Aviso sobre el Uso de cookies: Utilizamos cookies propias y de terceros para mejorar la experiencia del lector y ofrecer contenidos de interés. Si continúa navegando entendemos que usted acepta nuestra política de cookies. Ver nuestra Política de Privacidad y Cookies

Ransomware una amenaza cada vez más poderosa: ¿Qué pasó el viernes?

Lunes, 15 de mayo de 2017 | Aquilino García


"They sentenced me to twenty years of boredom
For trying to change the system from within
I'm coming now, I'm coming to reward them
First we take Manhattan, then we take Berlin."  
 

 

Me sentenciaron a veinte años de aburrimiento
Para tratar de cambiar el sistema desde dentro
ya voy ahora, me voy a recompensarles
Primero tomamos Manhattan, después tomamos Berlín


   Leonard Cohen

 

Si alguien no se podía imaginar cómo sería un ciberapocalipsis, es lo más parecido a lo vivido estas últimas 72 horas. Son efectos secundarios de la globalización. En un mundo cada vez más conectado, cualquier problema de software conocido de un sistema operativo: Windows, Linux, IOS etc., puede poner en jaque a cualquier multinacional, cualquier empresa, gobierno, servicios públicos, etc.

 

¿Qué es lo que realmente ha pasado estos días para que se vieran afectadas tantas compañías y de forma tan virulenta? ¿Algún nuevo virus para el que no se sabe ni se tiene remedio? Nada de eso.

 

Pongámonos en antecedentes:

La palabra clave es Eternalblue, una vulnerabilidad desarrollada por la ASN (Agencia de Seguridad Nacional de los EE UU) y filtrada por el grupo The Shadow Brokers  (TSB) permite a un atacante tomar el control de sistemas operativos de Microsoft (Windows). No diremos aquí que esto se hace en connivencia con el fabricante, una puerta de atrás que permite en efecto a la ASN espiar a distancia cualquier sistema Windows que interese, sin [Img #49148]pedir permiso y con total impunidad.. El 10 de Marzo de 2017 (hace más de 2 meses), Microsoft publica parches de seguridad para las versiones con soporte, posteriores a Windows Vista (Tanto Windows XP, como Windows Vista, quedan expuestos aunque se sacan parches para XP, Server 2003 y Windows 8 por separado). La solución llamada MS17-010, soluciones el problema y el resto de los equipos no actualizados, quedan a partir de 14 de Marzo de 2017 expuestos si los responsables técnicos de las empresas con sistemas operativos Microsoft, no han realizado su trabajo correctamente.

 

The Shadow Brokers es un grupo de hackers (¿ruso?) cuya primera aparición fue en verano de 2016. Publicaron varios ‘leaks’ con información y herramientas robadas de la ASN, entre ellas varios zero-days como el que ha creado la crisis mundial que hemos vivido desde el 12 de Mayo. Entre las vulnerabilidades conocidas también hay otras de otros productos sobre firewalls, antivirus, etc. Se supone que parte del ataque puede haber sido provocado por ellos

 

WannaCry ó Wannacrypt0r es un malware (gusano, troyano) que explota esa vulnerabilidad y es el que desde China (principalmente) el responsable de la crisis actual que ha llevado a gran parte de las Grandes Empresas de éste y de otros cien países al caos que viven desde el viernes pasado.

 

Si nos vamos a las cavernas de Internet, el primer Randsomware fue PC Cyborg, cuando en 1989, se distribuyó en discos flexibles (floppy disks), el primer virus cuyo comportamiento era el mismo que WannaCry. Entonces internet era solo una red universitaria, se propagó por correo a través de UPS. El virus encriptaba la información de los directorios y los archivos de la unidad C, solicitando un rescate de 189$ a ingresar en una “post office box” en Panamá. Su creador fue arrestado y enviado a prisión. El disco llegaba a los hogares con la etiqueta de Información de Salud sobre el SIDA.

 

Un listo entre tanto mediocre
Tras 24 horas de caos, un investigador inglés llamado Darien Huss y un colega suyo, que estaban estudiando el comportamiento del ‘malware’ la versión Wannacrypt-A (existe un wannacrypt-B), vieron que al proceder a atacar un nuevo objetivo, contactaba con un nombre de dominio (una dirección de Internet), ‘gwea.com’. Dedujeron que si WannaCrypt-A no podía tener acceso a esa dirección comenzaría a funcionar de manera errante por la Red, buscando nuevos sitios que atacar, hasta terminar por desactivarse, como sucedió.

 

Así que, siguiendo esta lógica, compraron el dominio gwea.com (por unos 10 dólares) y lo hicieron apuntar a un servidor en Los Ángeles bajo su control, para obtener información de los atacantes. Tan pronto como el dominio estuvo en activo pudo sentirse la potencia del ataque, más de 5.000 conexiones por segundo. Hasta que finalmente terminó por apagarse a sí mismo, como un bucle.  Es muy probable que el autor del código malicioso fuese consciente del fallo y lo mantuviera como un interruptor de emergencia para desactivarlo. (Declaraciones a Daily Beast)  (www.thedailybeast.com/articles/2017/05/12/stolen-nsa-tech-shuts-down-hospitals)


El UK-NHS Affaire
El caso de la NHS en Reino Unido es brutal. Los responsables han venido ignorando desde hace al menos un año avisos de especialistas de seguridad sobre los riesgos de usar sistemas operativos obsoletos (Windows XP), que ya no recibe soporte de Microsoft. Nadie hizo nada. Sky News investigó y demostró cómo numerosos hospitales no gastaron absolutamente nada en seguridad informática en 2015. No es serio. No se puede hoy hacer medicina con un fonendo, lo mismo que no se puede proteger una compañía sin disponer de herramientas de seguridad sólidas. Los casos de grandes compañías españolas como Telefónica, Iberdrola, BBVA, tampoco tiene venia. Un fallo de este tipo, pone en entredicho las políticas de Seguridad de un entramado de compañías que gestionan nuestras finanzas, comunicaciones, energía, industria. Un caos global como este puede llevarnos al siglo XIX si las medidas no son las adecuadas.

 

En el sofá de casa
Hoy (escribo éste artículo a las 22h del 14 de Mayo), hay más de 100.000 equipos afectados por Wannacrypt-A afectados de 166 países (Datos del Instituto Nacional de Ciberseguridad - INCIBE), el sistema sanitario inglés (NHS) o la Deutsche Bahn (Sistema ferroviario alemán), la compañía americana de logística FedEx, Bancos rusos y la Red de Trenes rusa se han visto afectados. Sobre el Wannacrypt-B que es el que afectó a Telefónica, no hay datos disponibles, aunque se sabe (datos del INCIBE), que ha afectado a, al menos, 10 operadores estratégicos.

 

Conclusiones
Habrá nuevas crisis, por esto conviene estar bien asesorado e informado. A través del INCIBE, del CERTSI o del CNPIC se pueden obtener herramientas e información sobre incidentes de seguridad e información para mitigar los efectos de crisis como la de estos días. También conviene estar bien asesorado con profesionales que no dejen tareas tan importantes de actualización de seguridad para más adelante, pues ya hemos podido ver las consecuencias de esto.

 

En caso de que la crisis estalle, no lo oculte, informar e informarse es una buena herramienta para solucionar o mitigar los daños de la crisis.

 

Los fabricantes de Sistemas de seguridad en estos casos una vez iniciada una crisis, pueden ser contraproducentes aunque siempre conviene contar con ellos para prevenir y disponer de las herramientas necesarias convenientemente actualizadas.

 

Noticias relacionadas
Acceda para comentar como usuario
¡Deje su comentario!
Normas de participación
Esta es la opinión de los lectores, no la nuestra.
La participación en los comentarios de este medio implica la aceptación de las normas. Las opiniones mostradas son exclusivamente responsabilidad de los lectores y en ningún caso son reflejan la opinión de murciaeconomia.com
La participación implica que ha leído y acepta las Normas de Participación y Política de Privacidad
1 Comentario
Igor Gonzalez
Fecha: Lunes, 15 de mayo de 2017 a las 11:08
Salvo las palabrejas concretas que hay que conocer, cualquiera entiende lo expuesto. Una cuestión de sentido común y rigor profesional. Los sistemas de información es un tema muy serio para no tener un método de trabajo que evite estas situaciones. ¿Acaso dejamos la puerta abierta de nuestra casa? ¿Dejamos el coche abierto? Nos pueden robar, pero ponemos medios. ¿Hay que convencer a alguien de esto?

MurciaEconomía.com.
MurciaEconomía.com • Términos de usoPolítica de PrivacidadMapa del sitio
© 2017 • Todos los derechos reservados
Powered by FolioePress