Se hace necesario contar con unas políticas de seguridad y tomar las medidas adecuadas para evitar que nuestros sistemas se vean afectados.
El viernes día 12 de mayo, a media mañana, recibimos el primer aviso. Algo marchaba mal en Telefónica. Ordenadores desconectados hasta nueva orden. Lo que hemos vivido desde entonces ha sido, por decirlo de alguna manera, intenso. El culpable fue WannaCryptor (también llamado WannaCry o Wcrypt y detectado por ESET como
Win32/Filecoder.WannaCryptor). Este ransomware se aprovecha de una vulnerabilidad en Windows y, además, tiene un componente que lo ha hecho más virulento si cabe: la
capacidad de propagarse, de forma similar a un gusano por las redes de los equipos infectados.
En realidad venimos advirtiendo de la amenaza que implica el ransomware para particulares y empresas de todos los tamaños desde hace mucho. De hecho, los primeros casos son de mediados de 2013 pero... el ransomware continuaba siendo el gran desconocido. Y tiene que pasar algo así para que la seguridad se sitúe en el centro de las miradas, y se convierta en un asunto de interés general.
Esta es la parte positiva de WannaCry. La palabra 'ransomware' comenzó a cobrar sentido y a dotarse de significado. Los medios comenzaron a llamar a las empresas de seguridad, a interesarse y a informar a la gente. Y éstos a su vez, a llamarnos a nosotros. El departamento de soporte técnico habitualmente atiende unas 100 llamadas al día y contesta unos 200 correos electrónicos con dudas de nuestros usuarios, pues bien, el lunes posterior al ciberataque se atendió a más de 260 personas vía telefónica y casi 550 correos electrónicos.
La seguridad había saltado a la palestra y a muchas empresas les había pillado en paños menores. De hecho, desgraciadamente muchas empresas solo invierten en seguridad informática tras haber sido objeto de algún tipo de incidente de seguridad.
Ciertamente este ciberataque en concreto se podía haber evitado si las empresas hubiesen instalado un parche de seguridad que Microsoft Windows lanzó a mediados de marzo pero, muchas no lo habían hecho. A veces en las grandes compañías los protocolos hacen el proceso largo y tedioso, y en las pequeñas no hay recursos o seguimiento. En cualquier caso, el ransomware es una amenaza que se quedará con nosotros por más tiempo y frente a la cual conviene estar preparados.
Se hace necesario contar con unas políticas de seguridad y tomar las medidas adecuadas para evitar que nuestros sistemas se vean afectados. Estamos hablando de medidas vitales en entornos corporativos, ya que la información cifrada o bloqueada por los ciberdelincuentes, y por la que nos están pidiendo una suma de dinero, podría ser esencial para el funcionamiento de la empresa e incluso podría tener un impacto grave en la continuidad del negocio.
Desde ESET España aconsejamos, con el objetivo de minimizar los riesgos en las empresas, independientemente de su tamaño:
- Realizar actualizaciones periódicas del sistema operativo y de las aplicaciones: como hemos visto con WannaCry, además de los adjuntos maliciosos enviados por correo electrónico, otra de las técnicas preferidas por los delincuentes ha sido aprovecharse de las vulnerabilidades del sistema o de las aplicaciones instaladas. Mediante el uso de kits de exploits, los delincuentes pueden automatizar el proceso de infección de tal forma que, con solo visitar un enlace, el sistema quede infectado de forma automática y sin intervención del usuario. Como hemos dicho, son vulnerabilidades que cuentan con sus parches correspondientes y que ya deberían haber sido instalados por los usuarios o por los administradores de sistemas responsables en un entorno corporativo.
- Tener instalada una buena solución de seguridad. Hay bastantes empresas que no se han visto afectadas por este ciberataque porque su solución de seguridad bloqueó tanto el ransomware como el exploit que se aprovechaba de la vulnerabilidad en Windows, como es el caso de los clientes protegidos por ESET. De ahí la importancia de tener instalada en la empresa una solución efectiva. No obstante, la seguridad es un proceso continuo que consta de muchas capas y este caso ha servido para demostrar que hay fallos importantes en cómo se gestiona la seguridad en muchas empresas.
- Disponer de copias de seguridad actualizadas: en ocasiones, la única solución que le queda a una empresa que no ha podido evitar ser víctima del ransomware es echar mano de la copia de seguridad más actualizada que tenga. Pero para que una copia de seguridad sea eficaz también se tienen que cumplir una serie de políticas y seguirlas a conciencia. En caso de no hacerlo, nos encontraremos con que incluso las copias de seguridad se han visto afectadas por el ransomware, al haberlas tenido conectadas al sistema infectado, o que al restaurar ese backup se encuentre corrupto o demasiado desactualizado.
Hay otros consejos que también deberían poner en práctica los administradores de sistemas, como tener unas buenas políticas de gestión de usuarios. Este punto parece obvio pero aún existen empresas que otorgan permisos de administrador a todos los usuarios y es importante otorgar sólo los estrictamente necesarios. Limitando los permisos no sólo se evita que los usuarios puedan instalar programas que no estén autorizados, sino que también se bloquea buena parte del malware que necesita de permisos de administración para ejecutarse o realizar alguna acción maliciosa. Configurar políticas de grupo paraevitar que se ejecuten archivos maliciosos desde ciertas carpetas del perfil del usuario o controlar el spam (uno de los medios de propagación favoritos de los creadores de ransomware) y bloquear IP maliciosas serían otros consejos para evitar vernos en la tesitura de plantearnos si accedemos al chantaje de los ciberdelincuentes. En cualquier caso, siempre: NO.
Si (
No(
