#WannaCry, un caso de responsabilidad compartida

2017-05-13 Leer en voz alta


Por Pilar Sáenz

Se ha conocido en redes como #WannaCry, Wana Decrypt0r, WannaCryptor o WCRY al último ataque que se ha propagado por la red de forma viral desde el 12 de mayo.

El ransomware es un tipo de ataque que cifra la información del equipo y luego pide un rescate para descifrarla. Este ataque en particular está usando un arma del arsenal digital desarrollado por la Agencia Estadounidense de Seguridad Nacional (NSA), que aprovecha una vulnerabilidad de Windows que no fue reportada.

El año pasado, un grupo conocido como Shadow Brokers tuvo acceso a estas armas digitales de la NSA y desde entonces las ha estado vendiendo al mejor postor en el mercado negro de mercenarios digitales.

Microsoft desarrolló un parche de seguridad asociado a esa vulnerabilidad que publicó el 14 de marzo de este año. Este parche se ofreció para la mayoría de sus sistemas operativos (Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012, Windows 10 y Windows Server 2016), sin embargo no cobijó a los más viejos (Windows XP y otros) para los que solo hasta después del ataque se ofreció una actualización.

Así pues, la vulnerabilidad que aprovecha #WannaCry está presente en todos los equipos que usan cualquier versión de Windows que no se haya actualizado desde el 14 de marzo. El código malicioso que usa este ataque aprovecha las carpetas compartidas, las redes para imprimir y cualquier otra red interna que use el protocolo Microsoft Windows SMB Server para buscar nuevos equipos vulnerables y propagarse. De esta forma, el objetivo no es apoderarse solo del computador que se infecta inicialmente, sino de todos los equipos vulnerables que hagan parte de la red interna en la que estén conectados los equipos infectados.

Cuando se activa, #WannaCry cifra los contenidos del equipo, lo bloquea y pide un rescate de 300 dólares en bitcoins con la amenaza de que el precio subirá al doble si no se paga en los primeros 3 días. Además, advierte que los archivos no se podrán recuperar nunca si no se recibe ningún pago en 7 días.

La propagación del ataque es todo un caso de estudio por sí mismo. Casi 200.000 equipos han sido infectados en unos 100 países y la cifra sigue aumentando. A la fecha menos de 200 siguen conectados a Internet, los demás están fuera de línea.

Ante el ataque, algunos de los organismos encargados de seguridad y otras instituciones por iniciativa propia han empezado a emitir alertas sobre el tema.

Este es un buen caso para hablar de responsabilidades compartidas, de esas de las que nos hablaban en el nuevo CONPES de seguridad digital. ¿Por qué?

Es responsable la NSA porque cuando descubrió la problema, en lugar de reportarlo diseñó un exploit, una forma de aprovechar la vulnerabilidad, que luego se salió de su control. Esta discusión forma parte del debate sobre qué tan legítimo es que el propio Estado use herramientas de hackeo precisamente porque hace vulnerable a la ciudadanía.

Es responsable Microsoft por no ofrecer actualizaciones para versiones viejas de Windows a tiempo. Aun cuando Microsoft sabe que cientos de miles de computadores siguen utilizado viejas versiones de Windows XP, Windows Vista o Windows 8, las actualizaciones críticas de seguridad solo se ofrecieron hasta después de conocerse el ataque.

También son responsables las personas que se encargan de la administración de las redes y todas las personas que no han actualizado sus sistemas. Un sistema al día es menos vulnerable.

Sin embargo, hay que reconocer que la falta de acción en ocasiones no solo se debe a no hacer la actualización, sino a la falta de recursos para adquirir nuevas versiones o cambiar equipos, además de desconocer las alternativas de otros sistemas operativos como Linux, que no implican gastos onerosos para su actualización.

Finalmente, son responsables las autoridades encargadas de alertar sobre este tipo de vulnerabilidades y de responder cuando se presentan estos ataques. Brindar información adecuada, dar recomendaciones completas y ofrecer soluciones y canales para obtener ayuda debería ser la premisa principal de estas autoridades.

La reacción oficial en Colombia

En Colombia, por lo menos en teoría, esta función la cumple el ColCERT, que dentro de sus objetivos tiene: “Ofrecer servicios de prevención ante amenazas informáticas, respuesta frente a incidentes informáticos, así como a aquellos de información, sensibilización y formación en materia de seguridad informática”. Pero la página de esta entidad no actualiza ni noticias ni alarmas desde hace tres años.

Las alertas oficiales que hemos encontrado en redes son la del Comando conjunto cibernético, la de MinTIC, la de Renata y la del CAI cibernético de la Policía Nacional, más dos trinos del mismísimo presidente Santos 1 y 2.
Es triste admitirlo, pero todos estos “comunicados” carecen de rigor, tienen errores en algunos casos, en otros ni explican y en otros simplemente parecen copiar información que no entienden y reproducen a medias.

¿Los analizamos?

El del Comando Conjunto Cibernético tiene errores de redacción y ortografía, al mejor estilo de un hoax, un falso rumor de internet. Además, se envió por WhatsApp de grupo en grupo sin que tuviera una fuente verificable. No ofrece ninguna información en caso de haber sido víctima del ataque. Y en las acciones ni siquiera incluye la más importante: actualizar el sistema operativo con el parche de seguridad.

El de la Policía Nacional no habla del ataque de ransomware. La alerta se emite por vulnerabilidades en plataformas Microsoft. Al final, cuando se resumen las recomendaciones, tampoco incluye la actualización del sistema operativo y se repite la de realizar resguardo de la información (backup).

La de MinTIC tiene imprecisiones como considerar Windows XP como una versión reciente de este sistema operativo cuando se lanzó hace 15 años, su última versión es de hace 9 y no tiene soporte desde hace 3 años. En las recomendaciones olvida la segunda en prioridad, hacer backup de la información.

La de Renata es una mala copia de algún comunicado español. Olvida completamente que el ataque sucede cuando el sistema no está actualizado y no recomienda que se actualice. Tampoco incluye información sobre cómo proceder si el sistema ha sido comprometido.

Queda claro que el Gobierno colombiano no está preparado para comunicar de forma efectiva sobre ataques cibernéticos masivos que comprometan a la ciudadanía en general. Eso es algo que debe ser solucionado más pronto que tarde.

¿Qué nos queda de esta experiencia?

Este ataque una vez más nos recuerda cuán problemático puede llegar a ser que las entidades de gobierno (en este caso la NSA) encargadas de los sistemas de vigilancia, en lugar de cumplir su función de velar por la seguridad del Estado y la ciudadanía reportando las vulnerabilidades que encuentren, las guarden y utilicen para construir sus armas digitales.

De la respuesta oficial a este tipo de incidentes, queda claro que a la hora de ofrecer alertas e informar sobre amenazas a la ciudadanía también nos quedamos cortos. Si como país no se cuenta con un sistema de alerta público, todas las respuestas serán tardías y estarán en riesgo nuestras infraestructuras, incluyendo las críticas.

Una más, aunque parezca extremista, si no tomamos decisiones que realmente aseguren nuestros sistemas, estos hechos lejos de disminuir aparecerán con más frecuencia. ¿Es posible considerar la necesidad de implementar software libre para nuestros sistemas críticos? Este cuestionamiento lo hacemos a propósito de lo que puede representar para las arcas estatales cubrir los altos costos de actualizar todos sus sistemas a Windows 10 (que es la única recomendación que se ofrece desde Microsoft en la comunicación oficial en la página de MinTIC, lo que, además, afecta el principio de neutralidad tecnológica que obliga al propio Estado).

Y para cerrar, al menos en este caso en concreto, es urgente aprender sobre qué hacer para protegernos de este ataque.

  1. Es fundamental actualizar el sistema operativo. Cómo será de grave el caso que tras el ataque Microsoft sacó actualizaciones críticas de seguridad para los sistemas operativos más viejos, Windows XP incluído a pesar de que había anunciado hace 3 años que ya no lo haría nunca más. Es decir, señores y señoras, no hay excusa, si no lo han hecho, ¡hay que actualizar ya mismo! De lo contrario la única alternativa saludable es aislar de Internet y de cualquier red interna los equipos que no estén al día.
  2. Además de actualizar el sistema, es necesario hacer periódicamente respaldos de la información (backup), instalar un buen antimalware y mantenerlo actualizado.
  3. Aún no conocemos cómo se desencadenó #WannaCry pero nunca está de más recordar las demás recomendaciones básicas como no abrir archivos o correos sospechosos ni entrar en sitios dudosos.

Recuerde que no hay tal cosa como un software 100% seguro. Aunque este ataque tuvo como objetivo sistemas operativos Windows, nada nos libra en un futuro de que este y otros sistemas sean atacados. El arsenal de la NSA y de las agencias de vigilancia en el mundo no se limita solo a Windows, también incluye Mac y Linux, incluso sistemas para móviles como Android, iOS y BlackBerry. Todos estos sistemas han estado en la mira de las agencias de seguridad del Estado y Colombia no es la excepción. Más ataques pueden venir en camino.

Ahora, si ya fue infectado:

  1. Si tiene un respaldo de su información, formatee el equipo, instale un sistema operativo actualizado y restaure. Tenga en cuenta que va a perder la información de la que no tiene copia.
  2. Si no tiene respaldo de la información, de todo por perdido y realice desde cero una nueva instalación de un sistema operativo actualizado formateando el equipo. Si quiere, conserve una copia del disco duro, puede que algún día se le conceda el milagro de poder recuperar la información.
  3. ¿Pensó en pagar y esperar a que los atacantes entreguen la información secuestrada? Está no debería ser una opción, ya que no hay seguridad de que los atacantes realmente entreguen toda la información. Además, pagar alienta a que sigan ocurriendo este tipo de ataques.

En cualquier caso, siguiendo la información oficial, le recomendamos contactar a las autoridades competentes: el ColCERT en contacto@colcert.gov.co; MinTIC en incidentes-seginf@mintic.gov.co  y la Policía Nacional en caivirtual@correo.policia.gov.co. La idea es que estos ataques queden documentados y se puedan investigar.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.