Ramsonware, ¿un gran ataque global?

news and informations automotive,business,crime,health,life,politics,science,technology,travelautomotive,business,crime,health,life,politics,science,technology,travel

Sigue el sensacionalismo entorno al ramsonware que se descubrió ayer y se ha extendido por casi 100 países. Incluso Europol afirma que se trata de un ataque a un nivel sin precedentes.

Por supuesto que no voy a restar importancia a este incidente, pero creo que el enfoque que se le está dado en muchos medios es muy desacertado. Estamos tratando con un malware que requiere que un usuario de la red pulse en un enlace o abra algún archivo, y que además, el ordenador que está usando tenga un sistema operativo sin actualizar. No ha sido un acceso no autorizado a las redes internas saltándose cortafuegos, sistemas de detección de intrusos, elevación de privilegios, …

Yo no lo calificaría como un gran ataque global, sino como una gran metedura de pata global, en la que hemos visto que es demasiado habitual que en las empresas no se cumplan los protocolos de seguridad que se conocen y recomiendan desde hace años, que entre otros son:

  • Mantener el sistema operativo actualizado.
  • Formar y concienciar a los usuarios de que son parte de la seguridad corporativa y que no deben pulsar en enlaces no confiables, abrir correos de remitentes no confirmados ni manipular en sus ordenadores archivos que no ofrezcan las mínimas garantías de seguridad.

Estamos de acuerdo en que no siempre es fácil mantener los sistemas operativos actualizados, porque pueden están ejecutando aplicaciones críticas y es necesario verificar la compatibilidad de las actualizaciones antes de aplicarlas. Pero en estos casos es necesario aplicar aún más medidas de seguridad a estos equipos y tratarlos como lo que son, riesgos para la seguridad. Mantenerlos aislados, dar formación específica a sus usuarios y acelerar todo lo posible los procesos de actualización, lo que requiere de inversión para prevenir.

Probablemente los atacantes se hayan visto tan sorprendidos o más que nosotros por el alcance que ha tenido su acción. No se han infiltrado en las redes corporativas de las empresas utilizando sofisticadas técnicas de hacking ni complejos esquemas de ingeniería social. Esto hubiese requerido mucha planificación anterior al ataque y alguien capaz de hacer algo así no cometería la torpeza de descubrirse mediante algo tan evidente como un ramsonware. Si hubiese sido un ataque planificado, probablemente habrían tratado de inyectar en los sistema algún tipo de APT (Advanced Persistent Threat), que les hubiera permitido capturar información sensible, desactivar sistemas críticos o controlar grandes cantidades e dispositivos para hacer posteriores ataques DDoS (Distributed Denial of Service).

Las empresas que se han visto afectadas disponen de políticas de copias de seguridad que hacen que un ataque con ramsonware no pase de ser una molestia y de provocar la caída de los sistemas durante algunas horas como mucho, lo mínimo necesario para hacer la restauración. Los ataques ramsonware son rentables cuando afectan a pequeñas empresas y particulares que no suelen contar con estas políticas de backup o que las van a implementar cuando ya es demasiado tarde, y que no les queda otro remedio que pagar el rescate. Como muestra de esto aquí tenemos dos imágenes de hace unos minutos donde vemos el rendimiento económico que ha tenido este “gran ataque”:

Son dos de las tres carteras de Bitcoin en las que los atacantes piden a sus víctimas que les ingresen el rescate. En total no llega a 9 Bitcoins, que al cambio son unos 14.000€.

Alguien que tuviera la capacidad de colarse en pocas horas en las redes corporativas de 75.000 empresas y organismos gubernamentales (son estimaciones a día 13 de mayo del alcance del incidente) hubiese necesitado una infraestructura, tanto de recursos como de personal altamente cualificado, con un coste que superaría en mucho esos 14.000€ de beneficio. Son ataques que suelen estar respaldados por gobiernos y no parece que ese botín pueda ser atractivo para ellos.

Lo verdaderamente preocupante, y no se está hablando tanto de ello, es que en 75.000 organizaciones de 100 países haya ordenadores sin actualizar (en el NHS británico aún hay ordenadores con Windows XP y no es el único ejemplo), con operadores que pulsan en enlaces desconocidos o abren archivos potencialmente peligrosos.