WannaCry: todas las claves ante un posible nuevo ataque

Gestión la seguridadSeguridad

Un ataque de ransomware el viernes, puso en jaque a empresas y entidades públicas de todo el mundo. Los expertos advierten de que WannaCry podría tener una segunda parte y aquí analiazamos su impacto y cómo tratar de protegerse.

En la mañana del viernes, los equipos de grandes empresas y entidades públicas de todo el mundo, se despertaron con una de las peores noticias en las que pueden verse implicados: la existencia de un ataque de seguridad, de ransomware o secuestro de datos, que afectó a muchas entidades en todo el mundo. Las últimas noticias apuntan a que este ciberdelito, bautizado como Wannacry, puede repetirse pronto y SiliconWeek, de la mano de expertos conocedores de la seguridad informática, nos da las claves.

¿Qué es?

El pasado viernes, 12 de mayo de 2017, se registró una infección a gran escala que afectaba a gigantes del mercado español, con presencia en América Latina como Telefónica, Iberdrola y Gas Natural entre otras compañías, y también al servicio de salud británico, como confirmó el Centro Nacional de Inteligencia. Tras este primer ataque, el software malicioso se extendió a otros países volviéndose un ataque de escala mundial y se calcula que hasta ahora se han reportado al menos 74 objetivos alrededor del mundo que fueron atacados al mismo tiempo, como ha publicado la BBC británica, entre otros medios. Se calcula que el ataque ha podido llegar ya equipos situados en 99 países de todo el mundo.

Podemos concretar que WannaCry es un ransomware de difusión rápida que ha aprovechado una vulnerabilidad de Windows para infectar equipos que no estaban debidamente actualizados. a informado de que, hasta el momento, se han detectado dos variantes del virus WannaCry que generó el ciberataque a escala global que comenzó el pasado viernes: WannaCrypt.A y el WannaCrypt.B, y actúan de modo diferente, según informa El Instituto Nacional de Ciberseguridad español (Incibe) de León.

Infografía de TigoUne aclarando qué es un ransomware como WannaCry
Infografía de TigoUne aclarando qué es un ransomware como WannaCry

El primero realiza «un intento de conexión» a una web codificada internamente y, si la realiza con éxito, no cifra ningún documento; si por el contrario, no lo consigue, «comienza el cifrado de documentos y solicita el pago del rescate de los archivos cifrados».

En conclusión, podemos decir que WannaCry compromete las versiones de Windows más recientes, desde la XP en adelante, que no estén debidamente actualizadas. Esto, debido a los incidentes cibernéticos registrados con la irrupción de un ransomware que secuestra la información del equipo a cambio de un pago en bitcoins.

¿Cómo definir el ransomware?

Este ciberataque masivo, uno de los más mediáticos en los últimos años, hizo poner en boca de muchos expertos, el término ransomware. A pesar de que esta práctica está muy extendida, muchos usuarios nunca habían escuchado de su existencia.

La empresa de seguridad CheckPoint ha querido aclarar qué es un ransomware, al que pertenece el virus Wannacry. “Se trata de un secuestro digital de datos. Un software malicioso infecta un equipo y cifra todos los datos. Tras esta operación, la víctima se encuentra con un mensaje del ciberdelincuente en el que se pide un rescate para poder recuperar esos archivos. El importe suele ser elevado y se solicita en Bitcoins para evitar los rastros. De esta forma, consiguen grandes cantidades de dinero en muy poco tiempo, por lo que el ransomware se ha convertido en uno de los negocios más rentables”.

Esta modalidad de ataques no es nada nuevo. Ya en el año 1989 se registró el primer ataque de ransomware. El malware utilizado fue el troyano AIDs que, después de ser instalado, encriptaba los archivos de los usuarios y les pedía que enviaran 189 dólares a una oficina de correos de Panamá para “renovar su licencia”.

¿Cuál es el origen?

Otra gran duda es: ¿de dónde ha surgido Wannacry ? Se cree que hasta ahora los delincuentes detrás de todo ello han recibido pagos por medio de bitcoins de varias decenas de miles de dólares. Esta información es dificil de concretar porque las empresas que reciben ciberataques suelen ser muy discretar para no afectar en su reputación. No hay que olvidar que cuando un empresa se ve afectada por una incursión de este tipo, ha dejado expuestas las informaciones personales de muchos de sus clientes.

Los funcionarios británicos que investigan los ataques consideran que los hackers pertenecen a un grupo delictivo, pero estas conclusiones aún no son definitivas. Lo que sí parece es que se ha usado el software Eternal Blue (Azul Eterno), de la NSA o Agencia Nacional de Seguridad de Estados Unidos, el cual permite al virus propagarse a través de los protocolos de intercambio de ficheros instalados en los ordenadores de muchas organizaciones.

Esto no quiere decir que la Agencia norteamericana sea causante de los ataques. Simplemente viene relacionado con el hecho de que el pasado mes de marzo, un grupo anónimo de hackers denominado Shadow Brokers desveló varias herramientas informáticas desarrolladas por la NSA, una de las cuales era el código Eternal Blue, usado para este ataque. El código Eternal Blue hacía particularmente vulnerables los ordenadores conectados a redes locales (LAN), lo que explicaría el impacto de WannCry sobre infraestructuras corporativas o institucionales.

Cómo evitar futuros ataques

Los expertos alertan de que podría haber un nuevo ataque en un corto periodo de tiempo. Organizaciones, como el Ministerio de las TIC de Colombia, de la mano de la Policía Nacional y ColCERT, han querido alertar sobre qué se puede hacer en caso de un ataque. Recomiendan tener una copia de respaldo de la información, actualizar el sistema operativo y recuerda que para que estas actualizaciones sean efectivas, el software debe ser legal y explican que “para las entidades o empresas que tengan equipos con sus sistemas operativos sin actualizar, lo mejor es desconectarlos de Internet”.

Se recomienda evitar abrir correos electrónicos con archivos adjuntos sospechosos que aparentementeun mensaje de alguna entidad bancaria o ente gubernamental, se debe verificar que el dominio o link de la página web que se encuentre en el mensaje realmente sea el que represente oficialmente a la entidad o persona que se referencie; y nunca compartir información personal ni financiera solicitada a través de correos electrónicos, llamadas telefónicas, mensajes de texto o redes sociales, además de no abrir mensajes ni archivos adjuntos de remitentes desconocidos. También debe evitarse conectar dispositivos extraíbles que no sean confiables.

Hay que recordar que en el mismo marzo, cuando los Shadow Brokers desvelaban herramientas de seguridad de la NSA, Microsoft lanzó un parche contra este código, pero los equipos no actualizados, ya sea por obsolescencia, complejidad técnica o porque no se pueden apagar para mantenimiento, son vulnerables. El viernes, Microsoft lanzó un nuevo paquete de contramedidas.

Lea también :
Leer la biografía del autor  Ocultar la biografía del autor