¿(Ciber)seguridad?

por Ricardo Vega el 16/05/2017

El viernes de la semana pasada, fuimos muchos los que vimos sacudida nuestra rutina de trabajo al recibir un correo informándonos de que se había producido un ataque a gran escala que afectaba prácticamente a cualquier sistema Windows que no estuviera parcheado con las últimas actualizaciones de seguridad que Microsoft lanzó en Marzo de 2017.

La amenaza era un ransomware llamado WannaCry que encriptaba los datos del disco duro y pedía un rescate de 300 dólares para recuperarlos. Chema Alonso comentaba el día después del ataque, que éste había tenido muchísima más repercusión mediática que impacto real en Telefónica (la principal empresa afectada en España).

IoT y ransomware

Como trabajador del sector, me gustaría aprovechar la ocasión para intentar explicarte que ha ocurrido exactamente y hacer un reflexión personal sobre el mundo hacia el que nos dirigimos.

"Es culpa de Windows"

En primer lugar, no creo que haya sido culpa de Microsoft todo lo ocurrido. El fallo se encontraba en el protocolo SMB, encargado de compartir recursos entre ordenadores Windows. Dicho fallo, se detectó hace ya bastantes meses y se hizo público cuando en Marzo de 2017 la propia Microsoft lanzaba un parche de seguridad en forma de actulización que lo corregía.

Desde ese mismo momento, todos los equipos no actualizados, corrían el riesgo de ser atacados. Parece que el foco de la infección fue un correo electrónico que venía con "regalito". Una vez abierto, se propagaba por la red interna a la que tenía acceso empleando esta vulnerabilidad. Es decir, la vulnerabilidad ha propiciado la rápida expansión del malware.

Cualquier equipo actualizado hubiera sido inmune a esta infección automática a través de la red, habiendo quedado acotado a las personas que se infectarán por otros medios que implicaban la apertura directa del malware (como la persona que abrió el email infectado).

También, en este punto, toca hablar del "esto en {} no pasa" siendo {} Linux, Mac, Android, iOS, etc. Todos los sistemas tienen vulnerabilidades nos pongamos como nos pongamos y por norma general, cualquier vulnerabilidad detectada se intenta solucionar con la mayor rapidez posible. El principal problema actual con Windows es que es el sistema operativo más usado del mundo junto con Android por lo que son los dos sistemas más "golosos" para hacer negocio con virus indiscriminados.

"Es culpa de las empresas afectadas"

Si hubieran tenido los equipos actualizados, no se hubiera producido el ataque. Es totalmente cierto pero no es menos cierto que esta aproximación obvia por completo la complejidad existente en aquellas compañías con un uso intensivo de las tecnologías de la información (que prácticamente son todas). En ellas, existen multitud de sistemas y programas funcionando de forma simultánea y, antes de aplicar cualquier actualización, es necesario comprobar concienzudamente que dicha actualización no "rompe" lo que había.

Entiendo que ninguno de nosotros queremos quedarnos sin Internet porque Telefónica ha decido actualizar sus sitemas sin probar antes que todo va a funcionar correctamente, ¿verdad?. Hablo de Telefónica por poner un ejemplo, pero perfectamente puedo incluir otras operativas comunes de nuestro día a día como sacar dinero de un cajero, viajar, comprar, etc.

Este ciclo de pruebas debería agilizarse lo máximo posible y es responsabilidad de cada compañía invertir para reducir estos tiempos ya que, al fin y al cabo, reduces tu ventana de tiempo donde permaneces expuesto. Sin embargo, mejorar estos tiempos implica un gran número de factores (equipos de seguridad, proveedores de servicios y software, calidad de código, automatización de pruebas, gente de sistemas, etc).

Otro tema totalmente diferente son organizaciones plagadas de sistemas obsoletos (por ejemplo Windows XP) que no cuentan con actualizaciones de seguridad ni de ningún tipo y por tanto, o son parcheadas a mano, o son un coladero. Si hiciéramos una analogía con las inspecciones de seguridad laboral, estas empresas serían una constructora sin gafas, guantes ni cascos que monta los andamios con Legos.

IoT y ransomware

"Es culpa de los antivirus"

La principal tarea de un antivirus es firmar (conocer) amenazas conocidas y detectarlas, evitando su ejecución. Un virus, al fin y al cabo, es un trozo de código como cualquier otro programa. Los antivirus, intentan detectar estos "programillas", añadiéndolos a su base de datos (proceso de firma de malware) para posteriormente detectarlos. No deja de ser un proceso basado en una lista negra de elementos. Si algo no está en la lista negra, es bueno (aunque existen también procesos que comprueban actividades sospechosas).

El malware que ha sido noticia estos días no era conocido por prácticamente ningún antivirus por lo que estos fallaron en su principal propósito de detección. Ojo, no estoy diciendo que esta detección sea sencilla ni mucho menos pero mi opinión personal es que los antivirus tienen muy poca fiabilidad en amenazas como esta al no estar aún en su lista negra.

"Es un ataque dirigido"

No, no lo es. Se han producido casos en todo el mundo. El hecho de que haya tenido más impacto en el sector empresarial se debe precisamente a esta desactualización general en los sistemas, situación que en el segmento particular no se produce ya que prácticamente todos tenemos configuradas actualizaciones automáticas según son publicadas y no estamos conectados a grandes redes internas donde se pueda traspasar la infección entre equipos. Estos factores, hacen que el segmento particular prácticamente sólo sea vulnerable a infecciones directas (apertura de ficheros infectados, por ejemplo).

"No ha tenido impacto"

Empezaba este post hablando de Chema Alonso y su artículo al respecto. Evidentemente estoy seguro de que sus razones tendrá para hacer esta afirmación pero en mi opinión, lo ocurrido el viernes sí ha tenido impacto real más allá de las redes sociales. Telefónica trabaja con gran número de provedores, que a su vez son provedores de otras empresas que vuelven a tener más provedores que vuelven a trabajar con más empresas y así indefinidamente. Esta situación provoca que todas las grandes compaías españolas estén conectadas de algún modo, directamente o a través de sus intermediarios. Y prácticamente todas ellas estaban en una situación similar a Telefónica, donde este malware se podía transmitir con rapidez.

La respuesta de una gran mayoría de ellas ha sido la misma; tirar abajo las comunicaciones para evitar posibles infecciones masivas. Mucha gente trabaja para estas compañías y muchas de ellas necesitan acceso a la red para poder desempeñar sus trabajos por lo que un gran porcentaje de estos trabajadores han quedado inutilizados aproximadamente desde las 12.30 de la mañana del viernes.

Esta situación si tiene un impacto real en una compañía. Es cierto que la infección en sí, una vez detectada se soluciona sencillamente formateando el ordenador ya que gran parte de los afectados contaban con la infraestructura que les garantizaba tener copias de seguridad muy recientes de los ficheros perdidos por lo que esto no suponía un problema pero tener parada a gran parte de tu plantilla es un problema muy serio que implica grandes pérdidas económicas para cualquier empresa independientemente de su tamaño.

IoT y ransomware

Otras notas

Cualquier ataque ransomware cifra tus datos y pide un rescate por ellos. Al fin y al cabo está tasando tus datos en una cantidad (en este caso 300€) Si cuentas con una buena política de copias de seguridad, puedes formatear y recuperar todo sin mayor molestia que el proceso en sí. Si no es así, en muchos casos, el precio que se solicita es mayor al valor de los datos por lo que no se llega a pagar el rescate.

Aunque el ataque a tenido un gran impacto a nivel mundial, se calcula que el dinero obtenido por los causantes es inferior a 60.000€ en todo el mundo.

Hacia donde vamos

Lo más curioso de este ataque y todo el ruido generado es la conciencia real que todos hemos tenido sobre la expuestos que estamos y lo que significa un ataque informático a gran escala en un mundo cada vez más digitalizado. He leído artículos sobre ciberguerra en varios periódicos y estoy seguro que han metido el miedo en el cuerpo a más de uno.

Realmente, lo que muy poca gente ha reflexionado es sobre lo que podría haber pasado. La vulnerabilidad explotada permitía la ejecución remota de código (esto significa que desde mi ordenador en China puedo ejecutar lo que quiero en el tuyo). En este caso, el código que han ejecutado perseguía simplemente una nueva infección para aumentar su propagación y poder cifrar más ficheros, pero realmente podrían haber hecho lo que quisieran.

Imagínate un ataque realmente dirigido, donde el malware recopilara toda la información que pudiese y la enviara al atacante. El ruido que generaría sería tan pequeño (en comparación con bloquear el PC como hacía este) que fácilmente podría haber pasado desapecibido...

Además, cada vez estamos más digitalizados por lo que el daño potencial cada vez es mayor.

Espero que con eventos como este todos estemos más concienciados de la importancia extrema que adquiere la ciberseguridad en nuestra vida real. Por eso, el título de este post es "¿(Ciber)seguridad?"; la ciberseguridad (seguridad informática) cada vez pierde más su prefijo que lo acota al mundo cibernético puesto que cada vez impacta más en nuestra realidad, convirtiéndose en seguridad sin apellidos.

Todas estas repercusiones impactan directamente sobre la mayoría de temas que tratamos en este blog, especialmente IoT, y es algo de lo que ya hemos hablado varias veces:

De cualquier forma, y por acabar con un poco de humor un post que se ha ido tornando post-apocalíptico, ¿cómo sería un ataque ransomware a tu casa conectada?

Mark Stephens ha pensado en ello y su visión es realmente, intrigante (especialmente por el aspirador y la cafetera ;) )

IoT y ransomware

¡Gracias Néstor por el chivatazo!

¡Un saludo y hasta la próxima semana!

Apoya al blog


Si te ha gustado este artículo, valora apoyarme económicamente a través de Patreon, una plataforma de Micro-mecenazgo con la que puedes hacerme un donativo que ayude a la continuidad del blog. Una pequeña ayuda significa mucho. 😃

Deja tu comentario!

Permanezcamos en contacto!


¿Quieres enterarte de todas las novedades del sector? ¿Te gustaría trabajar conmigo? ¡Puedes contactar conmigo de forma muy sencilla!