La soluci¨®n al ciberataque que no fue atendida

Numerosas organizaciones, incluyendo la operadora Telef¨®nica y los hospitales de Reino Unido, han ca¨ªdo v¨ªctimas de un ataque masivo de ransomware, un tipo de c¨®digo malicioso que cifra los ficheros del ordenador a modo de reh¨¦n para solicitar un rescate econ¨®mico. El pago de este rescate, que se debe hacer en bitcoins, una criptomoneda que evita los rastros bancarios, no garantiza el descifrado de los archivos.?

"De momento, hemos detectado m¨¢s de 45.000 ataques en 74 pa¨ªses repartidos por todo el mundo. Y sigue extendi¨¦ndose r¨¢pidamente", dijo Costin Raiu, director del equipo de an¨¢lisis e investigaci¨®n de Kaspersky Lab, una compa?¨ªa multinacional especializada en seguridad inform¨¢tica. La empresa de seguridad inform¨¢tica Avast eleva la cifra de pa¨ªses afectados por el ciberataque a 99.?

Ciberataque global: ¨²ltimas noticias

EL PA?S ha recopilado una serie de art¨ªculos que explican el desarrollo y las consecuencias del ataque inform¨¢tico.

Los secuestros inform¨¢ticos no son pr¨¢cticas desconocidas para los expertos de seguridad. Pero este ataque se propaga como el fuego en verano por no adoptar medidas b¨¢sicas de seguridad. Este ataque consta de dos partes, tal y como han concluido varios expertos en seguridad: un gusano inform¨¢tico que extiende la infecci¨®n a los equipos de la misma red desactualizados y el c¨®digo Wanna Cry que secuestra los ficheros de la m¨¢quina infectada. El agujero de seguridad en el protocolo de red de las versiones de Windows afectadas fue empleado por la Agencia de Seguridad Nacional estadounidense (NSA) para obtener informaci¨®n, seg¨²n filtr¨® el grupo Shadow Brokers. Su funcionamiento se hizo p¨²blico, y este viernes el mundo ha comprobado el resultado.?

Edward Snowden se hizo eco de la noticia: "Si la NSA hubiese comunicado el fallo de seguridad de forma privada cuando lo encontraron, y no cuando lo perdieron en la filtraci¨®n, esto podr¨ªa no haber pasado".?

Microsoft envi¨® un parche de seguridad "cr¨ªtico" el 14 de marzo. Pero las organizaciones afectadas no lo hab¨ªan aplicado todav¨ªa. Casi dos meses desde el lanzamiento del parche hasta la infecci¨®n por el virus que sigue propag¨¢ndose por Europa, Rusia o Estados Unidos.?

Los expertos en seguridad descartan que haya sido un ataque dise?ado y desarrollado por y para comprometer los equipos de Telef¨®nica o el Sistema Nacional de Salud de Reino Unido. "No creo que los cibercriminales detr¨¢s de Wanna Cry hayan establecido a los hospitales como objetivo", dice Matthew Hickey, cofundador de Hacker House, una compa?¨ªa especializada en ofrecer soluciones de seguridad inform¨¢tica, a EL PA?S. "Son v¨ªctimas del ransomware porque no instalaron los parches en una franja de tiempo razonable".?

La peligrosidad del virus radica en su capacidad de propagaci¨®n. Basta con que una m¨¢quina infectada entre en la red para infectar a las dem¨¢s. Los expertos consultados por este peri¨®dico concuerdan en que es uno de los mayores ataques gusano que se recuerdan de los ¨²ltimos a?os y que sirve para recalcar, por en¨¦sima vez, lo descuidadas que son las empresas con la seguridad de sus equipos y redes.?

"Wanna Cry no es el gusano inform¨¢tico", ha concluido Hickey tras su an¨¢lisis independiente del ejecutable. "El ransomware se propaga a trav¨¦s de un c¨®digo que explota la vulnerabilidad MS17-010". El experto dice que el gusano se puede usar para inyectar otro tipo de c¨®digo malicioso y alerta de que est¨¢ programado para que sea sencillo hacerlo.?

Se conoce c¨®mo se propaga el virus a trav¨¦s de la vulnerabilidad corregida (MS17-010), pero los expertos todav¨ªa desconocen el foco de la infecci¨®n. Vicente D¨ªaz, investigador de seguridad en Kaspersky, cree que un archivo adjunto en un email podr¨ªa ser una de las puertas de entrada del ransomware. "Desconocemos todav¨ªa c¨®mo logran infectar la primera m¨¢quina al cien por cien, pero creo que Telef¨®nica ha adoptado medidas muy dr¨¢sticas que han ayudado a que se cree un estado de p¨¢nico general en todas las empresas espa?olas", dice. "Nos hab¨ªamos olvidado de estos ataques gusano y creo que su propagaci¨®n estar¨¢ sorprendiendo incluso a sus creadores".?

EL PA?S se puso el viernes en contacto con Telef¨®nica para averiguar por qu¨¦ no hab¨ªa actualizado el parche habilitado por Microsoft, pero la empresa no dio explicaciones. Unas horas despu¨¦s, a primera hora del s¨¢bado, el responsable de Big Data e Innovaci¨®n de Telef¨®nica, Chema Alonso, aclar¨® a trav¨¦s de su blog que el virus se ha distribuido a trav¨¦s de emails enviados de forma masiva. "En algunos segmentos internos de algunas redes, el software en los equipos necesita ser probado previamente y el proceso de verificaci¨®n y prueba de los parches no es tan r¨¢pido como en los externos porque el volumen de software suele ser mucho mayor y de mayor sensibilidad para la continuidad del negocio", explica Alonso sobre por el motivo por el que Telef¨®nica no actualiz¨® sus m¨¢quinas a tiempo. "La realidad es que en redes de empresas como la de Telef¨®nica no se puede arriesgar la continuidad de negocio de un sistema que da servicio a los clientes por un problema con un parche, as¨ª que se invierte m¨¢s en responder ante un posible riesgo de que sea explotado con medidas de detecci¨®n y respuesta, en lugar de arriesgarse a que algo falle en la prevenci¨®n r¨¢pida¡±.

Este tipo de cr¨ªmenes inform¨¢ticos ir¨¢ en aumento, ya que "es un ataque de bajo riesgo y gran rentabilidad", se?ala Hickey. M¨¢s a¨²n con el auge del Internet de las Cosas, cuyos equipos son mucho m¨¢s f¨¢ciles de comprometer, ya que ni las empresas los tienen en cuenta ni se actualizan a tiempo. El pasado octubre, los servicios de las grandes webs se cayeron ante un ataque de denegaci¨®n de servicio masivo perpetrado por un ej¨¦rcito de c¨¢maras IP. "Hoy ha pasado con la red de Telef¨®nica. En un futuro pueden ser los sem¨¢foros de una ciudad y poner en riesgo muchas vidas", se?ala D¨ªaz.

Hospitales y empresas en manos de cibercriminales

M¨¢s informaci¨®n

Un dominio de 10 euros, el freno inesperado al ciberataque en EE UU

?Por qu¨¦ se piden rescates en bitcoins en los ciberataques?

El secuestro de los hospitales de Reino Unido sorprende por la gravedad de sus posibles consecuencias, no por la seguridad de sus sistemas. Sus equipos son m¨¢quinas con el sistema operativo Windows XP, una versi¨®n que fue publicada hace m¨¢s de 15 a?os y que no recibe ni las actualizaciones m¨¢s b¨¢sicas de seguridad.?

"Se ha ca¨ªdo todo. No hay resultados de an¨¢lisis de sangre, ni radiograf¨ªas, ni sangre de un grupo sangu¨ªneo espec¨ªfico", escribi¨® este viernes un doctor de uno de los hospitales afectados en Londres. "No podemos realizar ning¨²n tratamiento que no sea cuesti¨®n de vida o muerte. Va a morir gente por esto".?

Personal sanitario de varios hospitales de Espa?a confirmaron a EL PA?S que se ha trabajado con normalidad. La mayor¨ªa no ten¨ªa conocimiento del ataque hasta ser consultados. ¡°Hemos trabajado con normalidad y no se nos ha alertado de ning¨²n posible peligro al hacer uso de los equipos inform¨¢ticos¡±, dice Jos¨¦ Manuel Olmos, gastroenter¨®logo en el Hospital Universitario Marqu¨¦s de Valdecilla, en Santander. ¡°Los datos de nuestros pacientes tambi¨¦n est¨¢n digitalizados, pero nuestros ordenadores funcionan con Windows 7¡±.?

"El equipo inform¨¢tico nos avis¨® de que trabajaron esta tarde en la instalaci¨®n del parche para evitar la infecci¨®n. No tengo conocimiento de ning¨²n incidente m¨¢s all¨¢ de los que surgen d¨ªa a d¨ªa", dice un empleado del Hospital Cl¨ªnico de Salamanca a este peri¨®dico.

Microsoft hizo los deberes al publicar pronto el parche de seguridad que solventaba la vulnerabilidad en su protocolo para compartir en red. El culpable nunca es la v¨ªctima, pero no puede obviarse el poco cuidado que ponen las empresas y organizaciones que tratan con informaci¨®n muy importante en sus sistemas de seguridad inform¨¢tica.?

"Incluso las organizaciones con grandes presupuestos en seguridad como Telef¨®nica pueden fallar en cosas b¨¢sicas como actualizar frecuentemente sus equipos", dice Scott Helme, un consultor de seguridad inform¨¢tica independiente. "Aplicar una actualizaci¨®n en decenas de miles de equipos puede llevar tiempo porque hay muchos factores a tener en cuenta. Pero el parche se public¨® en marzo".?

"Las empresas no suelen actualizar porque consideran que el riesgo es mayor que actualizar de forma lenta y solo atendiendo a los parches cr¨ªticos", dice Eduardo Guti¨¦rrez de Oliveira, jefe de soporte en tecnolog¨ªas de la informaci¨®n y negocios de la compa?¨ªa financiera DLL. "Se mienten a s¨ª mismas. Si la infraestructura es buena y se comprende que no se controla cu¨¢ndo se actualizan los equipos ni se pone en riesgo los archivos importantes, ya que tienen que estar en la carpeta que hace copia de seguridad, esto no es un problema".?

Pero para poder tener una red de equipos actualizada regularmente se requiere de una implementaci¨®n previa bien pensada y bien desarrollada. A menudo, costosa. "Para hacerlo bien tienes que tener todo bien montado, y esto es imposible cuando por un lado contratas de forma externa lo m¨¢s barato posible y por el otro adoptas software caro de mantener actualizado", subraya Guti¨¦rrez.?

"Uno puede culpar al usuario por utilizar software desactualizado o a las empresas por no invertir lo suficiente en seguridad, pero eso no va a cambiar", dice Benedict Evans, analista del fondo de capital de riesgo Andreessen Horowitz. "Es mejor adoptar modelos m¨¢s seguros como iOS y Chrome OS y mover todo a la nube. De esta forma se solucionan los problemas de ra¨ªz, ya que se eliminan de la ecuaci¨®n los quebraderos de cabeza al actualizar".