Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

Sobre el ataque con WannaCry y la gestión de la seguridad

Procesamiento de datos.

Redacción Cordópolis

0

¿Quién no ha escuchado hablar ya de este ransomware? El pasado viernes 12 saltaban todas las alarmas, los telediarios se llenaban de noticias sobre este ciberataque, Twitter se llenaba de tweets hablando sobre este ransomware, los grupos de Telegram y WhatsApp sustituían sus típicos memes de “Por fin es viernes tiritiri” por “Oye, ¿has visto que han ‘hackeado’ Telefónica? Y así durante todo el día y fin de semana hasta estar en boca de todo el mundo.

Pero, ¿realmente es para tanto? En mi opinión, depende de cuáles sean los criterios en los que nos basemos. Si nos basamos en la cantidad de países infectados, pues sí lo es. Si nos basamos en la cantidad de empresas afectadas, pues si lo es. Si nos basamos en el tamaño de algunas de las empresas, pues sí lo es. Si nos basamos en que no es el típico ransomware que cifra y secuestra los ficheros, sino que además tiene características de “gusano” que le hace capaz de expandirse por la red aprovechando una vulnerabilidad, pues sí lo es.

Ahora bien, hay otros muchos aspectos por los que no nos debería de sorprender tanto este ataque, es más, nos deberíamos de plantear incluso cómo es que no se ha producido antes. Hablo del posible vector inicial, el cómo se produce la primera infección. Probablemente a través de correo electrónico, phishing para ser más exactos, de hecho, hay estadísticas que dicen que el 80% de los casos de ransomware tienen como foco de infección un correo phishing. Según Kaspersky, cada segundo se produce un ataque de phishing, y esto no es nada nuevo, llevamos ya años sufriendo este tipo de ataques.

Por otro lado, y algo bastante llamativo, WannaCry incorpora una funcionalidad que le hace trabajar como un “gusano”, un tipo de malware con la capacidad de “reproducirse” por la red de ordenadores. En este caso, lo hace aprovechando una vulnerabilidad en el servicio SMB de los equipos Windows afectados. Lo llamativo es que es una vulnerabilidad que se descubrió hacer ya un par de meses, y que Microsoft ya publicó un parche en su boletín MS17-010. Ha quedado patente que las empresas afectadas no habían aplicado el parche que solucionaba esta vulnerabilidad. Como dato curioso, Jorge @soydelbierzo en Twitter, acaba de publicar que había miles de equipos en España con el puerto 445 publicado (puerto por defecto donde se ejecuta el servicio SMB vulnerable).

En las últimas horas se han publicado muchas (y muy buenas) recomendaciones de cara a no sufrir este tipo de ataques, o al menos a reducir el impacto. Se ha hablado de implementar seguridad perimetral, instalar y actualizar los antivirus, actualizar los sistemas operativos… Me parecen buenas recomendaciones, pero he echado en falta alguna mención a la formación y concienciación de los usuarios en materia de seguridad de la información, o a una correcta gestión de vulnerabilidades y políticas de actualizaciones de los sistemas.

Esta mañana se lo he escuchado decir a Lorenzo Martínez en TVE1 y estoy totalmente de acuerdo con él; está claro que no es lo mismo actualizar nuestro Windows 10 de nuestra casa que los miles de sistemas de una gran corporación, pero con una correcta gestión de riesgos y categorización de los activos, al menos, aquellos de mayor criticidad sí se podrían haber actualizado.

Bueno, y qué decir de la formación. Una lástima que, en este país, en la formación reglada, no se le dé la importancia que realmente tiene la seguridad de la información, y se esté ofreciendo en muchos grados de ingeniería como una asignatura opcional. Nos queda aún mucho camino por recorrer, y muchos WannaCry que sufrir.

Miguel Ángel Arroyo - Auditor de sistemas de información en SVT Cloud&Security Services

Etiquetas
stats