Ransomware produjo ayer, 12 de mayo de 2017, una infección en los ordenadores a escala mundial; y miles de sistemas fueron comprometidos en decenas de países de todo el planeta.
El ransomware presenta ciertas particularidades, y se basa en un sistema de infección de los ordenadores mediante el WanaCrypt0r; que es una variante del WannaCry.
Al día de hoy diversas fuentes confirman que se han detectado ordenadores infectados con el ransomware en casi todo el planeta; aunque países como Estados Unidos, España, Reino Unido y Rusia han sido especialmente afectados.
Europa, Asia y América han sido los principales damnificados por el ransomware; aunque también fueron infectados sistemas de otros continentes. Las cifras de ordenadores que han sido infectados con el malware se calculan hasta el momento en miles, y como siempre suele suceder con ciberataques de tal magnitud, es complicado conocer el número exacto.
No obstante, se manejan cifras superiores a los 75.000 terminales infectados en más de 100 países por el ransomware. Como si fuera poco, The New York Times publica:
“El ataque de ransomware es un tipo de malware que encripta datos y pide un rescate para liberar el sistema. Expertos en seguridad nacional, afirman que el virus fue descubierto y desarrollado por la Agencia de Seguridad Nacional de los Estados Unidos”.
Lo anterior prefiero ni comentarlo, porque huelga decir que sobran calificativos o adjetivos para para referirse a ello; quiero decir si fuera verdad que la NSA estaría implicada de forma indirecta al haber desarrollado el malware, aunque tampoco me extrañaría en lo más mínimo.
La noticia también se magnificó y difundió rápidamente puesto que grandes empresas de Europa fueron directamente perjudicadas por el virus; y desde internet pasó a los medios de comunicación masivos como los periódicos y la televisión.
El servicio de salud británico, y empresas de España muy importantes como Telefónica e Iberdrola fueron atacadas por el ransomware; y muchas empresas de diferentes países al igual que usuarios particulares se han visto afectados.
En Francia Renault cerró varias plantas de forma temporal. El Ministerio del Interior de Rusia confirmó que al menos el 1% de sus ordenadores fueron infectados, y también en dicho país el ransomware causó estragos en la empresa ferroviaria estatal; el Banco Central de Rusia confirmaba que varias entidades habían sido comprometidas, auqnue no perjudicadas por el virus.
En Estados Unidos Fedex comunicaba haerse visto afectada, y por otro lado uno de sus empleados publicaba en las redes sociales lo siguiente:
“Todos los sistemas se han visto afectados en el servidor principal de Memphis, se cayeron un montón de importantes cintas que usamos para mover la carga entre los centros pequeños y los aviones, así que mañana tenemos que ir al trabajo cuatro horas antes de lo normal para procesar los envíos que se han retrasado”.
En el mes de marzo el WannaCry, malware en el que se basa la arquitectura del ransomware, utilizó una vulnerabilidad de los sistemas operativos Windows (qué raro!), para infectar miles de ordenadores y terminales de varias empresas del mundo.
Microsoft rápidamente comenzó a publicar parches de seguridad para sus sistemas Windows; sin embargo, ello no evitó que el mundo empresarial fuera gravemente perjudicado por el virus.
El detalle más curioso, entre tantos que podemos ir descubriendo del ciberataque, es que el rescate para liberar los sistemas se exigía en Bitcoins. Poco raro porque todos sabemos que los Bitcoins, entre muchas aplicaciones y utilidades a nivel de las transacciones comerciales en internet, también se suele utilizar para fines nada legales.
Lo curioso es que precisamente cuando se produce el ciberataque, la cotización del Bitcoin se encontraba por las nubes; incluso estableciendo un récord histórico en su paridad con el dólar americano.
No creo en las casualidades y considero que las causalidades son las que explican muchos hechos. En cualquier caso, sería una coincidencia demasiado oportuna que la momento de pedir un rescate con Bitcoins, la moneda electrónica se encuentre en sus máximos históricos en relación con el dólar. Demasiado oportuno!
Por otro lado, las plataformas social media comenzaron a ser atacadas con el WannaCry desde el mes de febrero de 2017. Jakub Kroustek, experto en seguridad informática, y otros analistas reconocidos a nivel mundial en materia de ciberseguridad, confirmaron que se habían detectado más de 50.000 ciberataques con el WannaCry en las redes sociales.
Avast Antivirus, conocida empresa a nivel mundial en materia de programas de seguridad informáticos, detectó el primer ataque con el virus en el mes de febrero, y aseguran que encontraron el mensaje de rescate escrito en 28 idiomas.
Es decir, pasaron casi 3 meses desde los primeros ataques detectados, y las medidas tomadas parecen no haber sido muy efectivas que digamos; y a las pruebas me remito con los estragos causados por el ransomware en casi todo el planeta.
Cómo trabaja el ransomware.
Una vez que el ransomware se instala en el ordenador bloquea el acceso a los ficheros del sistema, y una nota de rescate notifica al usuario de que deberá pagar un cierta suma de dinero para poder acceder a los mismos.
Los archivos que pueden verse afectados son prácticamente todos, desde documentos de texto hasta imágenes, como también vídeos u otro tipo de recursos de los ordenadores (.doc/.odt/.mpeg /.dot /.java/.psd/.tiff /.txt/.docx /.xls /.pps, etc).
Ransomware tiene antecedentes!
Desde hace algún tiempo han surgido metodologías de ciberataque relativamente nuevas y muy peligrosas, como el TrojanDownLoad3.35539 (versión del CTB-Locker), que se propagan a través de mensajes de correo electrónico como archivos adjuntos en un archivo ZIP que contiene un archivo con la extensión SCR.
Si se abre el archivo, el programa infecta el disco duro con un extracto de un documento RTF que se muestra en la pantalla. Mientras tanto, el programa de cifrado de fondo se descarga desde un servidor bajo el control de los atacantes.
Una vez descomprimido y activado, el malware comienza a escanear los dispositivos de almacenamiento para buscar documentos personales del usuario, y se apodera de los datos sustituyendo las versiones originales por encriptadas.
Una vez que la misión del malware fue cumplida, el usuario recibe un mensaje exigiendo el pago del rescate.
Eusebio Nieva, director responsable de Check-Point para Portugal y España, explica que el ransomware es una metodología muy utilizada para atacar a las empresas. “Los hackers piden que el rescate se realice a través de un pago digital que no se pueda rastrear”, el Bitcoin, “y los ordenadores de las empresas pueden ser infectados a través de un simple correo electrónico”.
El experto en materia de seguridad informática además señala que existen otros métodos, como por ejemplo accediendo a la intranet de las empresas mediante la infección de ciertas páginas. Infectando las páginas de uso frecuente por parte de los empleados de las empresas, el virus puede infectar la intranet corporativa; y afirma: “Esa es la forma más rápida para una distribución masiva”.
El pago del rescate por el ransomware es sin garantías!
Pagar el rescate exigido por el mensaje que aparece en los ordenadores infectados con el ransomware no garantiza nada; y no significa que pagando lo exigido se puedan recuperar los ficheros cifrados por el virus.
Cómo prevenirse del ataque con ransomware.
En lo que coinciden prácticamente todos los expertos en ciberseguridad es que con tener un antivirus instalado no basta, y que el sistema de seguridad informática debe pasar a otro nivel de protección.
Por otro lado, si analizamos en la forma en que el ransomware trabaja, nos encontramos que las copias de seguridad terminan siendo no solución ante un eventual ciberataque; sin embargo, cuando menos respaldan los datos de los ordenadores.
Las copias de seguridad nos permiten reinstalar todos nuestros documentos, una vez limpiado a fondo el sistema de cualquier tipo de malware o virus, y si bien no es una barrera de defensa es una forma de tomar precauciones.
Las copias de seguridad son un sistema muy antiguo, y sin embargo terminan siendo la mejor forma de prevenir infecciones por malware o virus. Insisto, no de prevenir el ciberataque, sino de poder mantener la información y los datos a buen recaudo.
En tal sentido, realizar copias de seguridad regulares es algo muy importante; y no solo para las grandes empresas, para todos los usuarios. Se pueden realizar respaldos online, subiendo la información o una copia del sistema a una alojamiento en internet; como también hacer copias de seguridad en un disco duro externo.
El backup de los blogs o webs se realiza de forma automática, aunque también me agrada realizar con frecuencia mis propias copias de seguridad y tenerlas a buen recaudo. Todos los recursos disponibles son de utilidad para proteger nuestros documentos y nuestro trabajo; con lo cual considero que en tal sentido cualquier precaución es poca.
Quizás para muchos lo anterior no se relacione demasiado con el ransomware; sin embargo, todos los usuarios podemos vernos afectados por distintos tipos de ciberataques, y nuestros dispositivos pueden verse comprometidos (ordenadores, smartphones, tablets, etc).
Quienes se dedican al blogging profesional o trabajan como webmasters administrando sitios propios y de empresas, conocen muy bien la importancia de realizar regularmente copias de seguridad. Como también conocen de primera mano la necesidad de utilizar herramientas de seguridad que se sitúen por encima de los antivirus.
No obstante y aunque cualquier precaución es poca ante un eventual ciberataque, vulnerables pueden ser todos los sistemas. Los virus y el malware no distinguen entre empresas y personas particulares; los diseñan y ellos se propagan por internet casi de forma indiscriminada.
Algunas precauciones que también se pueden tomar son las siguientes:
- Evitar visitar sitios desconocidos o potencialmente peligrosos.
- No acceder a enlaces o archivos incluidos como adjuntos a un correo electrónico con origen incierto.
- No proporcionar información personal en foros públicos, chats y en las redes sociales.
- Activar el bloqueo de anuncios y utilizar filtros de spam.
- Vincular el antivirus con el navegador de internet para detectar sitios potencialmente peligrosos.
- Desactivar el soporte para la reproducción de flash (autorizar de forma manual).
- Estar atentos a engaños a través de la ingeniería social (método muy utilizado!).
Ransomware es ciberterrorismo.
Debido a las graves consecuencias que causó el ciberataque con ransomware, particularmente perjudicando seriamente a centros hospitalarios y empresas que ofrecen servicios de interés publico, muchos hablan de ciberterrorismo.
Una etiqueta nada exagerada, porque cuando los ciberataques se producen a escala mundial y afectan determinados servicios, particularmente los vinculados a la salud u otros similares en importancia para los ciudadanos, lo que se consigue es causar miedo.
Un miedo que incluso puede contagiarse como el mismo virus que infecta los ordenadores, y que no contempla nada a su paso.
Por otro lado, cuando un ciberataque llega a medios de comunicación masivos como la televisión y los periódicos, parece que se convierte en real para muchas personas; sobre todo para aquellas que no suelen navegar por internet.
Lamentablemente el ciberataque con ransomware no solamente afectó a las grandes empresas o a los intereses comerciales de las grandes multinacionales, infectó también a ordenadores de hospitales con lo que ello implica.
Leyendo los periódicos británicos uno encuentra la palabra cibercriminales por todas partes, y honestamente no considero que exageren. Cuando se produce un ciberataque que afecta a los hospitales y pone en riesgo las vidas de las personas no es ciberterrorismo, directamente es un acto criminal y punto.
No me interesa ser políticamente correcto, frase que detesto en todo su sentido, como tampoco ser contemplativo ante actos de tales características; las vidas puestas en riesgo por el ransomware es algo incomprensible.
No considero que ningún acto de ciberterorrismo o que cualquier ciberataque deba tomarse a la ligera, como tampoco ninguno debe ser justificado; y mucho menos cuando hablamos de vidas puestas en peligro.
No estamos ante daños empresariales o comerciales, aquí estamos frente otro nivel de ciberterrorismo; un ciberataque con ransomware que pudo causar victimas mortales, y eso es algo mucho más valioso que los euros, los dólares o los bitcoins.
Fuentes: nytimes.com | thetimes.co.uk | theguardian.com | telegraph.co.uk | elpais.com