Ante la gran difusión que ha alcanzado el ciberataque masivo del pasado Viernes 12-05-2017, y la alarma generada por el mismo, hemos creído conveniente arrojar un poco de luz sobre la cuestión con algunas explicaciones muy básicas sobre el incidente, y algunas aclaraciones de conceptos de los que se ha hablado en los medios estos días, en ocasiones sin demasiado rigor.
Nota: Los conceptos entrecomillados a lo largo del texto hacen referencia al uso de términos informáticos que, aunque no son aplicables exactamente desde un punto de vista estricto, hemos considerado adecuado usar para no complicar innecesariamente las explicaciones.
- ¿Qué es un ransomware?: se conoce con este nombre a una familia de “virus” informáticos que tienen en común una característica operativa: encriptan los archivos de información de los tipos principales (Word, Excel, PDF, imágenes, bases de datos…) del equipo infectado, y de aquellas carpetas de red a las que se tiene acceso desde el equipo afectado usando las credenciales del usuario. A diferencia de los virus más clásicos, éstos habitualmente no dañan los “equipos”, que siguen funcionando perfectamente, de hecho tampoco borran la información, simplemente la encriptan impidiendo el acceso a ella y volviéndola por tanto inútil. Otra característica común habitual es que se ofrece a las víctimas la posibilidad de «recuperar» sus archivos mediante el envío de una “clave” de desencriptación previo pago de una cantidad de dinero. También de forma habitual combinan las acción de encriptación de información con otras acciones perniciosas como spyware, robo de información, robo de contraseñas, instalación de programas de control remoto de ordenadores (rootkits)…; el ransomware del ataque del pasado Viernes 12-05-2017 se llama “WannaCry”
- ¿Cuál es el mecanismo de propagación primaria o “vehículo de infección” de este ataque?: el “vehículo de infección” es el medio informático del que se aprovecha un “virus” para acceder a un equipo víctima del ataque. Los dos vehículos más habituales de infección hoy en día son las páginas web y el correo electrónico. “WannaCry” se desplegó mediante correo electrónico.
- ¿Cuál es el mecanismo de infección de este ataque?: el mecanismo de infección es la forma en que el “virus” se ejecuta una vez alcanza el sistema del equipo víctima del ataque. En los “virus” de tipo ransomware lo más habitual es que sea el propio usuario el que ejecute el virus de forma inadvertida al aceptar algún mensaje engañoso de la web, pulsar un link en un correo o ejecutar un adjunto. En este contexto el virus se ejecutará con los permisos del usuario que lo ha lanzado inadvertidamente, y en principio sólo podrá acceder a los recursos, locales y de red, a los que tenga acceso la cuenta del usuario. En virus más complejos se pueden llevar a cabo escaladas de privilegios aprovechando “fallos” del sistema infectado, pero no es lo habitual en los virus de tipo “ransomware”. En el caso de “WannaCry” aparentemente era el propio usuario el que ejecutaba el virus al abrir un adjunto a un correo (la información en torno a este punto es algo confusa).
- ¿Cuál es la responsabilidad de Microsoft y de la NSA en este ataque?: esta vulnerabilidad del protocolo SMB fue hecha pública el pasado 06-02-2017, si bien se cree que en realidad fue descubierta por la NSA bastante antes, e incorporada en una herramienta de espionaje de la agencia americana de nombre “Eternal Blue”, que luego fue robada de la propia NSA por un grupo de hackers. Microsoft se tomó su tiempo para publicar el parche que solucionaba el problema, ya que calificó el riesgo de la vulnerabilidad como “No grave”. Ante la falta de respuesta por parte de Microsoft, el grupo descubridor de la vulnerabilidad publicó un ejemplo de código que hacía uso de la misma, y de esta forma consiguió forzar a Microsoft a tomar una acción. El parche fue publicado el 14-03-2017 bajo la denominación MS17-010. Sin embargo es importante tener en cuenta que como Windows XP y Windows 2003 Server, y todos los sistemas operativos Microsoft anteriores, ya no están soportados desde hace años, para ellos en ese momento no se publicó parche alguno. Ante la extensión y la notoriedad que alcanzó el ataque, Microsoft se vio obligada a liberar también el parche para XP y 2003, cosa que hizo el propio Viernes 12-05-2017, pero demasiado tarde para la mayoría de afectados, como por ejemplo el sistema de salud británico, que inexplicablemente a estas alturas de siglo, aún tenía gran cantidad de su parque informático trabajando con Windows XP y Windows Server 2003.
Opinión: la actitud de Microsoft en este tema concreto es más que reprobable, y ha sido sólo cuestión de suerte que el ataque se produjera después de que ellos publicaran el parche, de esta forma, y sólo por los pelos, se libran de parte de la responsabilidad, echándole la culpa a las víctimas por la falta de actualizaciones. Tampoco les viene mal para que la gente que aún se aferra a XP y Server 2003, cosa que por otra parte no deberían hacer, se vea obligada a cambiar.
En cuanto a la NSA y su reinado del terror informático… mejor ningún comentario.
- ¿Cuál es la responsabilidad de las empresas afectadas?: como muchos otros temas en informática, muchas empresas no consideran este tipo de problemas como suyos hasta que ya es demasiado tarde y les ocurre a ellos. El mantenimiento de equipos con sistemas no soportados desde hace casi 15 años, como Windows XP y Windows Server 2003, es una pésima decisión empresarial. La carencia de copias de seguridad adecuadas, recurrentes, automatizadas y en varios niveles, incluido backup off-site, es una ruleta rusa empresarial. Dotar a la red y al sistema de correo de potentes sistemas de antivirus es crítico, si bien es cierto que en el caso concreto de los ransomware no suele ser muy efectivo, pero hay muchos otros peligros de los que sí pueden proteger a las redes empresariales. Por último disponer de un servicio de mantenimiento informático especializado y con amplia experiencia, como es el caso de Data Keeper, que se ocupe de las actualizaciones de los servidores, del seguimiento y resolución de las incidencias y, sobre todo, de la prevención de las mismas, es la pieza clave de una estrategia global de protección.
- ¿Cuál es la responsabilidad de los usuarios en este tipo de ataques?: en el caso de los ransomware es especialmente importante concienciar a los usuarios de que no deben pulsar sobre cualquier link o abrir cualquier adjunto de los correos que les llegan, ni navegar por páginas no habituales desde sus puestos de trabajo. Ante la duda lo mejor es consultar a su equipo de mantenimiento informático.
- ¿Se ha detenido el ataque?: Este en concreto sí. Por algún motivo sus creadores introdujeron en su código una dirección web que era accedida durante el proceso de infección primario. Un experto en seguridad encontró esa dirección examinando el código y por pura casualidad decidió registrar el dominio (que estaba libre). Esto hizo que, sin qudad desactivara el ataque. No es habitual que los ransomware dispongan de este tipo de “interruperer, este experto en seguritores”.
- ¿Ha pasado el peligro?: En absoluto, hay cientos de ransomwares, y cada día se publican nuevos y continúan actuando; de hecho hoy mismo en China se ha detectado ya una versión «2.0» de WannaCry que podría volver a infectar nuevas redes… y que no tiene “interruptor”.
- ¿Aplicando la actualización de Windows se evita el peligro?: En absoluto, la actualización es necesaria, pero sólo evita que el virus se propague a otros equipos de la misma red, sin embargo con un solo equipo infectado, y sin necesidad de propagación secundaria, es suficiente para perder gran cantidad de archivos.
- ¿Son inútiles los antivirus?: Ciertamente hasta el momento han resultado bastante inútiles, aunque no totalmente, contra los “virus” de tipo ransomware, pero son muy efectivos contra otras amenazas igualmente graves.
- ¿Se pueden recuperar los archivos encriptados?: En algunos casos, pocos, se ha conseguido revertir el mecanismo de encriptación de los archivos, normalmente debido a errores de programación de quién lo ha desarrollado. Lo habitual es que no se pueda romper la encriptación salvo si se dispone de la «clave». Aunque es cierto que en algunos casos se ha pagado y se ha podido recuperar la información, en la abrumadora mayoría de casos no ha sido así, y desde Data Keeper lo desaconsejamos, ya que lo más seguro es que además de la información se pierda el dinero.
- ¿Cómo nos protegemos? Dos recursos principales: robusto sistema de copias de seguridad y concienciación de los usuarios. Los equipos de mantenimiento informático se deben ocupar del resto: actualizaciones, antivirus, configuraciones de clientes de correo, configuraciones específicas de ejecución en los perfiles…, que también son importantes, aunque en el caso concreto del ransomware no son decisivas.
- ¿Es más inseguro Windows que otros sistemas operativos? Sinceramente creemos que no. Todas las plataformas sufren ataques (sí, también Linux y Mac). El que la inmensa mayoría de estos ataques se produzca en plataformas Windows obedece a dos causas principales, y ninguna de ellas tiene que ver con la elección del sistema operativo en sí:
1) Por un lado Windows es un sistema operativo de implantación masiva y de uso cuasi-universal. Con independencia de los motivos que le han llevado a esta posición hegemónica, lo que está claro es que de cada 100 sistemas informáticos a atacar en el mundo casi 90 son Windows. Si alguien quiere hacer daño, sacar rédito, o ambas cosas lo lógico es atacar un sistema Windows.
2) Los usuarios de los otros dos sistemas mayoritarios (Linux y Mac) tienen, de media, dos perfiles muy diferentes de los de Windows, y diferentes entre sí, pero ambos favorables a la disminución de la cantidad de este tipo de incidentes: por un lado debido a las limitaciones de los sistemas Linux sus usuarios por norma son bastante más avezados que los del resto de sistemas, y en consecuencia más cautos; por el otro los usuarios de Mac, al menos a nivel empresarial, suelen ser usuarios muy específicos, que usan el equipo para funciones muy concretas, y que suelen disponer de otras plataformas para el resto de operaciones.
Opinión: todo esto no es óbice para decir que Microsoft tiene una muy mala política de seguridad que tiene mucho más que ver con necesidades de marketing que con necesidades tecnológicas, y que desde siempre ha tratado a los usuarios como incapaces, con políticas de obligación y de limitación de responsabilidad, que más tienen que ver con un padre que con un fabricante, y que encima, a la vista está, resultan ineficaces.