La Innovación Necesaria

Blog sobre tecnología, business intelligence, marketing digital, cloud y seguridad.

Cómo protegerse ante otro ciberataque como WannaCry

por

En el mundo de la tecnología se ponen de moda cada año nuevos términos que calan en la sociedad y que se incorporan al vocabulario que utilizamos. Conceptos como «responsivo», «Big Data» o «Internet de las cosas» están a la orden del día y son comunes en nuestras conversaciones.

Otra de las palabras que seguramente os habréis cansado de oír durante los últimos meses es la de ciberseguridad. Si cuando la escuchabais no entendíais por qué se utilizaba tanto últimamente, tras los ataques sufridos a escala global el pasado 12 de mayo, habréis comprendido el porqué. Mantener la ciberseguridad es una pieza clave para garantizar el correcto funcionamiento de las organizaciones en nuestra hipertecnológica sociedad.

¿Qué ha ocurrido?

Muchas organizaciones se han visto afectadas por un ransomware denominado Wanna Cry.
Un ransomware es sencillamente un virus que realiza alguna acción dentro del sistema operativo infectado y por el cual se pide algo a cambio a modo de rescate. En este caso concreto lo que ha hecho es cifrar el contenido de los sistemas afectados imposibilitando el acceso a la información y pidiendo a cambio una cantidad económica indicada en la moneda bitcoin para recuperarlo.

Tal y como lo he narrado me podréis decir, y con toda la razón, que esto ocurre desde hace muchos años. Todos conocemos a alguien que ha sido afectado por alguna variante del virus cryptolocker, cifrándole el contenido del sistema operativo. Lo que lo ha hecho más especial en esta ocasión, dejando aparte que las técnicas utilizadas para infectar el sistema y para evitar recuperar la información hayan sido más avanzadas que en otras ocasiones, es que se ha propagado a nivel mundial, afectando a más de 220.000 sistemas en más de 150 países.

Que entre un malware en la red de la empresa es una cosa muy grave. Tened en cuenta que no solamente se sufren daños relacionados con el cifrado de la información, sino que también hay que considerar la interrupción de las actividades en la compañía, la disminución de los ingresos, el daño a los equipos informáticos y la pérdida de reputación.

¿Por qué ha ocurrido?

Obviando las especulaciones que están apareciendo sobre qué país está detrás de estos ataques y la finalidad que tienen los mismos, me gustaría centrarme en la razón por la cual han conseguido los atacantes conseguir su objetivo.

En primer lugar, los ataques han sido fructíferos debido a que no sólo están enfocados a atacar a los sistemas, sino que inciden en el eslabón más débil de toda la cadena de seguridad: las personas. Se pueden tener todas las herramientas de protección posibles como sistemas antivirus, firewalls o mecanismos de autenticación robustos que, si un usuario abre un correo electrónico que contiene un troyano o si navega por un sitio web de dudosa confianza, puede comprometer la seguridad de toda la compañía. En este caso, se desconoce si fue un correo electrónico infectado simulando una factura, una web por la que no se debía haber navegado, o cualquier otro mecanismo de ingeniería social, pero el atacante logró el objetivo de comprometer el sistema del usuario.

En segundo lugar, esta modalidad de ransomware ha aprovechado una vulnerabilidad reconocida de los sistemas Microsoft para, una vez infectado, propagarse por la red a todos los demás dispositivos a los que tiene acceso, como si de una epidemia se tratase. Este punto ha sido la razón por la cual este ataque ha sido devastador. No sólo se ha expandido a los sistemas de la propia red local, sino también a los del resto de organizaciones con las que estuviesen interconectados.

¿A quién ha afectado?

WannaCry ha afectado a múltiples organizaciones de gran renombre y con importantes medidas de seguridad, no sólo a nivel nacional, sino a nivel mundial. Ha llegado a paralizar empresas de telecomunicaciones, plantas productivas e incluso hospitales.

Según un informe del portal web Statista, tal y como se ha mencionado anteriormente, se han llegado a reconocer 220.000 infecciones a lo largo de 150 países durante este breve periodo de tiempo. Para que os hagáis una idea, durante todo 2015 se identificaron 340.655 infecciones, subiendo esa cifra en 2016 a 463.841.

Balance de daños del ataque de WannaCry
Balance de daños del ataque de WannaCry

Estas infecciones han afectado principalmente a sistemas operativos Microsoft que, por su antigüedad, se encontraban sin soporte por parte de Microsoft. Como se puede ver en el siguiente gráfico, según un estudio de la reputada empresa de seguridad informática Kaspersky Lab, aproximadamente el 98% de los sistemas infectados tenían como sistema operativo Windows 7, que dejó de tener soporte por parte de Microsoft en el año 2015.

Versiones de Windows afectadas por WannaCry
Versiones de Windows afectadas por WannaCry

 

¿Cómo puede prevenirse?

Para dar respuesta a esta pregunta debemos partir de una premisa que es la máxima en materia de seguridad: la seguridad no es un estado al que se pueda llegar. Cuando un cliente me dice que “quiere que sus sistemas sean seguros” le respondo con una frase que escribió un profesor americano llamado Eugene Spafford: «El único sistema verdaderamente seguro es aquel que está apagado, encerrado en un bloque de hormigón y sellado en una habitación recubierta de plomo con guardias armados… y aun así tengo mis dudas». Con esto quiero decir que nunca se puede aseverar que tus sistemas sean 100% seguros, pero sí tienes que hacer todo lo que esté en tus manos para poder evitar la materialización de cualquier amenaza.

Como seguimos y seguiremos estando expuestos a estos ataques, os expongo mis recomendaciones para lograr alcanzar el mayor grado de seguridad.

  1. Concienciación a los usuarios. Es vital que el usuario sea informado periódicamente sobre los riesgos a los que está expuesto con el objeto de estar siempre alerta sobre las amenazas existentes. La correcta utilización del correo electrónico, de la navegación web o del uso de pendrives debería estar totalmente inculcado en los trabajadores de la organización.
  2. Software antivirus. Es fundamental disponer de un antivirus desplegado en todos los dispositivos de la organización y actualizado a las últimas versiones de bases de datos de firmas de virus. Aunque no siempre sean efectivos para detectar las últimas amenazas, siempre es un pilar importante para ejercer de barrera ante muchos virus.
  3. Actualización de sistemas. Este es un punto vital, tal y como he ido comentando a lo largo de todo al artículo. Muchas veces somos bastante escépticos a la hora de actualizar los sistemas, no nos damos cuenta de su trascendencia: “como todo funciona, vamos a dejarlo así, no vaya a ser que con la actualización deje de funcionar”. Esta frase la hemos oído demasiadas veces, pero si los fabricantes dedican tiempo y recursos a investigar y solucionar vulnerabilidades, ¿no crees que será por alguna razón? No damos la suficiente importancia a disponer de los últimos sistemas operativos y a contar con las últimas actualizaciones de seguridad instaladas y, como ya hemos visto, en esta ocasión ha sido el desencadenante de todo.
  4. Control de acceso a red. Por último, y no por ello menos importante (sino más bien todo lo contrario), quiero recalcar la trascendencia de tener una correcta política de control de acceso a la red. ¿Qué quiero decir con esto? Básicamente que podemos tener en nuestra organización todos los sistemas protegidos, con las últimas versiones de antivirus, con las últimas versiones de sistemas operativos y con todas las actualizaciones de seguridad instaladas, pero si alguien se conecta con su ordenador personal a la red, ya sea presencial o remotamente, y está afectado por la vulnerabilidad puede derribar tu castillo de naipes, denominado ciberseguridad, en el que tanto has invertido.

¿Qué se puede hacer en caso de haber sido infectado?

Si has sido afectado por un caso de ransomware, lo primero que debes hacer es desconectar los equipos infectados de la red lo antes posible y tratar de evitar así su posible propagación al resto de los sistemas.

A continuación, ponte en contacto con profesionales en la materia. Las empresas tecnológicas tenemos mucha experiencia en casos de este tipo y podemos ayudarte a dar solución a estos problemas. Nuestro consejo, y el de todas las entidades dedicadas a la seguridad, es que bajo ningún concepto se pague por el rescate. Al pagar, estás financiando a los creadores del ransomware para que puedan desarrollar versiones más potentes del virus.

Utiliza las copias de seguridad para recuperarte. Como hemos podido relatar en anteriores artículos del blog, las copias de seguridad son vitales para las empresas. Si el virus ha afectado cifrando los archivos, pero se pueden recuperar mediante las copias de seguridad, el impacto habrá sido mínimo. Considero que es muy importante recalcar la importancia de disponer de copias de seguridad tanto en una ubicación externa como desconectada. WannaCry ha demostrado a muchas empresas que su estrategia de copias de seguridad no era la correcta, ya que no sólo ha cifrado los datos, sino que también ha conseguido cifrar las copias de seguridad al estar accesibles en una ubicación de red.

Por último, dispón un plan de continuidad de negocio que contemple los sistemas IT. Contar con unos sistemas mediante los cuales poder operar en el caso de que haya sido comprometida nuestra red puede ser muy útil para volver a trabajar en el menor tiempo posible. Tras el ataque de WannaCry, por ejemplo, ha habido empresas que han estado varios días sin trabajar hasta que han podido recuperarse al 100% con la consiguiente pérdida de productividad, confianza y, en definitiva, dinero.

¿Qué nos deparará el futuro?

Lamentablemente nuevas versiones y derivadas de estos malwares van a seguir desarrollándose, por lo que hay que estar alerta y tratar de implantar todas las medidas de ciberseguridad necesarias para poder evitarlas.
Y recuerda, puedes invertir todo el dinero que quieras en materia de seguridad, pero si una persona llega a tu organización con su dispositivo portátil y, con toda la buena intención, lo conecta a la red, estarás perdiendo todo el control en el que tanto dinero habías invertido.

Si queréis ampliar más información sobre las medidas de seguridad en tu departamento IT, podéis descargaros la grabación del Webinar sobre Ciberseguridad: Protegiendo tus propios datos y cumpliendo la legislación.

Artículo redactado por Miguel Ibáñez

Artículos relacionados

Fortisase
Seguridad

FortiSASE: ciberseguridad en entornos híbridos

Cristina Ibáñez Visanzay
ciclo-vida-ciberseguridad
Seguridad

Mejora la ciberseguridad de tu empresa

Integra
Seguridad

Ciberataques, una amenaza real en 2021

Cristina Ibáñez Visanzay
Seguridad

Reflexiones sobre la seguridad de los backups y los ciberdelincuentes y qué puedo hacer para defenderme

Integra

Interacciones con los lectores

Comentarios

Deja una respuesta