viernes, 19 de mayo de 2017

Ransom… ¿qué? Así funciona un ransomware y esto es lo que puedes hacer para protegerte


El ataque conocido como WannaCry (‘Quieres llorar’ en inglés) es un tipo de ransomware, una categoría de virus que encriptan archivos de los equipos atacados, pidiendo el pago de un rescate (típicamente en Bitcoin) a cambio de su restauración, no sin antes propagarse por las redes hacia otros equipos vulnerables.


El ransomware no es un fenómeno nuevo, pero la escala de un ataque como WannaCry no tiene precedentes. Todo nace de una vulnerabilidad descubierta por la Agencia Nacional de Seguridad de Estados (NSA por sus siglas en inglés), considerada una ciber-arma reservada para fines de seguridad nacional que se filtró y fue aprovechada por hackers para crear el ataque WannaCry.

El resultado: más de 300.000 equipos en 150 países han sido afectados paralizando desde planta de producción de automóviles hasta clínicas y hospitales. Y, aunque un investigador de seguridad en el Reino Unido (@MalwareTech) logró detener el ataque temporalmente al estudiar el código del virus y registrar un dominio de internet que lo deshabilita, los atacantes liberaron una nueva versión a las pocas horas.

La fragilidad de los sistemas viejos

WannaCry afecta específicamente a los equipos que usan Windows XP y Windows 7 y WIndows Server 2008 (o anteriores)  que no han hecho actualizaciones de seguridad. Es decir equipos viejos, abandonados a su suerte. Esa estrategia de ‘no tocar’ los sistemas viejos por miedo a que fallen le salió cara a los administradores de sistemas. 

Microsoft había liberado un parche para corregir la vulnerabilidad hace semanas. Entonces, ¿por qué no lo aplicaron? Lo cierto es que en muchos casos los sistemas de TI son tan complejos, que aplicar un parche de seguridad es un proceso de gestión del cambio. Es un proceso lento que requiere múltiples aprobaciones y en algunos casos una re-certificación por parte de terceros, como ocurre con equipos médicos que usan un sistema operativo embebido.

Y la vulnerabilidad del software pirata

Como reportó el New York Times, no es casualidad que países fuertemente afectados como China, Rusia e India tengan un uso de software pirata o sin licencia superior al de otros países.  Los usuarios prefieren no tocarlo por miedo a que deje de funcionar. 

¿Hay vida después de WannaCry?

Si se está afectado y no se tienen copias de seguridad (backups), no hay mucho que se pueda hacer. La criptografía que usan es sólida y no parece ser viable desencriptar los archivos con fuerza bruta. Ya en 2015, el FBI consideraba el pago de rescates de ransomware como una salida para la recuperación de los datos.

¿Pagando el rescate devuelven los archivos? A la fecha se estiman pagos por más de USD$72.000 en rescates, una mínima fracción si se considera el número de máquinas afectadas. El sitio http://howmuchwannacrypaidthehacker.com/ mantiene un conteo en tiempo real de la cuenta de Bitcoin. Pero recuerde, no hay garantía de que pagar el rescate sea efectivo para recuperar los archivos. Es lo que pasa cuando se trata con criminales.

Empresas deben modernizarse en TI

Este tipo de ataques está logrando un incentivo importante para corregir elementos graves que afectan a usuarios y empresas.

  • Flexibilidad y agilidad en IT

Entender el software como un bien perecedero, que requiere mejoras y actualizaciones para ser viable a corto plazo. Mejorar los procesos de actualización de software, toma y recuperación de respaldos es la primera lección y la más importante.

Actualice los sistema operativos permanentemente y tenga un proceso sólido de backups distribuidos.

  • Software legal

Lo que no se ha logrado en años de campañas de concientización, lo logra el miedo de recibir un ataque en un sistema operativo que no se actualiza. Mantenga el licenciamiento al día para poder recibir parches y actualizaciones del fabricante.

  • Control de las ciber-armas y transparencia


Hay un conflicto natural entre el desarrollo de ciberarmas para atacar otros países (como ocurre con la NSA) y el riesgo de que las mismas puedan ser usadas por hackers en contra de los mismos países que las desarrollan. Microsoft ha hecho un llamado a las agencias como la NSA para que no acumulen cyber armas que pueden caer en manos equivocadas tarde o temprano. Es claro que se requiere un mejor control de los fabricantes y una política general previniendo los ‘back doors’ o entradas traseras.


Fuente: techcetera

No hay comentarios:

Publicar un comentario