estamos recibiendo no es legítimo, tampoco nos crea una alerta nuestra mente que nos lleve a borrarlo en caso de duda o a confirmar la legitimidad del mismo con nuestro departamento de informática.
Los fallos de seguridad de los que se aprovecha wannacry se encuentran corregidos desde marzo con los siguientes parches publicados por Microsoft, y disponibles bien mediante actualizaciones automáticas o de forma específica, para los que tengan Windows XP o Windows 2003 (http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598) y para el resto de sistemas operativos (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx). El CCN-CERT también ha publicado recientemente un parche que impide la ejecución del virus como medida preventiva, disponible en este enlace https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4476-herramienta-para-prevenir-la-infeccion-por-el-ransomware-wannacry.html e incluso información adicional para deshabilitar manualmente el protocolo SMB que utiliza el virus para contagiarse a otros equipos de la red (teniendo en cuenta que esto puede afectar a funcionalidades a la hora de tener acceso a la información o recursos compartidos en nuestra red) https://support.microsoft.com/es-es/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
¿Y los antivirus? En este tipo de ataques, volviendo a la analogía con el mundo real, los antivirus siempre llegan más tarde, y es que primero nace el virus, crece, se reproduce, y cuando llega a las compañías de antivirus la existencia del mismo es cuando se crea la solución antivírica, pero previamente se requiere que el usuario tenga un antivirus, y que este esté actualizado, y además, no una solución antivirus cualquiera, sino que requiere de una solución mucho más completa (y generalmente de pago), una solución antimalware, que no es más que un software para protegernos contra 3 tipos de amenazas: virus, spyware y spam. El día que se tiene conocimiento de la existencia del virus, se le denomina 0-day, y este día es el día que todo comienza, el virus se pone a trabajar y a infectar equipos, y los fabricantes de soluciones de seguridad a buscar como atajar el problema, pero ese día ya será demasiado tarde, si eres uno de los afectados o primera víctima del virus. Y esto es lo que ha pasado con wannacry, este viernes 12 de mayo de 2017, asistíamos al 0-day del virus, pero se estrenaba nada más y nada menos que infectando a compañías como Teléfonica, Renault y otras de gran renombre, que imaginando lo que se gastan ellos en tecnología y seguridad podemos extrapolar lo vulnerables que podemos llegar a ser nosotros en la cadena.
Para este gran problema que genera el ransomware, y que puede hacer perder toda la información de la compañía, sin que tengamos ningún tipo de garantía de que pagando el rescate que nos piden podamos recuperar la información, sólo existen dos soluciones: concienciación del usuario y una adecuada política de copias de seguridad con un equipo de expertos, porque lo que nos jugamos, es mucho.
Según Gartner, el 70% de las empresas que pierden información, acaban cerrando en menos de un año. Importante tener conciencia de los riesgos ¿verdad?
Pero debemos precisar que la concienciación del usuario requiere también un adiestramiento, y que cada vez más los ciberdelincuentes desarrollan nuevas formas de engañar al usuario para que abran un correo electrónico, con un adjunto o un enlace que sea atractivo o pase desapercibido al usuario. Y tener una adecuada política de copias de seguridad no sólo es disponer de un preciso plan de copias, sino que estas copias de seguridad también tienen que estar fuera del alcance del virus para que no sean cifradas, y además requiere de una supervisión humana constante, realizada por personas.
En INFONET, no sólo hacemos las copias de seguridad de forma adecuada sino que somos pioneros en supervisarlas y monitorizarlas diariamente por humanos, por técnicos que se encargan todos los días de revisar si se están haciendo correctamente y actuar para subsanar cuando las copias no están funcionando correctamente, y es que en caso de infección por ransomware, disponer de copias de seguridad será nuestro salvavidas, recuerda siempre que es la única medida que podemos tomar para proteger al 100% nuestra información.
Infonet
Sigue la actualidad y conecta con nuestras Redes Sociales Linkedin . Facebook . Twitter