Table of Contents Table of Contents
Previous Page  19 / 84 Next Page
Information
Show Menu
Previous Page 19 / 84 Next Page
Page Background

red seguridad segundo trimestre 2017 19

El comportamiento de este 'ransomware' hace

sospechar que, en realidad, el ataque podría esconder

una prueba de concepto para preparar una acometida

posterior más potente

wannacry

reportaje

quilos y, por otro, satisfechos con

el papel de los operadores; aunque

siempre se pueden mejorar ciertos

aspectos ligados a la actualiza-

ción de los equipos y a la con-

cienciación", valora Marcos Gómez

Hidalgo, subdirector de Servicios

de Ciberseguridad de Incibe.

No obstante, aunque parece

que el impacto real en España de

WannaCry en cuanto a pérdidas

económicas o de información ha

resultado ser menor de lo que se

pudo pensar al principio, no cabe

duda de que el incidente debe con-

siderarse una "llamada de atención".

Así opinan expertos como Ramsés

Gallego,

Strategist & Evangelist

de

Symantec, para quien este caso "no

deja de demostrar lo complicado

que es proteger, parchear e inven-

tariar miles, si no decenas de miles,

de servidores", aunque esto "no

debe ser excusa" porque existen en

el mercado herramientas de mitiga-

ción para frenar embates como el

acontecido.

Lo nunca visto

El ataque de WannaCry fue posible

porque se aprovechó de una vul-

nerabilidad conocida. Los antece-

dentes comenzaron el 14 de marzo,

dos meses antes del suceso, cuan-

do Windows informó en su boletín

MS17-010 de la existencia de una

debilidad en las diferentes versiones

de su sistema operativo, para la que

ofrecía un parche de seguridad. El

problema, explicaba el documento,

afecta al protocolo de red SMB

(Server Message Block), que permi-

te compartir archivos y dispositivos

entre ordenadores.

Solo un mes después, el grupo

Shadow Brokers filtró a través de la

Red varias herramientas robadas a

la NSA (National Security Agency) –

desarrolladas para la agencia norte-

americana por el colectivo Equation

Group– de las que también informó

Wikileaks posteriormente, con la

consiguiente repercusión mediática

mundial. Una de esas herramientas

era el

exploit

EthernalBlue, el que

utilizaron quienes están detrás de

WannaCry.

A pesar de esta información y

del aumento de las variantes de

ransomware

(un tipo de virus que

cifra la información del ordenador

y pide un rescate, generalmente en

Bitcoins, a cambio de liberarla) que

aparecen diariamente, WannaCry

resultó ser de un tipo nunca visto.

Su código incluía una combina-

ción del

exploit

EthernalBlue con

una puerta trasera conocida como

DoublePulsar, que le permitió no

solo infectar a los equipos sino

también moverse por la red interna

a la que estaban conectados. Es

decir, además de cifrar y secuestrar

la información de un ordenador, el

virus fue capaz de moverse late-

ralmente como un 'gusano' para

contagiar a otras máquinas.

La calma –no la solución– llegó

cuando un joven investigador britá-

nico neutralizó el virus mediante el

registro del dominio con el que con-

tactaba WannaCry antes de infectar

los sistemas y que, al no obtener

respuesta, provocaba la dispersión

del virus. Ese "botón del pánico" ha

sido interpretado como un recurso

del creador de este

ransomware

para detenerlo en caso necesario,

lo que podría significar, apuntan

diferentes expertos, que en realidad

el ataque es fruto de una prueba de

concepto que podría dar pie a una

acometida posterior más potente.

Es decir, un "ataque antes del ata-

que", como señala Ramsés Gallego.

A esta incertidumbre se suma el

desconocimiento de la autoría del

virus, aunque un reciente informe

de la NSA, publicado por el diario

The Washington Post

, sostiene que

detrás de WannaCry estaría el grupo

norcoreano Lazarus, una conclusión

en línea con las investigaciones ante-

riores de empresas como Kaspersky

o Symantec. Dicho grupo, vinculado

al régimen de Kim Jong-un, ha sido

acusado también de otros incidentes

de seguridad, como el que sufrió

Sony Pictures en 2014 o el Banco

Central de Bangladesh en 2016. Esta

sospecha, unida al hecho de que

los ciberdelincuentes aún no han

canjeado por dinero en efectivo los

aproximadamente 120.000 dólares

en Bitcoins recaudados en la cam-

paña, apuntan a que el objetivo del

ataque del 12 de mayo podría buscar

algo más que el lucro económico.

La colaboración funcionó

WannaCry se convirtió durante varios

días en la amenaza más peligrosa

para las empresas, pero también

supuso una prueba de fuego de ges-

tión de crisis para organismos nacio-

nales e internacionales de cibersegu-

ridad. En España, Incibe y el Centro

Nacional para la Protección de las

Infraestructuras Críticas, a través

del CERT de Seguridad e Industria

(CERTSI), además del CERT del

Centro Criptológico Nacional (CCN-

CERT), las unidades de seguridad

tecnológica de las Fuerzas y Cuerpos

de Seguridad, el Departamento de

Seguridad Nacional y el Mando

Conjunto de Ciberdefensa colabo-

raron de manera coordinada en la

resolución de la ofensiva.

El CERTSI mantuvo permanente

contacto tanto con las compañías

afectadas como con otras posi-

bles víctimas desde el comienzo

del incidente hasta que consideró

que la situación estaba bajo control,

cuatro días después. A las 9:30 de

la mañana, el organismo ya detectó

tráfico sospechoso en la red de

Telefónica (primera empresa espa-

ñola de la que se tuvo constancia

1 14 15 16 17 18 19 20 21 22 23 24 25 84  FlippingBook