Por: Julio Sánchez Onofre
El mundo entero ha caído en estar rastreando los ataques de tipo APT, ataques dirigidos lanzados por las agencias gubernamentales y el crimen cibernético ha dejado de ser relevante.
Tras la rápida propagación mundial del virus WannaCry, se generó un llamado urgente para parchar estas vulnerabilidades y actualizar los sistemas pues las infecciones se realizaron en equipos que no tenían instaladas estas nuevas correcciones de seguridad. WannaCry se aprovecha de la vulnerabilidad MS17-010 dentro de los sistemas Windows, que puede infectar al resto de sistemas que no estén debidamente actualizados y puede llegar a comprometer a toda la red corporativa.
La solución, en apariencia, parece fácil pero un parche no va a resolver una realidad: existe un mundo plagado de amenazas informáticas, y tanto empresas, organizaciones y usuarios han fracasado en enfrentar estas amenazas.
Expertos consultados por El Economistareconocen que la falta de actualización de los sistemas es el factor central que explica la razón por la que, en tan sólo tres días, el virus llegó a afectar más de 200,000 sistemas de más de 150 países. La pregunta inevitable es: ¿por qué las empresas no actualizaron sus sistemas?
Dmitry Bestuzhev, director del Equipo de Investigación y Análisis de Kaspersky Lab para América Latina, apunta a una negligencia por parte de las empresas e instituciones en sus mecanismos de protección en ciberseguridad.
“El administrador ha tenido cuatro semanas de trabajo, 20 días laborales en los cuales pudo haber instalado estas actualizaciones; sin embargo, mucha gente no sólo en México sino en otros países del mundo no lo ha hecho. Las razones pueden ser desde negligencia profesional a que un parche instalado pueda dañar una red. El resultado es lo que estamos viendo hoy”, dijo en entrevista.
Pero instalar parches, en muchas ocasiones, no es una tarea sencilla. Juan Pablo Castro, director de Innovación de Trend Micro, asegura que el poner parches en puntos críticos de la infraestructura informática de las empresas puede tardar entre 30 hasta 120 días. Carlos Ayala, consultor de Seguridad Informática para Arbor Networks Latinoamérica ofrece un dato más desalentador: para sectores como el financiero, que son el sector que más ataques reciben al menos en México, pueden tardar de 4 a 6 meses en instalar parches y actualizaciones de seguridad.
“El no tener un proceso de administración de parches, que en 48 horas puedas parchar sistemas y aplicaciones, corres este tipo de riesgos. ¿Por qué no parchan? Porque a lo mejor tienen sistemas críticos para la operación y no pueden hacerlo. Hay ciertos sectores como el financiero que en Recursos Humanos tienen una imagen en particular y aplicaciones críticas de negocio tienen otro sistema operativo propiamente entonces tienen muchísimas imágenes que tienes que probar, y probar que todas las aplicaciones de negocio corran (con los parches) entonces es complicada la administración de parches. A lo mejor hay aplicaciones de negocio que no corren con ese parche”, comentó Ayala.
El problema de los parches y las actualizaciones no es nuevo. Tanto Castro, de Trend Micro, como Ayala, de Arbor Networks, han detectado infecciones en sus clientes que se derivan de vulneraciones detectadas desde el 2008 que no fueron parchadas.
Si bien los expertos han logrado contener en cierta medida la propagación de WannaCry, el ataque está lejos de ver su final. Nuevas versiones del ransomware aunado a la lentitud en la actualización de los sistemas lleva a pensar que las infecciones continuarán.
“Las organizaciones de todo el mundo deben comprender los elementos de estos ataques y estar preparadas para ataques de imitación que presentan nuevas particularidades. Mientras que el ransomware ha sido la táctica elegida para obtener un rédito económico, en el futuro los delincuentes podrían optar por nuevas tácticas y estratagemas. Por ejemplo, podrían usar el esquema de ataque “uno a muchos” a través de la vulnerabilidad de Microsoft para robar información personalmente identificable o incrustar Troyanos de Acceso Remoto”, explicó Elida Godínez, directora IBM Security México.
El llamado que hace la experta es volver a los principios básicos de seguridad para reducir la exposición a las amenazas que crecen diariamente: “Sigue dependiendo de que los usuarios hagan y ejecuten un plan de acción que tome en cuenta: vigilar el correo, plan de recuperación de los datos, deshabilitar Macros y hacer la actualización del software en todos los dispositivos, incluyendo sistema operativo y aplicaciones. Este tipo de ataques, cada vez más magnificados, serán más comunes a medida que las empresas no tomen en serio los principios básicos de seguridad”.
Everything you need to know about #wannacry and how to protect yourself https://t.co/yFoKWwxYEv pic.twitter.com/ETcyZWd5a9
— Kaspersky Lab (@kaspersky) May 14, 2017
Pero aún si llega el escenario en que la amenaza de WannaCry sea contenida por completo a través de la instalación del parche a la vulnerabilidad MS17-010, muchas otras surgirán, quizás de manera silenciosa, pero con gran magnitud debido a la divulgación de las herramientas de hackeo utilizadas por la Agencia de Seguridad Nacional (NSA) de Estados Unidos y filtradas por TheShadowBrokers.
Juan Pablo Castro reconoce que muchas de las amenazas ya han sido parchadas, pero no han sido instaladas: “De todo lo que publicó TheShadowBrokers, ¿de cuántas vulnerabilidades estoy protegido? Podría nombrar la cantidad de vulnerabilidades que vemos no sólo contra sistemas Windows sino con sistemas Linux. Eso es lo que debemos ver hoy en día: no podemos minimizarlo a un sólo parche de ransomware, es algo mucho más grande”.
De esto no se salvan ni empresas ni gobiernos. El ataque de WannaCry aprovechó una vulnerabilidad ya parchada por Microsoft que no tuvo demasiada complejidad. Aun así, la magnitud no tuvo precedentes. Tan sólo México se convirtió en el cuarto país más afectado por este ransomware a nivel mundial, y el primero en América Latina, de acuerdo Kaspersky Lab con datos actualizados la noche del lunes.
“Ni siquiera se la estamos poniendo difícil a los atacantes. No estamos combatiendo defensivamente de manera exitosa porque ni siquiera lo más básico estamos aplicando en nuestras organizaciones”, insistió Ayala, de Arbor Networks.
Este ataque mundial de gran escala llega en un momento donde el gobierno mexicano se encuentra en el camino de definir su política de seguridad informática, llamada Estrategia de Ciberseguridad Nacional, con apoyo de la Organización de los Estados Americanos (OEA).
Castro, de Trend Micro, quien ha colaborado además con la OEA, considera que es de vital importancia que el tema de ciberseguridad se coloque como la prioridad nacional.
“Este es el momento en que se tiene que establecer como prioridad nacional y tenemos que dedicarle a esto. Este tipo de incidentes lo que dicen es que tenemos que darle a esta iniciativa, prioridad uno; tenemos que asignarle todos los recursos a esta iniciativa porque si no tendremos un incidente más grande. El impacto más grave han sido los hospitales, pero a nivel global no se ha afectado a ninguna infraestructura crítica, ninguna institución de seguridad nacional, o ninguna institución de gobierno crítica”, señaló Castro.
Y los expertos de ciberseguridad de las empresas también han aprendido una lección. En momentos donde los ataques dirigidos y creados por Estados, aquéllas enfocadas al espionaje o a blancos específicos a través de Amenazas Persistentes Avanzadas (APT, por su sigla en inglés) han acaparado las agendas de investigación, también se debe mantener atención al cibercrimen y su evolución.
“El crimen cibernético no es algo que se deba subestimar. El mundo entero ha caído en estar rastreando los ataques de tipo APT, ataques dirigidos lanzados por las agencias gubernamentales y el crimen cibernético ha dejado de ser relevante.Un impacto de este tipo nos muestra que el crimen cibernético está aquí y debe verse de una forma diferente. Hay muchas especulaciones sobre una ciberguerra, pero un ataque con el fin 100% financiero ha doblado las rodillas de muchas compañías a nivel mundial y ha demostrado que no están listas. Se tiene que trabajar sin descuidar estas partes”, comentó Bestuzhev, de Kaspersky Lab.
WannaCry no es el inicio ni el final de la ciberseguridad, pero reveló una cruda realidad: el subestimar las amenazas cibernéticas y dejar abiertas las puertas a los peligros informáticos tarde o temprano cobrará factura. Hoy fue el secuestro de información de cientos de miles de ordenadores, pero mañana podría ser el colapso de sistemas críticos que deriven en una emergencia nacional.
Vía: El Economista