De Canadá de Rusia, el ataque con el randomware WannaCry se ha extendido por
miles de ordenadores vulnerables.
Lo que en un principio parecía una amenaza local en España se ha convertido en
un ciberataque a nivel mundial que se ha extendido por el sistema de salud de
Reino Unido y que ahora está afectando en distintos niveles a EEUU, Canadá,
Rusia, China, Italia o Taiwan.
Varios expertos cifran en 74 el número de países afectados hasta ahora. Según
Jakub Kroustek, experto en antivirus de la compañía Avast, se han detectado hoy
en todo el mundo más de 57.000 ataques. WannaCry es un programa informático cuyo
objetivo es secuestrar archivos una vez se ha ejecutado en un ordenador para
posteriormente exigir un rescate al afectado. Es el tipo de virus que más
quebraderos de cabeza está dando actualmente a las grandes empresas a nivel
mundial.
La mayoría de los delincuentes dirige sus ataques contra aquellos objetivos que
son más débiles y redituables, es decir contra las víctimas que no pueden
defenderse y de las que pueden obtener más dinero que de cualquier otra persona
común; en el caso de los ciberdelincuentes esta premisa también se cumple, sobre
todo en el caso específico de quienes utilizan el ransomware contra hospitales
para cometer delitos.
Definición de Ransomware: se
designa a un tipo de código malicioso que tiene varias “cepas” y que es
utilizado por los delincuentes informáticos para realizar ciberataques con los
que consiguen dinero rápido al paralizar la actividad regular de las compañías.
Al principio los ataques de ransomware estaban dirigidos contra personas, sin
embargo, los atacantes decidieron cambiar sus blancos hacia empresas pues
descubrieron que de ellas podían conseguir más dinero.
Las compañías atacadas eran de un tamaño pequeño y mediano que tenían
infraestructuras de TI con poca seguridad y que, en consecuencia, tenían muy
escasa capacidad para recuperarse luego de ser golpeadas, por lo que muy
probablemente pagarían el rescate que les exigirían.
Posteriormente los ciberdelincuentes han segmentado aún más sus blancos y
decidieron centrarse en los hospitales. Estos objetivos no son nuevos pues
anteriormente los maleantes digitales fueron responsables de grandes fugas de
datos. Lo novedoso en este caso es que para cometer sus ciberdelitos, estos
atacantes decidieron usar herramientas de ransomware fáciles de compilar.
Ahora los ataques no buscan robar los datos de los hospitales, sino encriptarlos
mediante ransomware para que sus víctimas paguen un rescate para poder
recuperar su información. Este nuevo ransomware fue creado utilizando conjuntos
de herramientas que los delincuentes contratan en la Internet negra o black web.
IntraMed consultó
a varios expertos para que nos dieran su punto de vista y recomendaciones de la
situación:
El Dr. Eduardo F. Del Piano, Gerente Corporativo de Procesos y Sistemas
de Swiss Medical nos comentó lo siguiente:
¿Cuál es su opinión con respecto a esta noticia?
Cualquier actividad y dispositivo IoT no están exentos de sufrir ciberataques.
En un mundo en que cada vez estamos más interconectados y en que los
dispositivos de interconectan sin la intervención humana la “oferta” para los
ciberataques crecen de manera proporcional.
¿Existe forma de prevenir algo así? ¿Cuáles serían las acciones a tomar en
primera instancia?
? ¿Existe un protocolo para este tipo de contingencias?
Las distintas compañías dedicadas a la seguridad informática focalizan sus
estrategias de marketing y venta con argumentos técnicos y haciendo menciones a
daños que han tenido algunas compañías por no utilizar sus productos. La
prevención y la capacitación son las mejores “armas” para poder evitar y
combatir este tipo de maniobras. Los planes de prevención manteniendo las
actualizaciones de los distintos componentes de la infraestructura que soportan
los sistemas cumplen un rol técnico importante, pero la capacitación y
comunicación sobre cómo operan este tipo de maniobras son claves y muchas veces
las organizaciones no le prestan la suficiente atención.
El Dr. Daniel Luna, jefe Dto. Informática en Salud, del Hospital Italiano
de Buenos Aires nos detalla:
¿Cuál es su opinión con respecto a esta noticia? ¿Existe forma de prevenir algo
así?
Un usuario que realice un clic en el adjunto del mail que se envía, instalará en
su PC un programa oculto que comenzará a encriptar carpetas y buscará propagarse
por la red en busca de servidores, explotando una vulnerabilidad en un protocolo
de comunicación que se utiliza para la compartición de archivos. Una vez en el
Servidor, comenzará a realizar el mismo ciclo.
Al encriptar la información, los servicios prestados por ese servidor, dejarán
de funcionar.
Algunos servicios informáticos importantes como el del Laboratorio, RRHH,
Interfases con la Historia Cínica, y una cantidad impredecible de PCs de
usuarios finales, podrían paralizar procesos operativos del Hospital.
Si el Rasomware, no hubiese sido detectado con anterioridad, y ya estuviese
instalado en varios equipos, los backups que se realizan periódicamente ya
estarían infectados, y al tratar de restaurarlos para recuperar la operatividad,
iniciarían el ciclo del ataque nuevamente.
¿Qué acciones han tomado al respecto?
Se han tomado las siguientes acciones:
·
Revisamos que las actualizaciones de seguridad de Microsoft que solucionan esta
vulnerabilidad, estén correctamente instaladas en todos los Servidores y en la
totalidad de las PCs.
·
Revisamos que el sistema Antiivirus esté actualizado en todas las PCs. mediante
las consolas centralizadas de administración.
·
Informamos sobre esta amenaza a toda la organización, advirtiendo también sobre
el uso de sus dispositivos personales en las redes (BYOD) y como prevenir el
ataque.
·
Activamos un filtro que impide la descarga en el sistema de Correo
Institucional, de archivos .ZIP, por el cual se propaga el ataque.
Leído en IntraMed