WANNACRY ¿QUÉ PASÓ Y QUÉ SE PUEDE HACER PARA DEFENDERSE?

Tras estos tumultuosos días en los que la Ciberseguridad ha estado tan de moda gracias al “malware” denominado WANNACRY, creo que llega el momento de reflexionar y analizar lo que ha ocurrido y ponerlo en su contexto. El presente artículo tiene como objetivo el realizar un análisis y explicación para no iniciados, tratando de dar respuesta a las siguientes preguntas:
1. ¿Cuál ha sido el origen del problema?
2. ¿Por qué ha afectado a tanta gente? ¿Estaban debidamente protegidos?
3. ¿Qué podemos y debemos hacer para protegernos?
Si tienes interés de responder a todas estas preguntas y no eres un experto en ciberseguridad te recomiendo que leas el resto del artículo. Si eres experto seguro que ya te habrás documentado mucho sobre este asunto, aunque si no lo has leído yo te recomiendo el análisis técnico avanzado que podrás encontrar en el CCN-CERT.
Vamos a ir desgranando cada una de las preguntas que nos hacíamos anteriormente:
1. ¿Cuál ha sido el origen del problema? Este malware aprovecha una vulnerabilidad de Windows que Microsoft ya corrigió en el mes de marzo en su boletín MS17-010. Los desarrolladores del malware aprovechan esta vulnerabilidad para crear un “gusano” que infecta redes completas, es decir, que entra por un ordenador pero se va propagando a medida que encuentra máquinas vulnerables.
Debido a las características específicas de este malware y a su comportamiento como “gusano”, es posible resultar infectado sin hacer nada incorrecto como pinchar una web maligna o abrir un correo electrónico infectado, puesto que el virus lanza ataques aleatorios e indiscriminados a IP’s públicas aleatorias y una de esas puede ser la nuestra. Precisamente si nuestra IP no está convenientemente protegida con un “firewall” dotado de antivirus de perímetro o si nuestros equipos no están actualizados, podemos resultar infectados.
2. ¿Por qué ha afectado a tanta gente? ¿Estaban debidamente protegidos? Como hemos dicho, el malware WANNACRY aprovecha un fallo de Windows que se corrigió hace más de dos meses. Eso significa que aquellos que tuvieran sus equipos Windows actualizados (simplemente a través del “Windows Update”) no tenían nada que temer de este malware. Lo cierto es que sorprende que, siendo así y pareciendo en primera aproximación tan sencillo, empresas tan potentes en ciberseguridad como Telefónica hayan sufrido tantos daños, ¿es que no tienen una política de actualización automática de sus equipos? Pues bien, aunque pueda sorprender, a veces no resulta tan sencillo en organizaciones complejas con mucho software antiguo el mantener actualizado continuamente el sistema, puesto que suele haber aplicaciones que directamente no funcionan si las montamos sobre un sistema operativo actualizado a la última versión. Otro motivo para no estar actualizados puede ser el tener máquinas con sistemas operativos obsoletos como Windows XP o Windows Server 2003 y anteriores, para las que Microsoft ya no publica actualizaciones. De hecho, ante la gravedad de la infección WANNACRY, Microsoft ha desarrollado parches para estos sistemas operativos obsoletos que pueden encontrarse aquí. En cualquier caso, sirva este incidente como serio toque de atención para hacer algo al respecto.
3. ¿Qué podemos y debemos hacer para protegernos? Vamos a dar una serie de recomendaciones generales para llevarlas a cabo como USUARIOS NO EXPERTOS en ciberseguridad.
1. Mantener copias de seguridad periódicas (backups) de todos los datos importantes. Recomendamos mantener "clones" periódicos (trimestrales) de los equipos y al menos una copia de seguridad diaria de los datos.
2. Mantener todo el software actualizado con los últimos parches de seguridad.
3. Mantener una primera línea de defensa con las últimas firmas de código dañino (antivirus), además de disponer de una correcta configuración de firewall.
4. Disponer de sistemas “antispam” en el correo electrónico.
5. No utilizar cuentas con privilegios de administrador de manera habitual, reduciendo el potencial impacto de la acción de un ransomware.
6. Es mejor crear accesos directos a las unidades de red que crear unidades lógicas conectadas permanentemente (tipo F:, G:, etc.).
Existen otras medidas preventivas, incluso vacunas específicas, para implementar por personal experto y que, por tanto, quedan fuera del alcance de este artículo y para las cuales recomendamos acudir a un profesional de la ciberdefensa.
Como conclusión, lo que nos ha enseñado ese incidente es que tenemos que hacer nuestros deberes y mantener nuestros sistemas de información actualizados y bien defendidos. Nosotros recomendamos realizar un análisis de riesgos y una auditoría de seguridad profesional para valorar con precisión el alcance de las medidas preventivas y correctivas que debemos tomar en función de nuestro nivel de riesgo. A partir de ahí la monitorización y mejora continua es la mejor receta. También queremos señalar que no debemos asustarnos especialmente por este tipo de ataques si aplicamos las medidas preventivas indicadas anteriormente, puesto que cuando sufrimos un "ransomware" somos conscientes de ser atacados y podemos reaccionar. Lo que sí debe preocuparnos muy profundamente son los ataques invisibles como troyanos o las denominadas APT (Advanced Persistent Threats o Amenzadas Avanzadas Persistentes). De esas no nos vamos a enterar hasta que nuestra información más valiosa haya sido robada.
Quedamos a vuestra disposición en nuestros datos de contacto para atenderos en cualquier necesidad a este respecto.