Aunque parezca un número de víctimas muy elevado, hay que recordar que virus como “I loveyou” afectó a casi 50 millones de equipos en el año 2000. Con la dependencia actual de las tecnologías, da miedo imaginar las consecuencias que habría tenido este ciberataque si se hubiera llegado a esa cifra.
El año pasado ya se detectó un gran incremento en este tipo de ataques de ramsonware y las predicciones de los fabricantes de seguridad apuntaban a que la tendencia continuaría durante este año. Desde Connectis, en nuestras previsiones para 2017, ya apuntábamos a la posibilidad de que el ramsonware cambiara su modo de actuar y pudiera propagarse por la red para producir mayor impacto, como se ha demostrado en este caso.
Analizando más en detalle este ataque masivo, hay varias preguntas que pueden surgir:
¿Por qué ha afectado WannaCry a tantos equipos?
Normalmente el ramsonware bloquea los archivos tanto del propio equipo como de la red a la que están conectados cifrándolos. La diferencia en este caso es que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. Es decir, la infección de un solo equipo puede llegar a comprometer a toda la red corporativa. Además el ataque ha estado dirigido a grandes empresas y de una manera simultánea, lo que ha ocasionado una mayor repercusión.
¿Cómo se puede prevenir este tipo de ataques?
Una primera barrera para prevenir estos ataques es la concienciación de los usuarios. La infección se puede producir a través de correos electrónicos que incluyan un fichero adjunto o un enlace web, o a través de la navegación web. En el caso de correos electrónicos, hay que revisar la dirección del remitente para ver si concuerda con quien dice ser; en el caso de enlaces, ver a dónde apunta; y en el caso de ficheros adjuntos, no abrirlos en caso de duda. En cuanto a la navegación, el mejor consejo es no acceder a sitios sospechosos, pero no siempre es fácil de distinguirlos. Por esoes aconsejable tener habilitados en los navegadores solamente los complementos necesarios, habilitarlos si es necesario de manera temporal, y utilizar la última versión de los navegadores.
Otras medidas importantes para prevenir, detectar y mitigarla acción de un ransomware, son mantener copias de seguridad periódicas de los datos importantes, tener los sistemas actualizados, no utilizar cuentas de administrador en los equipos para reducir el impacto y utilizar las distintas barreras de seguridad que se pueden instalar y que ayudan a proteger la empresa. Estas líneas de protección abarcan la seguridad del puesto final, el control del tráfico en la red restringiendo las conexiones no necesarias osistemas antispam para proteger el correo electrónico, entre otras.
¿Qué hacer en caso de infección?
A la hora de actuar frente a este tipo de incidentes, en caso de que un sistema se haya visto afectado, hay que desconectarlo de la red y apagarlo lo antes posible para intentar parar el proceso de cifrado y su posible propagación.
En caso de que nos veamos afectados no se recomienda pagar el rescate, ya que no hay garantías de que recuperemos la información. Si son ficheros que no tienen copia de backup, podemos ver si existe ya una herramienta de descifrado para este ramsonware publicadas o guardar en algún almacenamiento externo estos ficheros por si en algún momento hay alguna utilidad que permita descifrarlos. Por último, es importante realizar una denuncia por el delito que se ha cometido contra la empresa.
A raíz de todo lo acontecido, se demuestra de nuevo que la seguridad al 100% no existe. No siempre es posible detener este tipo de ataquesy es imprescindible tener procesos internos para gestionar la seguridad de la empresa.
Como conclusión, creo que es importante resaltar que la seguridad no es una responsabilidad de los departamentos técnicos:es una responsabilidad de los departamentos de dirección. Es necesario dedicar medios, tanto tecnológicos como profesionales, y aplicar los controles necesarios para minimizar los riesgos y el impacto sobre el negocio en caso de sufrir un incidente de seguridad. Como se ha demostrado en este caso, estos incidentes tienen un gran impacto en el negocio y pueden llegar a paralizar la actividad de una empresa, y lo que está por venir en este tipo de ciberataques no parece muy alentador.