El viernes de la semana pasada nos enteramos de que el mundo estaba bajo ciberataque. Más bien se trataba de WannaCry, un malware que exigía rescate (o sea, un ransomware) para devolver la información que se robaba de las máquinas. El problema todavía no desapareció y por eso conversaron el ingeniero y docente Mateo Martínez (M), experto en seguridad informática, y José Gabriel Lagos (G), de la redacción.
G: Wannacry es un virus que afecta sólo a usuarios de Windows, ¿no?
M: Exacto. Es un malware, es decir, un software malicioso que afecta sistemas operativos Windows. Básicamente se aprovecha de una vulnerabilidad recientemente solucionada por Microsoft. Quienes no aplicaron el parche y tenían sistemas operativos vulnerables al exploit ETERNALBLUE fueron afectados
G: Bueno, en la redacción tenemos Linux, así que estamos salvados
M: Si :) De todos modos en los últimos tres años también han aparecido vulnerabilidades graves en Linux
G: Uh
M: Además, WannaCry funcionaba como un gusano y buscaba replicarse en las redes buscando sistemas vulnerables, sin interacción del usuario
G: Ah, o sea que no alcanza con no abrir un mail
M: En general las personas somos el eslabón más débil en la cadena de seguridad de la información. Pero en este caso, la culpa es de los administradores de sistemas y de la organización por no aplicar en tiempo y forma parches críticos de seguridad en los sistemas operativos
G: ¿Por qué afectó a tantas instituciones y empresas? ¿Hay números de afectados?
M: Si bien el número no es exacto, se habla de casi 300.000 computadoras afectadas y 100 países. El motivo de la magnitud es el efecto gusano y la explotación de una vulnerabilidad relativamente nueva. La vulnerabilidad y su exploit se dio a conocer por el grupo Shadow Brokers, que hicieron conocidos estos exploits y vulnerabilidades utilizadas por la NSA [National Security Agency]
G: ¿Y acá en Uruguay?
M: En Uruguay el impacto más fuerte fue el viernes, cuando múltiples empresas internacionales paralizaron su operación en forma preventiva. No se encendieron los PC en muchas empresas
G: Es cierto que hasta vi algunos cajeros automáticos cerrados
M: Durante el fin de semana se aplicaron parches y controles correspondientes. De todos modos, el parche y aplicar los parches sólo cubre a partir de que marcas como Microsoft los liberan al mercado. No se sabe por cuánto tiempo han estado estos exploits disponibles por la NSA, pudiendo acceder potencialmente a miles de equipos a nivel global. Hay varios cambios en la gestión de tecnologías de la información que son necesarios: por un lado, el monitoreo continuo de nuevas vulnerabilidades y una correcta gestión de parches. Pero, por otro, para detectar ataques o exploits desconocidos es necesario aplicar otro tipo de controles y monitoreos como soluciones de firewall, prevención de intrusos, detección de anomalías de red, listas blancas de aplicaciones, controles de integridad, y mantener mínimos privilegios y cerrar todos los puertos o servicios innecesarios. WannaCry utilizaba como vector de ataque el servicio SMBv1 de Microsoft Windows a través del puerto 445 y 139. Es increíble la cantidad de equipos en Uruguay con ese puerto publicado en internet. Se puede tener una referencia utilizando herramientas como Shodan
G: Ahá. ¿Se sabe cuánto recaudó en rescates este software?
M: El rescate era solicitado en bitcoins, una criptomoneda
G: Que es difícil de rastrear
M: Exacto. Se habla de montos chicos para el tipo de ataque, rondando los 50.000 dólares. Sin embargo, ya han aparecido variantes del malware con ciertas mejoras y funcionamiento diferente. El ransomware ha creado un mercado negro que sigue avanzando y le da ganancias a estos cibercriminales que los generan. Lamentablemente, muchas organizaciones y personas no tienen respaldos y terminan pagando el rescate, y esto no hace más que motivar el mercado
G: O sea, que hay que respaldar
M: Es importante contar con backups, que estos sean probados y evaluados. Y aplicar controles para que no se repita. Puedo enviarte pantallas de cómo se ve en acción el ransomware
G: Mientras no funcionen ;)