18 de noviembre de 2019
DIRECTOR ANTONIO MARTÍN BEAUMONT

Así actúa el temible 'Wannacry'

Pixabay

Pixabay

El cibecrimen es un problema mundial: la guerra virtual se libra en todo el planeta, con casos tan estruendosos como el del virus 'Wannacry'. Sólo en España hay 115.000 ataques cada año.



Decenas de grandes empresas españolas e internacionales, la red de hospitales del Reino Unido y hasta 50.000 organizaciones de todo tipo llevan desde el viernes en ascuas por el primer ataque informático global que ha puesto patas arriba la seguridad de algunas de las primeras multinacionales del planeta. 

El virus se propaga solo, con un contagio fácil y rápido por todos los terminales de una misma red

El ciberataque de tipo 'ransomware', que secuestra los equipos y la información que contienen y solicita una suma de dinero para liberarlos, ha conmocionado a la comunidad política y policial delmundo entero por su eficacia, extensión y contundencia; capaz de derribar las mejores protecciones que teóricamente se conocían hasta ahora.

Y, sin embargo, el procedimiento seguido es elemental, tay como explican desde el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI): se trata de un 'malware', denominado WannaCry, que afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red.

Como explica el director general de Sophos Iberia, Ricardo Maté, algunos empleados de las entidades afectadas recibieron por la mañana un correo electrónico pidiendo el pago de dinero en 'bitcoins' para eliminar las restricciones a los archivos y equipos secuestrados, que habían cifrados por el propio virus.

El 'ransomware' Wannacry tiene la particularidad de que en determinadas condiciones se propaga solo, como ha apuntado el socio director de S2 Grupo, José Rosell. Esto significa que el 'malware', al igual que otros similares, necesita una vía de acceso, un 'email' por ejemplo, pero una vez ha infectado el sistema, se propaga solo por el resto de equipos a través de la Red. Por eso, instituciones como la Generalitat de Valencia, entre otras, ha prohibido enviar correos desde la Administración si llevan cualquier tipo de fichero adjunto.

Sin embargo, es más que probable que la recomendación de no pinchar en 'emails' sospechosos no sea suficiente, dado que no es necesario que todos los miembros de la empresa pinchen en correo para su difusión, sino que una vez ha conseguido entrar, lo que lo frena es bien apagar los equipos bien desconectar la Red. De hecho, los equipos pueden seguir encendidos si no están conectados a la Red.

No obstante, y aunque la prevención sobre los 'emails' no sea suficiente, conviene recordar algunos consejos para enfrentarse a una posible ataque de 'ransomware', como explican desde Sophos Iberia, que entienden como imprescindible realizar copias de seguridad periódicamente y cifrarlas para que solo las personas autorizadas puedan hacer uso de los archivos. Más aún, las copias de seguridad no deben estar guardadas en el mismo ordenador.

Sólo en España se registraron 115.000 ataques informáticos en un único año

En cualquier caso, hay que tener actualizados los equipos y programas. El 'malware' aprovecha las vulnerabilidades en el software, y en este caso específico ha aprovechado una vulnerabilidad de Windows ya conocida, como ha apuntado Rosell, quien ha matizado que esta vulnerabilidad contaba con una actualización que la corregía, pero no disponible para versiones anteriores a Windows 7.

También aconsejan desde Sophos Iberia no habilitar los macros, dado que, como explica, gran parte del 'ransomware' se distribuye a través de documentos Office que engañan a los usuarios para que habiliten esa prestación. Incluso valorar la instalación de visores de Microsoft Office, dado que permiten ver un fichero Word o Excel sin macros.

También les aconsejan desde la compañía de seguridad que en las empresas se conecten como administrador solo el tiempo necesario, y evitar navegar o abrir documentos en ese tiempo. Y que ofrezcan a sus empleados formación en seguridad para evitar problemas.

Segmentar la red local, como explican desde Sophos Iberia, es decir, separa las distintas áreas con un 'firewall', de manera que los sistemas y servicios solo sean accesibles cuando son realmente necesarios. Y por último, es imprescindible contar con una solución de ciberseguridad para 'ransomware' instalada en los equipos.

Emergencia controlada

Pese a la enorme alarma, la infección de nuevos equipos y sistemas de empresas "ha sido controlada", ya que se ha descubierto una acción programada del virus informático, que desde el viernes afecta a empresas e instituciones de más de 70 países, según han informado fuentes del Instituto Nacional de Ciberseguridad (Incibe) a Europa Press.

En concreto, se trata de un dominio que cuando se conecta a un equipo informático infectado por el 'ransomware', que afecta a sistemas Windows, impide que el virus no cifre los archivos, se desactive automáticamente y, por ende, se desinfecte.

 

 

Asimismo, dichas fuentes han indicado que Microsoft está adoptando una posición "proactiva" frente al ciberataque que ha afectado a empresas e instituciones a nivel mundial, y que ha publicado un nuevo parche de seguridad para actualizar los equipos con sistema operativo XP.

Según han informado desde el Incibe, aproximadamente 1.000 empresas y 60.000 dispositivos han sido víctimas a escala global del ciberataque de tipo 'ransomware', denominado 'WannaCry', que secuestra los equipos y la información que éstos contienen y solicita un rescate económico o en Bitcoin, la célebre moneda virtual.

Por importancia, los países más afectados han sido Reino Unido, Turquía, Ucrania y Rusia. En lo que llevamos de año, desde el Incibe han indicado que en España se han producido hasta 50.000 incidentes de este tipo, en los que alrededor del 30% son intentos de estafa y fraude electrónico. El año pasado, se contabilizaron hasta 115.000 ataques informáticos.

Un precedente en la cárcel

Un caso sonado muy similar es bien reciente, de hace apenas dos semanas. Un tribunal federal de Estados Unidos condenó a finales de abril a Roman Seleznev, hijo de un diputado ruso, a 27 años de prisión, por haber realizado un ataque cibernético contra miles de empresas estadounidenses en lo que supone la pena más severa impuesta a un 'hacker' en Estados Unidos.

Seleznev, de 32 años, llevó a cabo una operación para acceder a la información de miles de tarjetas de crédito y vender posteriormente los números obtenidos en el mercado negro, segúnpublicaba  el diario 'New York Times'.

Según el tribunal federal de la localidad de Seattle, en el estado de Washington, la operación realizada por Seleznev provocó a las empresas afectadas pérdidas valoradas en 169 millones de dólares (157 millones de euros).

El ataque cibernético ha provocado el robo y la venta de más de 2 millones de números de tarjetas de créditos. Entre las entidades afectadas se encuentran 3.700 instituciones financieras y unas 500 empresas en todo el mundo, incluidos varios restaurantes de Seattle.

La condena a 22 años de cárcel a un hacker ruso sienta un precedente: puede haber más

"Seleznev ha dañado a más víctimas y ha causado más perdidas económicas que cualquier otro acusado que se haya presentado con anterioridad ante el tribunal", ha indicado la Fiscalía, que ha añadido que se trata de una sentencia sin precedentes.

El Gobierno ruso, por su parte, ha asegurado que la detención del 'hacker', que tuvo lugar en 2014 cuando éste se encontraba en las Maldivas, fue llevada a cabo de forma ilegal. "Seguimos considerando que el arresto del ciudadano ruso Roman Seleznev fue ilegal", ha señalado la Embajada de Rusia en Washington en un comunicado a través de Facebook.

Seleznev es hijo del parlamentario ruso Valery Seleznev. La sentencia ha sido pronunciada una década después de que los Servicios de Inteligencia estadounidenses pusieran en marcha una investigación al respecto. Y sienta un precedente que otros saqueadores virtuales conocerán, aunque es probable que nada les detenga.

 

 

Comenta esta noticia
Update CMP