Este artículo se publicó en Legaltoday el día 23 de mayo.
‘Ransomware’, palabra que hasta hace unos días era conocida solo por los profesionales de la seguridad de la información y por las víctimas de sus ataques. Desde el 12 de mayo se ha hecho tristemente famosa, los medios de comunicación nos la han repetido hasta la saciedad y lo más probable es que acabe siendo una de las palabras nuevas que la RAE acepte el año que viene.
Ya sabemos todos que es un tipo de virus, una variante que no busca robarnos nuestros datos, sino directamente nuestro dinero. Básicamente, secuestra la información contenida en nuestros archivos mediante encriptación y nos pide un rescate si queremos recuperarlos (lo habéis adivinado, “Ransom” significa rescate). Este tipo de software malicioso no es nuevo, lleva unos años provocando quebraderos de cabeza a los responsables de la seguridad informática, el hecho diferencial de esta nueva variante es su inusual capacidad para contagiar a los equipos que se encuentran en la misma red. Esto, unido a la importancia de las víctimas (Telefónica, Renault, hospitales del Reino Unido…) ha hecho que salte a la portada de todos los informativos. En total, según las últimas cifras de Europol, hay unos 230.000 equipos afectados repartidos en al menos 179 países a menos de 6 días del primer caso detectado, esto nos da una idea de la capacidad de propagación de este software malicioso.
La principal causa de la alta virulencia de ‘WannaCry’ (los virus, al igual que los huracanes, tienen nombre y así se llama el que acabamos de sufrir), es que aprovecha una vulnerabilidad detectada en los sistemas operativos de Microsoft para replicarse a los equipos de la misma red. No podemos culpar a Microsoft, ellos habían hecho los deberes y ya en marzo publicaron un ‘parche de seguridad’ para solucionar este fallo llegando incluso a publicar ‘parches’ para sistemas operativos antiguos que ya han finalizado su ciclo de vida como medida extraordinaria.
¿Cómo es posible que el virus se replique con tanta facilidad aprovechando una vulnerabilidad conocida y solucionada hace tiempo?
Por un lado, nos encontramos con que hay una falta de sensibilización general en cuanto a la importancia de estar al día de las actualizaciones de software. Parece que los fabricantes confabulan contra nosotros, pobres usuarios, para pedirnos que actualizamos su programa y nos torturan con reinicios cuando más necesitamos el ordenador. Si se nos deja la opción, elegimos ni actualizar ni reiniciar, de ahí que la tendencia sea excluir al usuario del proceso e imponer las actualizaciones. Quizás a partir de ahora todos seamos más conscientes de la importancia de estas actualizaciones.
Por otro lado, en las grandes empresas como Telefónica, tal y como explicaba Chema Alonso, su célebre Chief Data Officer, el objetivo principal es garantizar la continuidad de negocio y para asegurarlo se debe pasar un proceso de pruebas para cada actualización, lo que ralentiza la distribución de ‘parches’ y la corrección de las vulnerabilidades. Hay que reconocer que les ha funcionado y a pesar del revuelo que se ha montado en los medios sus servicios no se han visto afectados. Se da la paradoja de que Chema Alonso, tan duramente criticado estos días es una de las personas que, junto con su equipo en Telefónica, más avanza en la lucha contra el ‘ransomware’, desarrollando algunas de las pocas herramientas que hay para la protección.
Para entender como la evolución de los virus ha dado lugar al ‘ransomware’ hay que explicar las dos herramientas que han hecho posible que los ciberdelincuentes puedan pedir un rescate sin miedo a ser rastreados: la red Tor y las criptomonedas.
La Deep Web o Red Tor, de manera muy simplificada, es una Internet paralela en la que se consigue el anonimato total de los usuarios. Su contenido queda fuera del alcance de los buscadores de internet y se especula con que aloja el 90% de la información total de internet como si de un iceberg se tratase.
En cuanto a las criptomonedas, la principal ventaja para los delincuentes es el anonimato en las transacciones y la falta de legislación de una tecnología tan disruptiva que la mayoría de los organismos aún no han reaccionado.
Estas dos herramientas hacen posible el pago de rescates con total impunidad y la obtención del software para recuperar los archivos perdidos.
Ya tenemos las herramientas para pedir el rescate y conocemos las vulnerabilidades de los sistemas, solo queda hacer un envío masivo del software que lo explote por correo electrónico esperando que algún usuario incauto lo abra y empiece el ciclo. Esta es la forma habitual de propagarse del ‘ransomware’ y es precisamente por donde está la brecha de seguridad más grande, no en vano se suele decir que la mayor vulnerabilidad de un equipo está entre el teclado y la silla, somos humanos y erramos. Lo bueno es que esto también se puede prevenir educando a los usuarios, hay que intentar que las amenazas no lleguen a estos en lo posible pero cuando los antivirus fallen (que lo harán) lo mejor es tener un usuario formado capaz de reconocer la amenaza.
Hay que ponerse en el peor caso y pensar que todo esto va a fallar, lo único que nos va a salvar cuando ocurra será haber planificado correctamente la política de copias de seguridad y si es posible tenerlas en la nube o desconectadas ya que corremos el riesgo de que nuestras copias de seguridad también se vean afectadas por el virus. Hay que recordar que para que se considere que correcta una copia de seguridad hay que haber realizado al menos una restauración completa de la información, se suele decir que si no hemos probado la copia es como si no la tuviéramos.
Para terminar, dos datos económicos curiosos:
– 10€ es el precio que pagó Marcus Hutchins por el dominio que detenía la replicación del virus. Se descubrió que este dominio hacía de interruptor para desactivarlo, pero aún no se sabe muy bien el motivo de su existencia. Se especula con que puede que fuese una prueba para futuros ataques.
– $85,665.35 USD es lo recaudado hasta la fecha en los monederos de Bitcoin de los autores de ‘WannaCry’. Realmente no es mucho para la importancia que ha tenido y esto también nos hace pensar en la posibilidad de que lo sucedido hasta ahora es solo una prueba y que sin duda tenemos que estar preparados.
Pulsar aquí para leer el artículo en Legaltoday
José María Ventura López
Departamento Tecnología de la Información Medina Cuadros
