El ciberataque mundial de WannaCry: los hechos y sus consecuencias

Mensaje exigiendo un pago para "rescatar" archivos encriptados por ransomwere

Mensaje exigiendo pago por “rescatar” archivos encriptados

 

 Ante la gran difusión que ha alcanzado el ciberataque masivo del pasado Viernes 12-05-2017, y la alarma generada por el mismo, hemos creído conveniente arrojar un poco de luz sobre la cuestión con algunas explicaciones muy básicas sobre el incidente, y algunas aclaraciones de conceptos de los que se ha hablado en los medios estos días, en ocasiones sin demasiado rigor.

 

Nota: Los conceptos entrecomillados a lo largo del texto hacen referencia al uso de términos informáticos que, aunque no son aplicables exactamente desde un punto de vista estricto, hemos considerado adecuado usar para no complicar innecesariamente las explicaciones.

 

- ¿Qué es un ransomware?: se conoce con este nombre a una familia de “virus” informáticos que tienen en común una característica operativa: encriptan los archivos de información de los tipos principales (Word, Excel, PDF, imágenes, bases de datos…) del equipo infectado, y de aquellas carpetas de red a las que se tiene acceso desde el equipo afectado usando las credenciales del usuario. A diferencia de los virus más clásicos, éstos habitualmente no dañan los “equipos”, que siguen funcionando perfectamente, de hecho tampoco borran la información, simplemente la encriptan impidiendo el acceso a ella y volviéndola por tanto inútil. Otra característica común habitual es que se ofrece a las víctimas la posibilidad de “recuperar” sus archivos mediante el envío de una “clave” de desencriptación previo pago de una cantidad de dinero. También de forma habitual combinan las acción de encriptación de información con otras acciones perniciosas como spyware, robo de información, robo de contraseñas, instalación de programas de control remoto de ordenadores (rootkits)…; el ransomware del ataque del pasado Viernes 12-05-2017 se llama “WannaCry”

Una práctica delictiva cada vez más extendida

Una práctica delictiva cada vez más extendida

 

- ¿Cuál es el mecanismo de propagación primaria o “vehículo de infección” de este ataque?: el “vehículo de infección” es el medio informático del que se aprovecha un “virus” para acceder a un equipo víctima del ataque. Los dos vehículos más habituales de infección hoy en día son las páginas web y el correo electrónico. “WannaCry” se desplegó mediante correo electrónico.

El correo es una de las vía principales de propagación del ransomware

El correo es una de las vía principales de propagación del ransomware

Los gusanos fueron otro tipo de malware muy dañino y muy extendido

Los gusanos fueron otro tipo de malware muy dañino y muy extendido

 

- ¿Cuál es el mecanismo de infección de este ataque?: el mecanismo de infección es la forma en que el “virus” se ejecuta una vez alcanza el sistema del equipo víctima del ataque. En los “virus” de tipo ransomware lo más habitual es que sea el propio usuario el que ejecute el virus de forma inadvertida al aceptar algún mensaje engañoso de la web, pulsar un link en un correo o ejecutar un adjunto. En este contexto el virus se ejecutará con los permisos del usuario que lo ha lanzado inadvertidamente, y en principio sólo podrá acceder a los recursos, locales y de red, a los que tenga acceso la cuenta del usuario. En virus más complejos se pueden llevar a cabo escaladas de privilegios aprovechando “fallos” del sistema infectado, pero no es lo habitual en los virus de tipo “ransomware”. En el caso de “WannaCry” aparentemente era el propio usuario el que ejecutaba el virus al abrir un adjunto a un correo (la información en torno a este punto es algo confusa).

 
- ¿Cuál es el mecanismo de propagación secundario de este ataque?: el mecanismo de propagación secundario es la forma es que un virus infecta a otros equipos en la misma red del equipo víctima inicial. No todos los virus lo hacen. Un ejemplo típico de “virus” con propagación secundaria son los “gusanos”, que durante muchos años fueron la mayor amenaza a la seguridad informática. En el caso de los ransomware la mayoría no intentan afectar a otros equipos, ya que su objetivo principal es encriptar información, y esta está accesible de forma natural en los otros equipos de la red, sin necesidad de infectarlos previamente. Según el equipo afectado, y el nivel de permisos del usuario víctima del ataque, desde un solo punto un ransomware bien diseñado puede encriptar toda la información de la red en cuestión de minutos, sin necesidad de infectar otros equipos. WannaCry sí tenía mecanismo de propagación secundaria, y además resultó ser uno especialmente sensible en el caso de redes corporativas grandes y extendidas geográficamente. El mecanismo secundario de propagación de “WannaCry” se basaba en una vulnerabilidad del protocolo estándar de compartición de archivos en red de Microsoft, conocido como SMB (Server Message Block).
El protocolo SMB es el que nos permite compartir archivos y carpetas en sistemas Windows

El protocolo SMB es el que nos permite compartir archivos y carpetas en sistemas Windows

 
- ¿Cómo es la vulnerabilidad del protocolo SMB usada en este ataque?: esta vulnerabilidad concreta permite a un software malicioso ejecutar código de forma remota, es decir, lanzar un programa en un equipo remoto a través de la red, algo que en condiciones normales no se puede hacer. De esta forma WannaCry además de encriptar los archivos en red a los que tenía acceso directo, como todos los ransomware, puede infectar otros equipos de la red, lo que a su vez permite extender la infección, aumentando con cada caso el número de archivos que pueden ser encriptados. Las grandes redes corporativas son especialmente vulnerables a este ataque, ya que el protocolo SMB está presente en prácticamente todas ellas, y además se puede extender a través de las VPN que suelen utilizar estas grandes empresas, lo que hace posible que desde un ordenador infectado en Madrid el ataque acabe encriptando ficheros compartidos en Murcia en cuestión de minutos, sin necesidad de intervención alguna de un usuario, salvo en la infección inicial.
 
Ejemplo de código que puede explotar una vulnerabilidad en un protocolo de red

Ejemplo de código que puede explotar una vulnerabilidad en un protocolo de red

 
- ¿Cuál es la responsabilidad de los fabricantes de antivirus?: los “virus” de tipo ransomware llevan varios años actuando y por desgracia continúan siendo indetectables en la primera infección en un porcentaje muy elevado. No está claro cuál es el motivo por el que los antivirus no son capaces de detectar la operativa de los ransomware, que por otra parte es bastante identificable: operación masiva de encriptación de miles de archivos de forma simultánea, pero lo cierto es que no lo hacen en el primer ataque, y cuando lo hacen ya es demasiado tarde (o ya hemos perdido los archivos o ya se ha detenido el ataque por otros medios). WannaCry no es una excepción, y no ha sido bloqueado por los antivirus de los equipos infectados. A toro pasado muchos fabricantes dicen que ya lo detectan y bloquean, pero ahora ya de poco sirve.
 
Opinión: desde Data Keeper creemos que la incapacidad de los grandes fabricantes para detener este tipo concreto de ataques es, cuando menos, ruborizante, y desde luego da pie a todo tipo de sospechas y elucubraciones. Evidentemente a quienes no estamos directamente metidos en ese mundo se nos puede escapar su complejidad, pero lo que sí parece claro es que una operación masiva de encriptación de ficheros es, por naturaleza, infrecuente, y debería ser al menos detectable. Una simple ventana que avise al usuario de que ha autorizado una operación sospechosa solucionaría gran parte del problema, aunque con la ingente cantidad de dinero que se mueve en el mercado de la seguridad informática, y teniendo en cuenta lo que está en juego, estamos legitimados para pedir algo más a estas poderosas multinacionales.
 
Principales fabricantes internacionales de antivirus

Principales fabricantes internacionales de antivirus

 

- ¿Cuál es la responsabilidad de Microsoft y de la NSA en este ataque?: esta vulnerabilidad del protocolo SMB fue hecha pública el pasado 06-02-2017, si bien se cree que en realidad fue descubierta por la NSA bastante antes, e incorporada en una herramienta de espionaje de la agencia americana de nombre “Eternal Blue”, que luego fue robada de la propia NSA por un grupo de hackers. Microsoft se tomó su tiempo para publicar el parche que solucionaba el problema, ya que calificó el riesgo de la vulnerabilidad como “No grave”. Ante la falta de respuesta por parte de Microsoft, el grupo descubridor de la vulnerabilidad publicó un ejemplo de código que hacía uso de la misma, y de esta forma consiguió forzar a Microsoft a tomar una acción. El parche fue publicado el 14-03-2017 bajo la denominación MS17-010. Sin embargo es importante tener en cuenta que como Windows XP y Windows 2003 Server, y todos los sistemas operativos Microsoft anteriores, ya no están soportados desde hace años, para ellos en ese momento no se publicó parche alguno. Ante la extensión y la notoriedad que alcanzó el ataque, Microsoft se vio obligada a liberar también el parche para XP y 2003, cosa que hizo el propio Viernes 12-05-2017, pero demasiado tarde para la mayoría de afectados, como por ejemplo el sistema de salud británico, que inexplicablemente a estas alturas de siglo, aún tenía gran cantidad de su parque informático trabajando con Windows XP y Windows Server 2003.

Opinión: la actitud de Microsoft en este tema concreto es más que reprobable, y ha sido sólo cuestión de suerte que el ataque se produjera después de que ellos publicaran el parche, de esta forma, y sólo por los pelos, se libran de parte de la responsabilidad, echándole la culpa a las víctimas por la falta de actualizaciones. Tampoco les viene mal para que la gente que aún se aferra a XP y Server 2003, cosa que por otra parte no deberían hacer, se vea obligada a cambiar.

En cuanto a la NSA y su reinado del terror informático… mejor ningún comentario.

Hackers hackeando a la NSA que antes había hackeado a Microsoft

Hackers hackeando a la NSA que antes había hackeado a Microsoft

 

- ¿Cuál es la responsabilidad de las empresas afectadas?: como muchos otros temas en informática, muchas empresas no consideran este tipo de problemas como suyos hasta que ya es demasiado tarde y les ocurre a ellos. El mantenimiento de equipos con sistemas no soportados desde hace casi 15 años, como Windows XP y Windows Server 2003, es una pésima decisión empresarial. La carencia de copias de seguridad adecuadas, recurrentes, automatizadas y en varios niveles, incluido backup off-site, es una ruleta rusa empresarial. Dotar a la red y al sistema de correo de potentes sistemas de antivirus es crítico, si bien es cierto que en el caso concreto de los ransomware no suele ser muy efectivo, pero hay muchos otros peligros de los que sí pueden proteger a las redes empresariales. Por último disponer de un servicio de mantenimiento informático especializado y con amplia experiencia, como es el caso de Data Keeper, que se ocupe de las actualizaciones de los servidores, del seguimiento y resolución de las incidencias y, sobre todo, de la prevención de las mismas, es la pieza clave de una estrategia global de protección.

Windows Server 2003 va camino de los 15 años de antiguedad (se lanzó el 24-04-2003)

Windows Server 2003 va camino de los 15 años de antiguedad (se lanzó el 24-04-2003)

 

 

- ¿Cuál es la responsabilidad de los usuarios en este tipo de ataques?: en el caso de los ransomware es especialmente importante concienciar a los usuarios de que no deben pulsar sobre cualquier link o abrir cualquier adjunto de los correos que les llegan, ni navegar por páginas no habituales desde sus puestos de trabajo. Ante la duda lo mejor es consultar a su equipo de mantenimiento informático.

Las páginas web son una de las vía principales de contagio hoy en día

Las páginas web son una de las vía principales de contagio hoy en día

 

 

- ¿Se ha deResultado de imagen de wannacry stoppedtenido el ataque?: Este en concreto sí. Por algún motivo sus creadores introdujeron en su código una dirección web que era accedida durante el proceso de infección primario. Un experto en seguridad encontró esa dirección examinando el código y por pura casualidad decidió registrar el dominio (que estaba libre). Esto hizo que, sin qudad desactivara el ataque. No es habitual que los ransomware dispongan de este tipo de “interruperer, este experto en seguritores”.

 

- ¿Ha pasado el peligro?: En absoluto, hay cientos de ransomwares, y cada día se publican nuevos y continúan actuando; de hecho hoy mismo en China se ha detectado ya una versión “2.0” de WannaCry que podría volver a infectar nuevas redes… y que no tiene “interruptor”.

La amenaza es constante

La amenaza es constante

 

- ¿Aplicando la actualización de Windows se evita el peligro?: En absoluto, la actualización es necesaria, pero sólo evita que el virus se propague a otros equipos de la misma red, sin embargo con un solo equipo infectado, y sin necesidad de propagación secundaria, es suficiente para perder gran cantidad de archivos.

Las actualizaciones son sólo un componente más de una estrategia de defensa

Las actualizaciones son sólo un componente más de una estrategia de defensa

 

- ¿Son inútiles los antivirus?: Ciertamente hasta el momento han resultado bastante inútiles, aunque no totalmente, contra los “virus” de tipo ransomware, pero son muy efectivos contra otras amenazas igualmente graves.

Los antivirus son otro elemento defensivo fundamental

Los antivirus son otro elemento defensivo fundamental

 

- ¿Se pueden recuperar los archivos encriptados?: En algunos casos, pocos, se ha conseguido revertir el mecanismo de encriptación de los archivos, normalmente debido a errores de programación de quién lo ha desarrollado. Lo habitual es que no se pueda romper la encriptación salvo si se dispone de la “clave”. Aunque es cierto que en algunos casos se ha pagado y se ha podido recuperar la información, en la abrumadora mayoría de casos no ha sido así, y desde Data Keeper lo desaconsejamos, ya que lo más seguro es que además de la información se pierda el dinero.

Se trata de un chantaje, ni más ni menos.

Se trata de un chantaje, ni más ni menos

 

 

- ¿Cómo nos protegemos? Dos recursos principales: robusto sistema de copias de seguridad y concienciación de los usuarios. Los equipos de mantenimiento informático se deben ocupar del resto: actualizaciones, antivirus, configuraciones de clientes de correo, configuraciones específicas de ejecución en los perfiles…, que también son importantes, aunque en el caso concreto del ransomware no son decisivas.

El sistema de backup es nuestro mejor aliado contra el ransomware y el malware en general

El sistema de backup es nuestro mejor aliado contra el ransomware y el malware en general

 

 

- ¿Es más inseguro Windows que otros sistemas operativos? Sinceramente creemos que no. Todas las plataformas sufren ataques (sí, también Linux y Mac). El que la inmensa mayoría de estos ataques se produzca en plataformas Windows obedece a dos causas principales, y ninguna de ellas tiene que ver con la elección del sistema operativo en sí:

1) Por un lado Windows es un sistema operativo de implantación masiva y de uso cuasi-universal. Con independencia de los motivos que le han llevado a esta posición hegemónica, lo que está claro es que de cada 100 sistemas informáticos a atacar en el mundo casi 90 son Windows. Si alguien quiere hacer daño, sacar rédito, o ambas cosas lo lógico es atacar un sistema Windows.

2) Los usuarios de los otros dos sistemas mayoritarios (Linux y Mac) tienen, de media, dos perfiles muy diferentes de los de Windows, y diferentes entre sí, pero ambos favorables a la disminución de la cantidad de este tipo de incidentes: por un lado debido a las limitaciones de los sistemas Linux sus usuarios por norma son bastante más avezados que los del resto de sistemas, y en consecuencia más cautos; por el otro los usuarios de Mac, al menos a nivel empresarial, suelen ser usuarios muy específicos, que usan el equipo para funciones muy concretas, y que suelen disponer de otras plataformas para el resto de operaciones.

Opinión: todo esto no es óbice para decir que Microsoft tiene una muy mala política de seguridad que tiene mucho más que ver con necesidades de marketing que con necesidades tecnológicas, y que desde siempre ha tratado a los usuarios como incapaces, con políticas de obligación y de limitación de responsabilidad, que más tienen que ver con un padre que con un fabricante, y que encima, a la vista está, resultan ineficaces.

Microsoft tiene  mucho que cambiar en su orientación y mucho que mejorar en su actuación

Microsoft tiene mucho que cambiar en su orientación y mucho que mejorar en su actuación

 

Written by

No Comments Yet.

Leave a Reply

Message