Socio director  S2 Grupo

Cuando se publique este artículo, salvo sorpresa, el ransomware WannaCry seguirá estando controlado, pero esperamos que no esté olvidado, ya que, de las malas experiencias se debe obtener sabiduría, so pena de repetir errores.

Un poco de historia: el viernes 12 de mayo, se produjo una contaminación masiva por parte del malware WannaCry, del tipo ransomware. El efecto de este tipo de malware es cifrar el contenido del disco duro del equipo afectado y mostrar un mensaje de petición de rescate a cambio de la clave de descifrado. El importe del rescate varía entre los cientos de euros para usuarios individuales a los miles de euros para organizaciones.

Normalmente, este tipo de malware infecta un equipo mediante un mecanismo de phishing, que consiste en el envío de un correo electrónico a la posible víctima, con un anexo en el que el usuario debe clicar para que el equipo se infecte (o alguna variante de este método). La novedad, en este caso, ha sido que la transmisión del malware se ha realizado sin intervención de los usuarios, lo que se denomina “propagación autónoma”. La vulnerabilidad explotada existe en varias versiones de MS Windows.

La primera organización española que admitió públicamente haber sido afectada, fue Telefónica, que adoptó, como medida de urgencia, desconectar sus equipos de las redes y analizar la situación antes de empezar a aplicar los parches y volver a conectar. Muchos de los trabajadores de la compañía perdieron la jornada de trabajo pero, aparentemente, se minimizó el impacto sobre sus sistemas y no se infectó a los de sus clientes.

Se estima que en total se produjeron unos 45.000 ataques en 74 países de todo el mundo, incluyendo varios hospitales de UK. En la mayor parte de los centros de respuesta ante incidentes, tanto públicos como privados, la alerta máxima se ha mantenido durante una semana, aproximadamente. Aquellas organizaciones suscritas a este tipo de servicios han visto resuelta la amenaza sin mayores problemas, lo que empieza a constituir una normalización en la forma de plantear el problema.

La solución no ha sido muy compleja: simplemente, actualizar el Sistema Operativo Windows con las últimas versiones. Es más, el parche existe desde hace meses, mucho antes de la aparición de WannaCry. Bastaba con estar actualizado para no ser vulnerable al ataque. En el caso de usuarios particulares, la solución es de fácil aplicación, pero en muchas organizaciones, aplicar los parches no es tan sencillo, ya que, al hacerlo, se puede perder la compatibilidad con determinadas aplicaciones. Aún así, la estrategia general más adecuada es mantener siempre los equipos actualizados a la versión más reciente del sistema operativo.

La propagación del malware se detuvo “accidentalmente” cuando un joven británico compró por $10 y activó un dominio de internet, que actuaba como un centinela indicador de paro para el malware. Para ello, no requirió más que un análisis básico del código fuente, para identificar el dominio (por cierto, la prensa le ha puesto en peligro al difundir su foto, nombre y dirección, lo que, al parecer, le ha obligado a mudarse). Este hecho, junto con el escaso provecho económico que los responsables del malware llegaron a obtener, hace a algunos expertos sospechar que WannaCry escapó al control de sus desarrolladores de manera accidental y antes de tiempo, cuando aún no habían desarrollado toda su capacidad ofensiva.

Como hemos dicho en varias ocasiones, el objetivo de los delincuentes es casi siempre económico y, en el caso del ransomware, ofrecen todas las facilidades al usuario para cobrar el rescate, llegando incluso a ofrecer soporte técnico a aquellos usuarios extorsionados que no saben cómo hacer el pago en bitcoins. Se dice que, en algún caso, proporcionando mejor soporte online que algunas de las empresas legales que utilizan Internet como canal de venta de sus servicios. Obviamente, lo recomendable es no pagar y recuperar la información de las copias de seguridad que, sin duda alguna, hacemos con regularidad.

Por último, es importante recalcar que el mismo tiempo de problemas que estamos viendo en los equipos informáticos “tradicionales” se está dando también, y con importancia creciente en el Internet de las Cosas (Internet of Things), por lo que estas amenazas cobrarán mayor gravedad cuando sean afectados los sistemas de transporte y distribución de energía, control de tráfico, salud, etc. Más nos vale haber normalizado totalmente la ciberseguridad para cuando nuestra dependencia de este tipo de sistemas sea total. Es decir, ya mismo.