WannaCry, el día después.
La noticia llega como siempre en estos casos, al más puro
estilo de los primeros minutos de las películas-catástrofe de Hollywood, tan
abruptamente que hasta cuesta creerla. Un ciberataque masivo sobre la red
interna de Telefónica de España, y después Vodafone, Capgemini, BBVA, y las
noticias siguen. Todo el sistema de salud británico y hasta la Renault de
Francia caen víctimas del WannaCry la infección llega incluso a este lado del
mundo.
Las redes sociales explotan mostrando capturas de pantallas
en las que se insta a los usuarios a no encender sus equipos. Otros tweets
aparecen con la temible pantalla roja del WannaCry pidiendo U$S 300 por equipo
en bitcoins para devolver a la víctima del secuestro, es decir: los archivos; y
mostrando dos dramáticos contadores en cuenta regresiva indicando que al tercer
día de no pagar el rescate transforma los U$S 300 en U$S 600, y al séptimo
destruye los archivos.
Se crean mapas de ataques en tiempo real para que se pueda
ver gráficamente la magnitud del desastre.
Equipos de ciberanalistas de todo el mundo corren
desesperados tratando de entender qué pasa.
Otros, excelentes profesionales reconocidos en todo el
mundo, pero tan desesperados por la magnitud del problema, se apuran en
twittear un no muy profesional “yo no tengo nada que ver” al más puro estilo “yo
no fui” de Bart Simpson.
En cuestión de horas WannaCry se adueña del cibermundo, 150
países, más de 200 mil equipos y la infección no se detiene. Expertos en
ingeniería inversa de malware tratan de desentrañar el gusano con el reloj en
contra. Hasta llegan a descubrir algunas de las billeteras de bitcoins a las cuales se deben
pagar los rescates. De pronto, un milagro, el gusano tiene un botón de
autodestrucción (kill switch) que
permite desactivarlo, y con un gasto de U$S 10 para registrar un dominio de
Internet, la propagación se detiene… por ahora.
La amenaza no terminó aún, los archivos siguen encriptados;
sin embargo, podemos detenernos unos instantes, parar de correr, de seguir
segundo a segundo las noticias en Twitter, de salir a vender desesperadamente
soluciones mágicas aprovechando el momento y pensar.
¿Cómo empezó la infección? ¿cuál es el paciente cero? y ¿cómo
se propaga?
WannaCry o Wcry no es nuevo. Apareció allá por el 11 de
abril de este año por lo que ya se sabía de su existencia. Esta es, sin
embargo, una nueva variante interesante porque utiliza varias vulnerabilidades
de CIFS (protocolo para compartir archivos de Microsoft) CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146 y CVE-2017-0148 y cuyo parche fue publicado el 14-mar-2017; es decir
hace dos meses.
Como la vulnerabilidad es de CIFS (puerto 445/TCP) sólo
puede afectar equipos de redes internas ya que ningún equipo conectado a Internet
debería tener el puerto 445 abierto. Ninguno…? Es muy interesante hacer esta búsqueda en Shodan y comprobar que en este
momento en el mundo hay 1,5 millones de equipos con este puerto abierto hacia
Internet.
Sin embargo, en empresas con la magnitud de las atacadas,
estos puertos deberían estar cerrados. ¿Cómo fueron infectadas entonces? Como
siempre en estos casos, por técnicas de Phishing. Usarios internos que reciben
emails que parecen ser válidos, o con ofertas atractivas de pasajes, soluciones
para problemas médicos o material erótico; abren esos emails y caen en la
trampa. No importa la magnitud de la compañía, el tamaño de la red, los
millones de dólares o euros que se destinen a seguridad, un sólo usuario que
abre un email que no debiera y el malware ingresa a la red interna de la
compañía.
¿Qué fue lo que pasó entonces? ¿dónde se falló?
En lo mismo que falla siempre el ser humano, en lo mismo que
fallaron los troyanos en el año 1200 A.C. cuando aceptaron el regalo griego, en
la falta de conciencia sobre el potencial peligro y la excesiva confianza. Es
cierto que existen vulnerabilidades técnicas que permiten que esto ocurra, pero
sin la ayuda humana, estas vulnerabilidades no hubieran tenido el efecto que
tuvieron.
Todo proceso de gestión de seguridad tiene un pilar básico
sobre el que se construye la seguridad de cualquier organización: la
concientización del personal. A mi modo de ver, los puntos de falla fueron dos
y muy claros:
La concientización de los administradores. Por un lado, el
parche MS17-010 está disponible desde el 14 de marzo de
2017. Las máquinas infectadas… las 200 mil… evidentemente no tenían el parche
aplicado, teniendo en cuenta que ya pasaron dos meses de su liberación. Por
otro lado, que un ransomware ingrese a un equipo y encripte los archivos con
una cuenta regresiva es una variante melodramática a una falla común que es que
un disco se rompa y se pierdan todos los datos dentro de éste. Desde que
existen los sistemas informáticos hay una medida para mitigar este problema
cuando ocurre, se denomina backup.
La concientización de los usuarios. La velocidad de
aparición de la oferta online es tan abrumadoramente veloz que los usuarios no
expertos no llegan a asimilar qué es válido y qué no. Hace falta sólo un
usuario que tome la decisión equivocada y haga click donde no debió para que
caiga presa del Phishing.
Desarrollamos la tecnología para que nos solucione muchos
aspectos de nuestra vida. Hoy en día los negocios y nuestras vidas mismas no
podrían concebirse sin estas tecnologías. Pero su potencia viene necesariamente
de la mano de una serie de nuevos peligros que para poder evitarlos debemos ser
conscientes de su existencia, estar preparados para manejarlos y actuar en
consecuencia en tiempo y forma.
Carlos Benitez, Fundador y CEO de Khutech.
Comentarios
Publicar un comentario