2225-6701 / servicios@cpic.or.cr
Logo CPIC

Realidades y lecciones aprendidas del malware “WannaCry”

Por: Rodrigo Calvo, CISSP,CEH

Comisión de Ciberseguridad

Colegio de Profesionales en Informática y Computación.

 

La tarde del pasado viernes 12 de mayo, será recordada por Europa, y por varias semanas más, como el evento de código malicioso más importante acontecido en la última década, a causa de un “Ransomware”.

Instituciones de Salud, de Telecomunicaciones y muchas otras empresas, en más de 70 países, fueron sorprendidos al ver como rápidamente su información fue, temporalmente (en el mejor de los casos), perdida a causa del malware llamado “WannaCry”. El número de máquinas afectadas superaría fácilmente las cincuenta mil.

¿Qué es “WannaCry” y cuál es su impacto?

WannaCry” o también llamado “Wanna Decryptor”, es un código malicioso, cuyo objetivo consiste en cifrar la información y obtener a cambio una recompensa. Dicho en otras palabras, este malware convierte los archivos normales, documentos en Word, Excel, bases de datos, etc., en texto ilegible, el cual sin la “llave” o “clave” correspondiente, no podrá ser interpretado o abierto, nuevamente.

¿Por qué se dice que la cantidad de equipos infectados fue tan alta?

La familia de “Ransomware”, normalmente había sido eficiente en su acción, más no en su distribución. Sin embargo, esto cambió gracias a fallos preexistentes en los Sistemas Operativos y a los procedimientos rígidos, para aplicar parches calificados como críticos, de parte de muchas de las empresas afectadas.

 Desde el mes de marzo del 2017, el fabricante de software Microsoft, había alertado mediante el boletín MS17-010 del riesgo crítico al que el Sistema Operativo Windows estaba expuesto, e incluso, al final de ese mismo mes, publicó los parches necesarios para eliminar el riesgo de ejecución remota no autorizada.

Pasaron los días, el parche no fue aplicado en muchas entidades, se sumó el robo de código fuente de una importante agencia de seguridad a nivel mundial, lo cual fue aprovechado por un grupo de cibercriminales, para construir un “Ransomware”, cuyo potencial de distribución, es considerado, hasta la fecha, como el de mayor alcance después de Conficker en la primera década del siglo XXI.

¿La solución era tener un antivirus actualizado?

El concepto antivirus es historia pasada, se puede comparar estas herramientas tradicionales con una vacuna para un virus biológico. Si el virus sufre una alteración en su código la vacuna se vuelve inefectiva, con la tecnología antivirus tradicional simplemente no se puede depender de firmas para mitigar el ataque de un código malicioso.

¿Cómo se podría atender esta “cyber-emergencia”?

  1. Teniendo una adecuada política de respaldos de la información, tanto de los equipos servidores, así como de las estaciones de trabajo.
  2. No abrir aquellos correos electrónicos donde no se conoce el remitente, y a su vez, exigen visitar un sitio web, es decir, abrir un “enlace” o “link”.
  3. Conociendo al remitente, y en caso de que el correo indique visitar un sitio web (por medio de un “enlace” o “link”), con la excusa de que es algo que se había prometido… ¡Cuidado! También es de desconfiar!!!… el usuario debería llamar al remitente para confirmar si es un correo legítimo.
  4. No habilitar los llamados “macros” en los documentos de ofimática (MS Word, Excel, Adobe Acrobat, por mencionar algunos ejemplos). Lo anterior disminuye el factor de riesgo.
  5. Aplicar los parches recomendados por el fabricante Microsoft en el boletín MS17-010
  6. Contar con una solución de protección del Sistema Operativo que involucre al menos las siguientes tecnologías:
    1. Prevención de Intrusos
      1. Por ejemplo, varias empresas proveedores de software de seguridad tenían habilitadas desde inicios de mayo, un mínimo de seis firmas de prevención de intrusos, las cuales al día de hoy mitigaron la capacidad de crecimiento del malware.
    2. Análisis por comportamiento.
      1. Involucra poder analizar el comportamiento del malware sin que este se ejecute en el equipo.
    3. Análisis por reputación.
      1. Se verifica que tanto se conoce en el mundo entero la existencia de este archivo.
    4. Firmas Antivirus
      1. Este es el último piso a nivel de protección por cuanto su alcance es limitado.
    5. Si no fue posible aplicar las recomendaciones 2 a 6 entonces…. ¡NO Intente pagar el rescate de su información!, en su lugar busque el respaldo más actualizado y recupere de ahí su información, y si lo desea, previo a eliminar la prueba de su computador, presente la denuncia ante el OIJ, por cuanto la extorsión de información, tiene una pena de cinco a diez años de prisión en nuestro país.
Acerca del autor
DAVID QUIRÓS CALDERÓN Gestor de Comunicación, CPIC

Dejar un comentario

*