El 12 de mayo de 2017 los telediarios y las portadas de los periódicos, digitales y en papel, abrieron con la noticia sobre un ataque masivo, llevado a cabo por medio de un virus conocido como WannaCry, que infectó cientos de miles de sistemas informáticos de empresas y organizaciones en 179 países, entre ellas Telefónica, Renault, Nissan, diversas entidades financieras rusas, la compañía de mensajería FedEx y el Servicio público de sanidad del Reino Unido.
La magnitud del ataque, de gran efecto mediático, causó un cierto pánico en un ambiente de incertidumbre e inseguridad, basado en muchos casos en el desconocimiento, provocando todo tipo de reacciones, rumores y comentarios, obligando a los responsables políticos y de seguridad a tratar de reaccionar con prontitud para ayudar a mantener la calma mientras se controlaba la situación.
Una vez que aparentemente el golpe se ha detenido y se están recuperando los datos perdidos, parece llegado el momento de analizar lo sucedido, haciendo abstracción de la presión de los medios, con cierta tranquilidad, no exenta de preocupación, para obtener algunas conclusiones, en particular sobre el cómo y el porqué.
Una primera reflexión nos conduce a determinar que el agente o virus del ataque no era precisamente un desconocido, como podría deducirse de la importancia e impacto del ataque. El secuestro de datos, o ransomware, utilizando alguno de sus códigos de encriptación, como en este caso el WannaCry, se viene produciendo desde hace ya bastante tiempo, siendo especial objeto de inquietud por parte de los responsables de seguridad cibernética alarmados por su facilidad de propagación.
El proceso suele ser relativamente sencillo siempre que el usuario no adopte las mínimas medidas de protección. En primer lugar, se utilizan principalmente ataques del tipo de ingeniería social, enviando emails masivos con archivos adjuntos que contienen un código malicioso (dropper) que explota alguna vulnerabilidad conocida por los atacantes. En este caso el exploit, o código que aprovecha fallos conocidos de un programa, fue el llamado EternalBlue, aparentemente desarrollado por la Agencia de seguridad estadounidense (NSA), diseñado para explotar vulnerabilidades de algunas versiones del sistema operativo Windows.
Si la victima abre el adjunto, el dropper instala el ransomware, el cual cifra inmediatamente todos los archivos del sistema infectado propagando la infección por las unidades de red, de área local o Internet, a las que esté conectado y por otros sistemas Windows que haya en ellas. Una vez cifrados, o secuestrados, los datos, se muestra una nota de rescate exigiendo, para liberar los archivos, el pago de una determinada cantidad en un corto plazo de tiempo, en este caso de 300 euros y tres días, a abonar utilizando la cripto moneda bitcoin.
El servirse para el pago del rescate este tipo de moneda virtual entra dentro de la lógica de los cibercriminales, dado que no está regulada por el mercado y sus transacciones se llevan a cabo de forma anónima, pudiendo ser intercambiadas por monedas tradicionales tanto en los mercados normales como en los underground virtuales donde se llevan a cabo todo tipo de actividades ilícitas
Otro hecho a destacar es la víctima elegida, pues esta vez no se atacó a una entidad, organismo o país en concreto, sino que se globalizó explotando una vulnerabilidad de determinadas versiones del sistema operativo Windows, como Windows XP, Windows Server 2003 y Windows 8, algunas de las cuales no tienen ya soporte de Microsoft, con el agravante de que la misma compañía había publicado en marzo pasado una actualización de seguridad crítica con un parche cuya instalación posiblemente hubiera evitado muchos de los casos comprometidos.
Existen otra serie de circunstancias entre las que merece distinguir la amplitud o alcance del ataque debido a la capacidad de propagación o replicación del exploit, algo que si puede constituir una cierta novedad pues hasta la fecha los vectores del tipo ransomware se centraban en una víctima concreta sin auto propagarse o replicarse de forma automática, haciéndolo solamente bajo el control del atacante. No sería de extrañar que tal alcance, con estimaciones cifradas en unos 230.000 equipos afectados en 179 países, de ellos 1.300 en España, según informa el organismo español especializado, INCIBE (Instituto nacional de ciberseguridad), haya desbordado las previsiones de los atacantes, si realmente su motivación era lucrativa.
Tal gravedad no se vio correspondida con un importante impacto, cuya repercusión mediática está muy por encima de sus efectos reales, estimado en menos de 50.000 dólares, lo cual hace pensar que el virus se propagó sin control antes de que sus iniciadores fueran capaces de gestionar el procedimiento para recaudar bitcoins desde cientos de miles de equipos infectados.
Sin embargo, teniendo en cuenta que la forma de protegerse y recuperarse de este tipo de ataque no es tan complicada como podría ser en el caso de los denominadas APT (amenazas persistentes avanzadas), cuya complejidad y persistencia hacen muy difícil la prevención, detección y reacción, la realidad de este incidente muestra que, lamentablemente, existe una evidente falta de las medidas más elementales de prevención y protección, y una preocupante ausencia de concienciación,
En este caso hubiera sido suficiente con poner en práctica unas recomendaciones mínimas, las cuales, además de utilizar de antivirus y cortafuegos, se sintetizan en no abrir archivos adjuntos a correos electrónicos desconocidos, ni enlaces web sospechosos, utilizar siempre copias de seguridad periódicas, para poder recuperar parte o toda la información secuestrada, y mantener permanentemente actualizados los sistemas y aplicaciones con los últimos parches de seguridad publicados por el fabricante.
Las lecciones aprendidas no son diferentes de las ya conocidas; sin embargo, podemos considerarlas de gran utilidad particularmente por el hecho de que la repercusión global y la transcendencia mediática del caso, previsiblemente contribuirán a avivar el debate sobre la necesidad de auto protección, en cualquier sector, tipo y nivel de actividad, incluyendo al usuario individual.
Las previsiones apuntan a que el número y la peligrosidad de este tipo de ataques irá en aumento debido a la facilidad de explotar debilidades de los humanos (el escalón masa débil de la cadena de la seguridad) por medio de ingeniera social o por el incremento de vulnerabilidades como consecuencia de la híper conectividad y la utilización masiva de dispositivos en movilidad, o la expansión del Internet de las cosas (IoT), con múltiples dispositivos conectados muchos de ellos sin protección alguna, lo cual se traduce en una considerable ampliación de los riesgos derivados de vivir y actuar en el ciberespacio.
Concluyo estas breves reflexiones insistiendo en una evidencia sobre la que venimos insistiendo desde hace tiempo. El impacto del ataque se amplificó por la combinación de fallos técnicos con errores humanos, lo cual muestra que la protección solamente tecnológica ya no es suficiente, y así lo perciben los atacantes que tratan de ampliar su campo de acción explotando vulnerabilidades de personas, procesos y procedimientos.
Por ello no podemos limitar la ciberseguridad al ámbito de los técnicos, profesionales e infraestructura de las TIC, y si lo hacemos cometeremos un grave error. Debemos estar concienciados de que, tarde o temprano todos seremos víctimas de un ataque desconociendo solamente cuando y como se producirá este.
En definitiva, hemos de estar preparados para ser capaces de reaccionar en consecuencia y defendernos y recuperarnos si llega el caso.
Comentarios recientes