A vueltas con el Ciberataque de ransomware. Wannacry

El viernes 12 de mayo, conocimos el inicio de un ciberataque de ransomware a escala mundial. En él, entre otros, fueron víctimas, Telefónica, Ibertrodola, Vodafone, BBVA, Santander, Renault, y muchas otras empresas y personas físicas.

El lunes 15 de mayo, la EUROPOL publicó las cifras del ataque. Hasta ese momento, habían dos variantes del virus, WannacryptA y WannaCryptB, entre los dos habían afectado a más de 200 mil usuarios, en más de 150 países. Es más, se creía que el lunes el número de afectados subiría con el inicio de la jornada laboral, de aquellas empresas que no estaban activas el viernes a la hora del inicio del ataque.

A día de hoy 17/05/2017, se conocen ya 5 variantes, y el número de afectados crece, aunque ya en poca proporción.

Datos sobre WannaCry

El virus lanzado, es de una variante de ransomware. Un virus que secuestra el ordenador y solicita un rescate para recuperar la información. En este caso, solicitaban 300 € en bitcoins. Esa cifra, relativamente baja para el tipo de empresas afectadas, ha dado lugar a teorías conspiratorias tipo:

¿Y si no es por dinero sino por los datos?

¿Y si lo que querían era probar el estado de las infraestructuras críticas?

El virus se propagó aprovechando una vulnerabilidad de Windows, conocida como ETERNALBLUE. Dicha vulnerabilidad quedaba solventada con la instalación de los parches de seguridad publicados por Microsoft hace poco más de dos meses. Al explotar esta vulnerabilidad el virus, escaneaba la red interna buscando otros equipos con la misma vulnerabilidad, y infectando todos aquellos que encontró a su paso.

Actualización 22/05/17: ETERNALBLUE está siendo utilizada para propagar otros tipos programas maliciosos, entre ellos, uno que no cifra el ordenador, ni pide rescate, pero que de forma silenciosa activa el control remoto del PC, que claro, queda a merced de los atacantes.

Si era tan fácil, ¿porqué se vieron afectadas las grandes empresas?

Por cuestiones técnicas, en las grandes organizaciones, instalar actualizaciones de sistema operativo u otros programas básicos, no es tarea fácil. En muchos casos, tienen que evaluar la compatibilidad con sus sistemas de desarrollo propio; en otras deben programar por zonas las instalaciones; algunas veces los equipos, en función del área no están conectados a internet, y las actualizaciones se hacen de forma controlada, etc.

Ahora bien, este es el caso de grandes empresas, pero las demás, no tienen una excusa tan buena, ni un equipo informático tan grande y especializado como ellas.

Y al final…

La mayoría de afectados que no habían instalado las actualizaciones fueron un blanco fácil. Pero además, los que no tenían copias de su información, ni un equipo de especialistas trabajando para recuperar la información perdieron mucho,  o dinero, o datos, o las dos.

 Medidas recomendadas para evitar ser víctima de ransomware

Está claro que cualquiera, hasta el más grande y con más recursos puede ser víctima de un ciberataque, la cuestión, es que no todos tenemos los mismos recursos humanos y económicos para hacerle frente. Por eso, lo mejor es informarse, y protegerse.

Las recomendaciones básicas para disminuir las posibilidades de ser víctimas, de un ataque de ransomware,son:

1. Hacer copias de seguridad periódicas. Tener un plan de realización de copias de seguridad, con una periodicidad coherente con los datos tratados. La redundancia, controlada, de copias de seguridad, en distintos formatos y soportes es muy útil. Es necesario que como mínimo una de las copias esté separada de los ordenadores, y/o del servidor; el virus se pasea por la red e infecta todo a su paso, si el disco de la copia, está conectado a la red, también será secuestrado.
2. Mantener actualizado en los ordenadores y dispositivos informáticos, el sistema operativo, las aplicaciones y programas de software instalados, los navegadores, las extensiones instaladas en los navegadores, y en general cualquier programa susceptible de ser actualizado. Al instalar las actualizaciones, parcheamos las posibles puertas traseras conocidas por los ciberdelincuentes.
3. Instalar un antivirus, y analizar los equipos frecuentemente. Se puede automatizar dicha ejecución.
4. Es necesario tener especial precaución con el correo electrónico y sistemas de mensajería. No abrir ningún adjunto, que venga en correos electrónicos sospechosos sean de conocidos o de desconocidos. En esos casos, al intentar abrir el supuesto archivo, no se abre nada, sino que se ejecuta el malware. 
5. Los enlaces, en internet, aplicaciones de mensajería, y correo electrónico, deben abrirse con precaución.

                           Si parece sospechoso, o el contenido que lo acompaña lo es, no cliques en él.  

     Solución específica para WannaCry

•  Recomendaciones de INCIBE en su Informe sobre la oleada de ransomware. Informe de situación, recomendaciones y solución para WannaCry.

 Qué hacer si ha sido víctima

1. En primer lugar, mantener la calma.
2. Podemos seguir el ejemplo de Telefónica. Apagar todos los ordenadores, evitando la propagación del virus en la red informática de la empresa.
3. Llamar un profesional informático.  Los profesionales de este perfil,  sabrán dar los pasos necesario para para solventar la situación, evitando afectaciones mayores. Su trabajo, entre otros, consistirá en:
   1.  Mitigar la propagación del virus. Si todavía está esa opción.
   2. Eliminación del virus en los equipos instalados.
   3. Instalación de parches y actualizaciones de seguridad.
   4. Reestablecimeinto de datos a partir de copias de seguridad.
4. También puede contactar con el Instituto Nacional de CiberSeguridad – INCIBE,  y hacer uso de su servicio antiransomware, que es totalmente gratuito.
5. También puede contactar con el CCN-CERT Centro Criptológico Nacional. En su página web, ha puesto a disposición del público una herramienta que funciona como vacuna anti ransomwarey NoMoreCry.
6. Pagar o no pagar. Los especialistas recomiendan no pagar. Hablamos de ciberdelincuentes, que no sabemos si devolverán la información. Tampoco que si al ver que pagamos, no nos pondrán como blanco para futuros ataques.
7. Es recomendable denunciar el hecho ante la policía. Es la única manera en que ellos podrán perseguir el delito.
8. Si es una empresa, debe registrar el hecho, como incidencia en el Documento de Seguridad, o los anexos correspondientes. Es una incidencia conforme a la normativa de Protección de Datos personales.
9. Es necesario estar informado de las novedades en seguridad informática. En INCIBE disponen de la suscripción, gratuita, a sus boletines de seguridad. ¡Apúntate!

Conclusiones

Vivimos una época en que estar conectadas a internet, es una característica común de las empresas, y también de las personas físicas. Es necesario conocer los riesgos a los que nos exponemos, y a partir del conocimiento, actuar diligentemente.

No se pueden eludir todos los virus, pero si nos preparamos, podremos hacerles frente y salir bien parados, o casi. No debemos preocuparnos, sino, ocuparnos.

Nuestro clientes del servicio consultoría LOPD, recibieron el lunes, este contenido por adelantado. Apúntate a nuestra newsletter, y en casos excepcionales como este, también recibirás nuestros avisos de seguridad.

______________________________________________________________________________

Como siempre os invitamos a escucharnos todos los lunes, en el espacio radiofónico del programa Internet en Familia, de Hoy por Hoy Tenerife, en Radio Club SER Tenerife, la emisora de Canarias. Todas las semanas os hablamos de protección de datos, privacidad, seguridad en internet, nuevas tecnológicas, derecho tecnológico, Reglamento Europeo de Protección de Datos – RGPD, y muchos más temas de interés para el público en general.