Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

WannaCry: qué sucedió, qué esperar y cómo protegerse

El viernes pasado se difundió la noticia de un ransomware que afectó principalmente a empresas e instituciones de gobierno a nivel mundial, y se espera que esta semana haya una nueva oleada de ataques.

La noticia se regó como pólvora, pero más rápido se difundió el ransomware que el pasado viernes 12 de mayo generó caos cibernético a nivel mundial, afectando no solo a usuarios finales, sino principalmente a instituciones gubernamentales y empresas.

Denominado Wanna Decryptor, pero más conocido como WannaCrypt o WannaCry, este ransomware secuestró información en miles de equipos de cómputo en todo el mundo. El virus tomó control de los archivos de unos 200.000 usuarios en150 países, según datos compartidos por voceros de Europol. Sin embargo, esta mañana el diario español El País presentó cifras superiores: 179 países y cerca de 230 mil equipos de cómputo afectados.

El ataque inicial paralizó las computadoras que gestionan la red de hospitales públicos británicos (el Servicio Nacional de Salud de Inglaterra, NHS, resultó severamente afectado), el sistema nacional de ferrocarriles en Alemania y docenas de empresas y agencias del gobierno en todo el mundo. El gigante petrolero estatal, PetroChina, se vio obligado a desconectar los sistemas informáticos de unas 20.000 gasolineras en todo el territorio debido al virus, por lo que los clientes solamente pudieron pagar en efectivo durante varias horas.

De acuerdo con un análisis de la BBC, se estima que los hackers ya recibieron pagos por unos $28.500 dólares… y esto aún no termina. Si bien el ataque fue contenido el fin de semana, los expertos esperan que esta semana haya una nueva oleada de ataques, con la misma versión del ransomware o con versiones mutadas.

De hecho, fuentes de medios en Asia informaron que ya se han descubierto mutaciones de WannaCry, una de las cuales es capaz de “brincarse” el interruptor que MalwareTech, investigador británico, colocó en muestras del virus para ayudar a frenar el ataque.

"Hay mucho dinero en juego. No hay ninguna razón para que (los hackers) se detengan. No requiere mucho esfuerzo cambiar el código y lanzarlo nuevamente. Hemos detenido este (ataque), pero puede haber uno nuevo por venir y no podremos pararlo", expresó MalwareTech.

"La primera version de WannaCrypt se pudo detener, pero la versión 2.0 puede arreglar la falla. Sólo estás seguro si instalas el parche lo antes posible", publicó en su cuenta de Twitter.

El investigador de seguridad cibernética Darien Huss, de la firma Proofpoint, comparte la visión de MalwareTech. "Tengo la sospecha de que, con la cantidad de cobertura que este incidente está teniendo, probablemente ya hay gente trabajando para reincorporar el exploit que se usó para expandir el virus", aseguró el experto.

Huss no cree que un Estado esté implicado en este ciberataque, pues considera que –debido al bajo grado de sofisticación– los individuos involucrados en la creación y dispersión del virus son amateurs, pero muy capaces.

Una ciberarma gubernamental que aprovecha vulnerabilidades descuidadas

WannaCry afecta principalmente a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red. El virus infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red.

Los sistemas afectados son:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 y R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 y R2
  • Windows 10
  • Windows Server 2016

En determinadas condiciones, Wannacry se propaga solo, lo que significa que el malware necesita una vía de acceso, como un correo electrónico, pero una vez ha infectado el sistema, se propaga solo por el resto de equipos a través de la red.

Esto hace que la recomendación de no dar clic en eMails sospechosos no sea suficiente; una vez que el ransomware ha entrado a la empresa, la recomendación es apagar los equipos o desconectarlos de la red.

De acuerdo con el director de Sistemas y Servicios Institucionales de la Dirección General de Cómputo y de Tecnologías de Información y Comunicación (DGTIC) de la UNAM, Fabián Romo Zamudio, se trata de un programa que afecta computadoras que no han sido actualizadas o no cuentan con sistemas antivirus; se encripta la información y los creadores del software solicitan a través del mismo dispositivo un rescate.

“Si la computadora no tiene los suficientes parches de seguridad, el malware se introduce a través de la red alámbrica o inalámbrica y empieza a encriptar la información. Se pone la pantalla en azul”, explicó a Aristegui Noticias. Una vez congelada la computadora se muestra una ventana roja con el mensaje “¡Ups, sus archivos han sido cifrados!” y la exigencia de un pago en bitcoins.

Inicialmente piden $300 dólares, pero conforme pasan las horas, la cifra aumenta hasta $600 dólares. El pago se realiza por medio de un sistema llamado Bitcoin. Una vez realizado el pago, el usuario recibe una clave para desencriptar sus datos.

“La variación que estamos viendo explota una vulnerabilidad que fue detectada por la Agencia Nacional de Seguridad de Estados Unidos (NSA) hace algunos meses, pero fue obtenida por grupos de hackers. Tiene el nombre de Eternal blue y solamente está presente en computadoras con el sistema operativo Windows, a partir de ciertas versiones o que no tienen los denominados parches de seguridad. En el momento en que los hackers vieron esa vulnerabilidad, la trataron de explotar, de venderla a otros hackers, pero como no lo consiguieron, crearon su propio spyware, y eso es lo que está sucediendo”, agregó Romo Zamudio.

Si bien ya hemos visto ataques masivos que generaban la caída de múltiples sitios de internet, esta es la primera vez que se presenta un ataque masivo de secuestro de información, advierte el experto de la UNAM.

Microsoft responde y se deslinda de responsabilidad

Debido a que los ataques afectan principalmente a sistemas operativos de Microsoft, el domingo el presidente de la compañía, Brad Smith, emitió un comunicado con su postura.

"Los cibercriminales emplean cada vez métodos más sofisticados y no hay forma posible de que los consumidores se protejan a no ser que actualicen sus sistemas. De lo contrario, estarán luchando contra los problemas del presente con herramientas del pasado. Este ciberataque es un recordatorio de que actualizar y parchear los equipos es una responsabilidad de todos, y que es algo que cualquier ejecutivo de alto rango tiene que apoyar", dijo Smith.

Microsoft dijo ayer que estas compañías habrían bloqueado el ransomware si hubiesen usado Windows 10, sistema que ofreció gratis durante un año. Incluso liberó un parche para Windows XP, aún cuando este sistema operativo está oficialmente abandonado desde hace meses. Microsoft publicó el parche que arregla el agujero de seguridad el 14 de marzo, pero las empresas no actuaron a tiempo. Ante la masiva propagación del malware, la compañía liberó el parche para las versiones de Windows que no tenían un soporte activo, como Windows XP.

Dado que el proveedor ya había procurado la solución de manera anticipada, ahora apunta su dedo hacia los gobiernos y la misma agencia de seguridad nacional de Estados Unidos (NSA). Smith los ha acusado de acumular ciberarmas y de no corregir a tiempo sus vulnerabilidades de seguridad, lo cual permite a los hackers robar el código y luego utilizarlo para sus ataques.

"Hemos visto cómo vulnerabilidades almacenadas por la CIA se han publicado en Wikileaks, y ahora las que acumulaba la NSA han afectado a consumidores de todo el mundo", dijo Smith. "Repetidamente, los fallos de seguridad en manos de los gobiernos se han filtrado y causado un gran daño".

El ejecutivo hizo referencia al robo de la documentación que guardaba la Agencia de Seguridad Nacional para sus propios intereses y que fue sustraída y publicada por el grupo Shadow Brokers. Los detalles técnicos filtrados por Wikileaks hicieron posible que los cibercriminales diseñarán el virus que propagó el ransomware.

"Es como si al ejército de Estados Unidos le robaran misiles Tomahawk", expresó Smith, en el comunicado.

Edward Snowden también hizo alusión al ciberataque: "Si la NSA hubiese comunicado el fallo de seguridad de forma privada cuando lo encontraron, y no cuando lo perdieron en la filtración, esto no habría sucedido".

Smith cree que la protección ante estos ataques es una "responsabilidad compartida" entre consumidores, gobiernos y, en primera instancia, ellos. "Tenemos a más de 3.500 ingenieros de seguridad en la compañía, y estamos trabajando sin descanso para frenar las amenazas cibernéticas", dice en el comunicado. "Esto incluye una nueva funcionalidad de seguridad en toda nuestra plataforma de software, incluyendo actualizaciones constantes de nuestro servicio de Protección Avanzada de Amenazas para detectar e interrumpir nuevos ataques cibernéticos".

Consejos para protegerse contra el ransomware WannaCry

Los expertos recomiendan mantener actualizados los sistemas operativos de los dispositivos, no sólo Windows, también Mac, Linux y los teléfonos inteligentes. También se sugiere que cuenten con antivirus que les notifiquen cuando algo no es seguro o si los sitios son reportados como fraudulentos.

Fabián Romo Zamudio, de la DGTIC-UNAM, recomendó hacer respaldos de la información en discos duros, USB, con lo que se evitaría tener que pagar por los archivos. 

La española Sophos aconseja realizar copias de seguridad periódicamente y cifrarlas para que solo las personas autorizadas puedan hacer uso de los archivos. Más aún, las copias de seguridad no deben estar guardadas en el mismo equipo de cómputo.

También aconsejan desde Sophos Iberia no habilitar los macros, dado que gran parte del ransomware se distribuye a través de documentos Office que engañan a los usuarios para que habiliten los macros. Incluso valorar la instalación de visores de Microsoft Office, dado que permiten ver un archivo de Word o Excel sin macros. Asimismo es recomendable que en las empresas se conecten como administrador solo el tiempo necesario, y evitar navegar o abrir documentos en ese tiempo; segmentar la red local, es decir, separar las distintas áreas con un firewall, de manera que los sistemas y servicios solo sean accesibles cuando son realmente necesarios.

Expertos del CCN-CERT recomiendan actualizar los sistemas a su última versión o parchear según informa el fabricante. Para los sistemas sin soporte o parche, como Windows 7, se recomienda aislar de la red o apagar según sea el caso.

Otros consejos de expertos incluyen el no abrir correos electrónicos sospechosos. En general la manera de esparcir un virus es a través de correos electrónicos con archivos adjuntos que al abrir toman control de un computador. No abran correos de personas o instituciones que no conozcan e incluso si llegan de conocidos, sospechen de los archivos adjuntos extraños.

Este artículo se actualizó por última vez en mayo 2017

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Guía Esencial

Guía Esencial: WannaCry y lo que aprendimos de este ataque de ransomware

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close