Ransomware a Telefónica, un ataque de película… o no

No se habla de otra cosa desde el viernes; el ataque a telefónica. Como si hubiese sido la única empresa que ha sido afectada por WannaCry.

Y hablando de ransomware

¿Qué es ransomware? ¿En qué consiste el ransomware?

La palabra ransomware viene de “ransom” que significa “rescate” en inglés y “ware” de “software”. Básicamente consiste en un software que “secuestra” el ordenador víctima, ya sea encriptando sus archivos o impidiendo el acceso a una cuenta o servicio y este le pide algo a cambio (generalmente dinero) para que pueda recuperar sus datos.

En este caso parece que el software utilizado se aprovechaba de una vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar.
El ransomware era una variante de WannaCry, encripta los archivos y ejecuta comandos remotos utilizando SMB (Server Message Block), propagándose por el resto de máquinas windows ubicadas en la misma red.

Y es que este ataque nos recuerda lo “fácil” que puede llegar a ser dejar en jaque un sistema informático. Hoy, en España, ha sido las oficinas internas de un monstruo de las comunicaciones. En otros lugares, como Inglaterra, ha tenido una afectación más crítica afectando a unos 20 hospitales donde han tenido que retrasar las visitas de muchísimos pacientes (incluídas operaciones quirúrgicas) ya que los médicos no podían acceder a los datos.

El ataque, como muchos medios ya han contado, se podía haber evitado manteniendo los sistemas al día.

En otros medios hablaban de que la solución ha costado 10 euros, que es lo que ha costado registrar el dominio para activar el “kill Switch”.

Como dice Chema Alonso: “La seguridad es parte de todos”. Esto no quiere decir que la responsabilidad no recaiga en los responsables de la seguridad de una empresa o institución. Pero si que debería hacernos recapacitar en lo que significa la seguridad informática y en lo que podría acarrear el hecho de que no se le dé la importancia que merece.

La reacción de las empresas ha sido bastante correcta. En general han reaccionado rápido a los avisos por parte de empresas especializadas como Kaspersky entre otras. Muchas personas se preguntan cómo es posible que estas empresas no tuvieran sus sitemas al día, pues Microsoft corrigió este bug hace unos meses. La respuesta no es sencilla, pues hablamos de empresas verdaderamente grandes, donde aplicar un parche de sistema requiere una serie de pruebas para comprobar que las actualizaciones no afectan al servicio de la empresa. Aquí la opción de tener en modo automático Windows Update no es posible, aunque a veces sería lo más lógico.

El caso es que este ataque en concreto no ha sido tan apocalíptico como se nos ha querido hacer creer pero no por ello podemos pensar que esto acaba aquí. Modificaciones en el ransomware podría hacerlo aún más agresivo y devastador sin contar que cada día aparecen miles y miles de amenazas nuevas: gusanos, virus, malware, ransomware

Al menos una cosa está clara, este ataque ha servido para empezar a darnos cuenta de la importancia de educar a los usuarios, de la seguridad de la información y del riesgo que conlleva no tomarse en serio la criticidad de los datos y el poder que pueden otorgar a quien los adquiere. Seguro que después de esto, nada volverá a ser igual en los departamentos de Seguridad y Sistemas.