WannaCry, el día después.

La noticia llega como siempre en estos casos, al más puro estilo de los primeros minutos de las películas-catástrofe de Hollywood, tan abruptamente que hasta cuesta creerla. Un ciberataque masivo sobre la red interna de Telefónica de España, y después Vodafone, Capgemini, BBVA, y las noticias siguen. Todo el sistema de salud británico y hasta la Renault de Francia caen víctimas del WannaCry  la infección llega incluso a este lado del mundo.

Las redes sociales explotan mostrando capturas de pantallas en las que se insta a los usuarios a no encender sus equipos. Otros tweets aparecen con la temible pantalla roja del WannaCry pidiendo U$S 300 por equipo en bitcoins para devolver a la víctima del secuestro, es decir: los archivos; y mostrando dos dramáticos contadores en cuenta regresiva indicando que al tercer día de no pagar el rescate transforma los U$S 300 en U$S 600, y al séptimo destruye los archivos.

Se crean mapas de ataques en tiempo real para que se pueda ver gráficamente la magnitud del desastre.

Equipos de ciberanalistas de todo el mundo corren desesperados tratando de entender qué pasa.

Otros, excelentes profesionales reconocidos en todo el mundo, pero tan desesperados por la magnitud del problema, se apuran en twittear un no muy profesional “yo no tengo nada que ver” al más puro estilo “yo no fui” de Bart Simpson.

En cuestión de horas WannaCry se adueña del cibermundo, 150 países, más de 200 mil equipos y la infección no se detiene. Expertos en ingeniería inversa de malware tratan de desentrañar el gusano con el reloj en contra. Hasta llegan a descubrir algunas de las billeteras de bitcoins a las cuales se deben pagar los rescates. De pronto, un milagro, el gusano tiene un botón de autodestrucción (kill switch) que permite desactivarlo, y con un gasto de U$S 10 para registrar un dominio de Internet, la propagación se detiene… por ahora.

La amenaza no terminó aún, los archivos siguen encriptados; sin embargo, podemos detenernos unos instantes, parar de correr, de seguir segundo a segundo las noticias en Twitter, de salir a vender desesperadamente soluciones mágicas aprovechando el momento y pensar.

¿Cómo empezó la infección? ¿cuál es el paciente cero? y ¿cómo se propaga?

WannaCry o Wcry no es nuevo. Apareció allá por el 11 de abril de este año por lo que ya se sabía de su existencia. Esta es, sin embargo, una nueva variante interesante porque utiliza varias vulnerabilidades de CIFS (protocolo para compartir archivos de Microsoft) CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146 y CVE-2017-0148 y cuyo parche fue publicado el 14-mar-2017; es decir hace dos meses.

Como la vulnerabilidad es de CIFS (puerto 445/TCP) sólo puede afectar equipos de redes internas ya que ningún equipo conectado a Internet debería tener el puerto 445 abierto. Ninguno…? Es muy interesante hacer esta búsqueda en Shodan y comprobar que en este momento en el mundo hay 1,5 millones de equipos con este puerto abierto hacia Internet.

Sin embargo, en empresas con la magnitud de las atacadas, estos puertos deberían estar cerrados. ¿Cómo fueron infectadas entonces? Como siempre en estos casos, por técnicas de Phishing. Usarios internos que reciben emails que parecen ser válidos, o con ofertas atractivas de pasajes, soluciones para problemas médicos o material erótico; abren esos emails y caen en la trampa. No importa la magnitud de la compañía, el tamaño de la red, los millones de dólares o euros que se destinen a seguridad, un sólo usuario que abre un email que no debiera y el malware ingresa a la red interna de la compañía.

¿Qué fue lo que pasó entonces? ¿dónde se falló?

En lo mismo que falla siempre el ser humano, en lo mismo que fallaron los troyanos en el año 1200 A.C. cuando aceptaron el regalo griego, en la falta de conciencia sobre el potencial peligro y la excesiva confianza. Es cierto que existen vulnerabilidades técnicas que permiten que esto ocurra, pero sin la ayuda humana, estas vulnerabilidades no hubieran tenido el efecto que tuvieron.

Todo proceso de gestión de seguridad tiene un pilar básico sobre el que se construye la seguridad de cualquier organización: la concientización del personal. A mi modo de ver, los puntos de falla fueron dos y muy claros:

La concientización de los administradores. Por un lado, el parche MS17-010 está disponible desde el 14 de marzo de 2017. Las máquinas infectadas… las 200 mil… evidentemente no tenían el parche aplicado, teniendo en cuenta que ya pasaron dos meses de su liberación. Por otro lado, que un ransomware ingrese a un equipo y encripte los archivos con una cuenta regresiva es una variante melodramática a una falla común que es que un disco se rompa y se pierdan todos los datos dentro de éste. Desde que existen los sistemas informáticos hay una medida para mitigar este problema cuando ocurre, se denomina backup.

La concientización de los usuarios. La velocidad de aparición de la oferta online es tan abrumadoramente veloz que los usuarios no expertos no llegan a asimilar qué es válido y qué no. Hace falta sólo un usuario que tome la decisión equivocada y haga click donde no debió para que caiga presa del Phishing.

Desarrollamos la tecnología para que nos solucione muchos aspectos de nuestra vida. Hoy en día los negocios y nuestras vidas mismas no podrían concebirse sin estas tecnologías. Pero su potencia viene necesariamente de la mano de una serie de nuevos peligros que para poder evitarlos debemos ser conscientes de su existencia, estar preparados para manejarlos y actuar en consecuencia en tiempo y forma.

Carlos Benitez, Fundador y CEO de Khutech.