Nota: este NO es un artículo técnico sino una explicación para
usuarios básicos de qué y cómo ha podido haber una infección de
malware tan extendida y con tanta repercusión mediática. Los artículos técnicos
que he consultado para ilustrarme están al final de la entrada (y
merece mucho la pena leerlos).
El pasado viernes, a eso de media mañana, el informático de la Sala
se acerca y me dice: “Echa un ojo a las noticias: hay una infección
“gorda” ahí fuera”; pero se quedó en eso, ya que la carga de
faena -y una feliz celebración a recién-papás lo impidieron.
Tres de la tarde, saliendo del trabajo y ya con cobertura la cuenta
de Twitter y, especialmente las de Telegram, estallaban a mensajes:
algo inusual estaba pasando. Vamos, como que decían que Telefónica,
Iberdrola y alguna otra empresa grande, incluso extranjeras, se
“habían caido” por un ataque informático. Las orejas tiesas
¡era algo grande de verdad!
El viaje de vuelta a casa en tren, aún a pesar de haber dormido muy
poco la noche anterior lo hice, contrariamente a mi costumbre,
totalmente despierto y conectado, viendo cómo bajaba alarmantemente
el niveĺ de la batería del móvil; pero no podía, no quería
desconectar… estaba enganchado al devenir de la infección que se
prometía mundial.
¿Qué pasó?
Que un ransomware ha sido capaz de infectar a decenas de
miles de ordenadores de Intranets profesionales encriptando sus
archivos y exigiendo un rescate en bitcoins. Esos ordenadores,
corriendo sistemas operativos Windows, son los mismos que podemos
tener en casa, así como en la oficina o en los hospitales,
controlando el tráfico ferroviario o las compuertas de una presa...
Los archivos que encripta son prácticamente todos, con la excepción
de los imprescindibles del sistema operativo para que el ordenador
siga funcionando, y algunos otros que no tienen datos valiosos para
nosotros. Vamos, que lo mismo te quedas sin información de
facturación como sin historial médico de tus pacientes ¡total ná!
Además, exige pagar una cantidad de 300$, que se dobla a 600$ en
tres días y borraría los archivos en una semana si no se hace el
pago. Ingeniería social pura y dura: sensación de urgencia (sube el
precio → borra archivos) para que hagas lo que te dicen (pagar).
Obviamente nadie ni nada garantiza que pagando tus datos vayan a
volver sanos y salvos.
Os suena ¿verdad? En todas las charlas de concienciación, bien sean
dentro del Plan Director o como cibercooperante, hablamos tanto de
este “virus de moda”, el ransomware, como de la IngenieríaSocial.
¿Cómo se ha cogido/extendido?
Pues eso es algo que aún no está claro y tendremos que esperar a
que los forenses informáticos hagan su trabajo, pero en principio
las fuentes de una infección como esta suelen ser dos:
- abrir adjuntos de correo o ir a páginas maliciosas,
principalmente, o
- un ataque indiscriminado por todo Internet buscando ordenadores sin
actualizar con una vulnerabilidad concreta y a ser posible
desconocida aún.
En principio se supone que ha sido esta segunda vía la que se ha
empleado, dado lo improbable de que miles y miles de personas en sus
puestos de trabajo abran casi simultáneamente el mismo correo
infectado. Y la vulnerabilidad que se ha explotado es, curiosamente,
una que se conoce desde hace tiempo y para la cual Microsoft ya había
lanzado el correspondiente parche de seguridad hace un par de meses:
una que afecta al puerto 445 sobre el protocolo SMB. En cristiano:
una funcionalidad que nos permite compartir carpetas e impresoras
dentro de una red local, que ha permitido infectar muchas máquinas
muy rápidamente.
Ahora, si has podido asistir a alguna charla de seguridad en las que
tanto insistimos en actualizar, fácilmente te estés preguntando
cómo es posible que se hayan infectado empresas tan grandes que
tienen personal cualificado para mantener los sistemas informáticos
¿no? Es una buena pregunta, ya que se ha hecho mucha leña de los
árboles caídos entendiendo como tales a los administradores de
sistemas y responsables de seguridad de esas empresas. Una de las
posibles explicaciones radica en lo difícil que es aplicar todas las
actualizaciones de todos los programas, cruciales muchos de ellos,
que tienen que coexistir en un ordenador de una gran empresa y cuya
interacción es lo suficientemente compleja como para que un mínimo
cambio se cargue el equipo. Lo se, lo sufro con mis usuarios, mis
lusers como diría @Tovver… y eso que no soy yo quien “hace”
los equipos. Por eso el ataque ha tenido tal éxito. A los usuarios
de a pie que dejan que Microsoft -su Windows- se actualice
automáticamente no les ha ocurrido… que se sepa.
Pero, para que os hagáis una idea de la gravedad de la situación os
diré que Microsoft ha lanzado un parche de seguridad ¡hasta para
Windows XP! Sí, ese sistema operativo que se supone debería estar
fuera de servicio desde abril del 2014 con el que aún hay muchas
máquinas funcionando, como TPV que están conectados a Internet para
que podamos hacer pagos vía tarjeta de crédito… Pero eso es otra
historia.
¿Cuándo se va a terminar?
No se sabe, ni se espera. Este ataque ha sido mitigado en gran parte
porque un investigador destripando el código del bicho han sido capaces de ver su
comportamiento y observaron una cosa curiosa: venía programado con
un “switch kill”, un botón de “apagado”. Os explico. Una vez
infectado un ordenador de la red interna de la empresa lanzaba una
petición a una página web, intentaba abrir una página web. Si no
obtenía respuesta de esa página (la contestación típica de “esa
página no existe”) se lanzaba a la búsqueda de otro ordenador en
la misma red al que infectar, y repetía la acción. La página web
era una de nombre impronunciable y que no existía, por lo que la
infección se iba propagando exponencialmente. Pero ese investigador
tuvo la brillante idea de, al ver que la página web no estaba
registrada ni dada de alta, gastarse unos diez dólares y registrar
el dominio, para redireccionarlo a un “sink hole” un servidor web
cuya función es la de capturar el tráfico malicioso para
examinarlo. Desde ese momento todos los ordenadores que se iban
infectando obtenían una respuesta de la página web con lo que el
bicho dejaba de buscar nuevos huéspedes. Simple ¿verdad? Pues eso
ha permitido detener la expansión… ¡de momento! Pero se espera
que continúe de alguna otra manera, impredecible, como los motivos
de su lanzamiento.
¿Podemos hacer algo?
Claro. Lo que no hemos hecho hasta ahora aunque nos lo han repetido
hasta la saciedad:
- actualizar el software que corre en los equipos, tanto sistema
operativo como aplicaciones (aunque lo sabes te lo repito: el
software pirateado NO se actualiza ergo es vulnerable). Si tienes
Windows 10 – ese sistema que Microsoft ofreció de modo gratuito
hasta hace unos meses - estás a salvo; pero cualquier otra versión
debe ser parcheada de inmediato.
- no hagas clic a lo loco en cualquier enlace, ni abras los adjuntos
de correos no confiables.
- ten herramientas de seguridad: antivirus, antimalware, cortafuegos
- haz copias de seguridad periódicamente y tenlas a salvo (no es
preciso llegar a tener dos o tres, incluso repartidas por ahí; basta
con una que no guardes conectada al ordenador)
- para nota: cierra los puertos y los servicios que no uses (invita a
una cervecita con tapa a tu “amigo informático”… si es que
puedes pillarle ahora)
Yo, de momento, sigo usando Linux como sistema operativo de
referencia en casa, por lo que estoy un poco más seguro. Eso sí,
actualizo y paso también un antivirus a mis equipos ¡no os vaya a
infectar a vosotros!
Un cordial saludo.
Otra nota: las páginas web que me han servido de fuente para este
laaargo post han sido, principalmente:
- la de quien cortó la expansión:
- la de uno de quienes lo destripó:
https://www.troyhunt.com/everything-you-need-to-know-about-the-wannacrypt-ransomware/
- la de otros que controlaron su movimiento por Internet:
http://blog.talosintelligence.com/2017/05/wannacry.html
- la de alguien que hace una disección detallada y casi comprensible
para un lego:
https://www.endgame.com/blog/wcrywanacry-ransomware-technical-analysis
- una de quien persigue a los malos sin descanso y te lo cuenta en
plan “peli de terror”:
- una de quienes nos ayudan a estar un poco más seguros:
https://blogs.protegerse.com/laboratorio/2017/05/13/wannacryptor-o-como-un-ransomware-puso-en-jaque-a-empresas-de-todo-el-mundo-en-pocas-horas/
- la del Maese, destripador de acaecidos eventos pasados:
https://www.informaticoforense.eu/mi-opinion-sobre-wanacrypt0r/
- una, oficial, de concienciación:
https://www.incibe.es/sala-prensa/notas-prensa/actualizacion-informativa-los-ciberataques-producidos
- otra, particular, de concienciación:
https://www.hijosdigitales.es/es/2017/05/mayor-ciberataque-secuestro-equipos-la-historia/
- la de los parches:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
- otra para deshabilitar puertos y servicios:
https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1,-smbv2,-and-smbv3-in-windows-vista,-windows-server-2008,-windows-7,-windows-server-2008-r2,-windows-8,-and-windows-server-2012
No hay comentarios:
Publicar un comentario