Ransomware WannaCry | KPMG | MX

Ransomware WannaCry: Origen de un ciberataque

Ransomware WannaCry

¿Qué hay detrás de las afectaciones que a nivel mundial ha generado el malware llamado WannaCry? Los sucesos de días recientes han alertado a CEOs y CISOs de diversas empresas, así como a usuarios privados afectados por este código, pero, ¿cuál es la realidad? ¿Se pudo haber evitado?

1000

Contenido relacionado

¿Qué fue lo que pasó?

 

  1. Se dice que, por error humano o un control de seguridad no implementado, el Grupo de Hackers “Shadow Brokers” obtuvo varios exploits del arsenal de la National Security Agency de Estados Unidos, los cuales fueron publicados el 14 de Abril de 2017. (https://support.kaspersky.com/shadowbrokers)
  2. Los exploits son un conjunto de comandos, un software o una serie de instrucciones que al ejecutarlo aprovecha alguna vulnerabilidad identificada en un sistema. El papel de las empresas de software es estar alerta y publicar de manera inmediata un parche o actualización para tener un sistema no vulnerable.
  3. Cualquier persona puede hacer uso de estos exploits que fueron publicados y otros más que se pueden obtener en el mercado negro cibernético; de esta manera, los hackers solo necesitan identificar algunos sistemas vulnerables y todo equipo conectado a internet se encuentra expuesto.
  4. Las empresas de software suelen lanzar periódicamente estos parches o actualizaciones. En este caso, el 14 de marzo fue publicada una actualización para subsanar la vulnerabilidad aprovechada por el exploit utilizado en estas afectaciones. Pese a haberse publicado hace unos meses una de las medidas preventivas, las afectaciones fueron de gran magnitud por la falta de actualización de los sistemas operativos, junto con la falta del respaldo de información periódica y de un plan de reacción ante los incidentes cibernéticos.

 

Una analogía para comprender lo ocurrido

Imaginemos que un equipo es una casa: la vulnerabilidad es una puerta y el exploit representa la llave para abrirla. Con la llave en mano, el atacante puede entrar a la casa y llevar a cabo su cometido. En este caso, su fin era un beneficio económico al solicitar un “rescate”, por lo que tomó los bienes de la casa y los almacenó en un baúl con un candado que ningún cerrajero en el mundo puede abrir, por lo que únicamente el atacante lo puede hacer; por lo tanto, deja una nota para exigir “un rescate” -en este caso, dinero virtual o bitcoins- para abrir el baúl.

 

Sin embargo, adentro de la casa se pueden hacer muchas cosas, incluso entrar y salir las veces necesarias sin ser visto por el dueño de la casa (el usuario del equipo). Solo se tiene conocimiento de cuáles son los bienes, intercambiar uno por otros, etc. En suma, hay una gran variedad de cosas que se pueden hacer: las casas pueden ser atacadas de la misma forma, pero también se puede buscar otra cosa que no sea pedir rescate, como vender la información obtenida a terceros o a la competencia si fuera el caso de un espionaje industrial.

 

Recomendaciones

A continuación, algunas recomendaciones sencillas para atenuar el impacto de WannaCry y fortalecer la seguridad de la información:

  • Adopción de un proceso rutinario de análisis de vulnerabilidades y gestión de actualizaciones para mantener los sistemas actualizados y protegidos.
  • Realización de un checkup de seguridad que considere un enfoque estratégico, táctico y técnico para las amenazas cibernéticas, brindando una visión general de las personas, los procesos y la tecnología que permita comprender las áreas de vulnerabilidad, identificar las áreas remediales y demostrar el cumplimiento corporativo y operacional.
  • Actualización periódica de los Sistemas Operativos, así como de TODO el software instalado en los equipos.
  • Implementación de un programa de respaldos periódicos de la información; en caso de falla, se puede poner en operación el respaldo mientras se resuelve el problema con el equipo afectado.
  • Realización de programas de concientización en seguridad informática a los empleados en todos los niveles: muchas veces la entrada puede no ser una vulnerabilidad, sino un descuido por parte de algún colaborador, como descargar algún archivo o dar clic en algún vínculo.
  • Ejecución de un plan de acción ante un incidente cibernético, al menos de manera general. Es decir, tener bien claro los “DOs & DON’Ts” tras un incidente de este tipo. Para ello se deben considerar los siguientes lineamientos:

1.Tener en mente que el tiempo de respuesta es directamente proporcional a la afectación y el costo asociado en la mayoría de los casos. Las acciones a implementar ante un ciberataque deben ser inmediatas.

2. Implementar acciones para evitar la destrucción de evidencia en los equipos, ya que puede ser útil para la investigación y/o persecución de algún delito.

3. Aislar de la zona afectada (un equipo, un segmento de red, etc.) tras la detección de un incidente para evitar la propagación del daño.

4. Realizar una investigación forense porque brindará los elementos necesarios para identificar el cuándo, cómo y el quién del  ciberataque.

5. Preservar toda evidencia que pudiera estar relacionada de forma inmediata y realizar copias forenses de los medios de almacenamiento de los dispositivos y la recolección de otros datos en los equipos afectados.

 

De acuerdo con los resultados del estudio Costo Global del Cibercrimen de 2016 emitido por el Instituto Ponemon, hay una relación entre el tiempo de contener un ataque y el costo organizacional, por lo que los ataques cibernéticos pueden resultar costosos si no se resuelven rápidamente. En la era digital que se está viviendo desde hace tiempo, contar con programas anti malware y mecanismos de seguridad ya no es suficiente, por lo que es necesario contar con un plan integral que incluya acciones y controles tanto de prevención como de reacción.

Contáctenos

 

Solicitud de propuesta de servicios

 

Enviar