El mundo estuvo en vilo debido al ataque masivo de “ransomware”, una técnica de "cibersecuestro" de archivos y computadoras que afectó a organizaciones de todo el mundo y que, según informes y especialistas consultados por iProfesional, volverá a repetirse. 

En la Argentina hay un fuerte déficit en inversiones vinculadas con la seguridad, lo que pone a empresas y usuarios del país dentro de un grupo de riesgo, en caso de suceder un nuevo evento. 

Grupos de seguridad informática detectaron entre el fin de semana y este lunes nuevas "cepas" del virus WannaCry, que dejó bloqueadas a casi 230.000 computadoras en todo el mundo. Entre los que se vieron afectados figuran grandes empresas, como Telefónica y hasta el sistema sanitario público de Reino Unido.

Estos gusanos informáticos se aprovechan de ciertas vulnerabilidades en el sistema operativo Windows de Microsoft descubiertas y explotadas por la Agencia de Seguridad Nacional (NSA) estadounidense, con herramientas denominadas EternalBlue y DoublePulsar.

Estas dos piezas de software fueron filtradas al público por el grupo hacker ShadowBrokers el 14 de abril, y podrían haber sido utilizadas para distribuir software de diversa índole, no sólo como el ataque WannaCry que inmediatamente empezaba a cifrar los archivos.

Una vez dentro del sistema, los atacantes instalan un “rootkit”, que les permite descargar el software para cifrar los datos. El malware cifra los archivos. 

Una solicitud de entre u$s300 y u$s600 en Bitcoin se muestra junto a una billetera y la demanda de rescate aumenta con el tiempo.

A pesar de las contramedidas tomadas por los responsables de tecnología y seguridad a nivel global, se observó un constante incremento durante el fin de semana debido a que han surgido nuevas variantes del ataque que eluden dichas soluciones.

Temor en la Argentina

Desde la empresa de seguridad informática argentina BTR Consulting advirtieron que existen reportes informando que la aplicación del parche oficial provisto por Microsoft, no es garantía de que la infección no vaya a ocurrir. 

Un ejemplo de ello se ha informado para la versión Windows 2008 R1. La gravedad de la vulnerabilidad explotada ha tomado tal envergadura, que Microsoft optó por proveer parches para versiones no soportadas de su sistema operativo Microsoft Windows, entre ellas XP y 2003.

El siguiente video de la empresa de seguridad informática Eset explica qué se trata del ransomware:

Desde la empresa de seguridad informática Avast informaron a iProfesional que, en promedio, el año pasado los pedidos de rescate rondaban en un bitcoin (aproximadamente, u$s500 en ese momento). 

En la Argentina, de acuerdo con este proveedor, se vio un incremento de casos de ransomware de más de 200% entre 2015 y 2016, un número ligeramente por encima del promedio mundial del mismo periodo.

Los expertos aseguran que se trata de una práctica más común de lo que parece: en 2016 hubo, en promedio, 10 ataques de ransomware cada 15 minutos en el país. 

“Se ha convertido en un negocio rentable para los ciberdelincuentes”, afirmó Jakub Kroustek, que dirige el equipo del laboratorio de amenazas y es el cocreador de las herramientas de descifrado de ransomware de Avast. 

“Si podemos reducir la cantidad de rescates pagados, podremos hacer que el ransomware sea menos atractivo para los ciberdelincuentes”, afirmó.

Esta técnica se ha vuelto tan lucrativa que hasta se promociona y se vende en la llamada "red oscura", de modo que incluso los hackers con menos conocimientos técnicos pueden comprar, modificar y diseminar ransomware. 

Esto significa que todos los días aparecen versiones nuevas y un dispositivo se puede infectar con una variedad para la que no existe una herramienta de descifrado.

¿Guerra de egos?The Shadow Brokers, el grupo "hacker" que algunos pintan cercano a la inteligencia rusa y otros señalan como una escisión solitaria de la NSA, pero sin ningún tipo de identificación definitiva, fueron los encargados de copiar una docena de piezas de software provenientes de la propia Agencia Nacional de Seguridad estadounidense y difundirlas al público.

En un comunicado anónimo difundido el martes aseguran que tienen más en su haber, y que estarán a la venta para todo aquel que quiera pagar el precio adecuado por ellas.

En concreto, el grupo afirma que hará públicas herramientas para saltarse la seguridad de navegadores webs, routers, así como de Windows 10.

En este mercado hacker se encuentran datos relativos a las redes de intercambio de banca internacional, y de las redes internas de seguridad de Rusia, China, Irán o de los programas nucleares norcoreanos.

Escrito en un inglés lleno de faltas de ortografía, que algunos expertos califican de simple distracción en busca de camuflar sus orígenes, mientras que otros lo tachan de un simple y retorcido sentido del humor. Las primeras piezas de software llegarán en junio. Y a partir de ahí, en un goteo mensual.

El grupo vuelve a recordar, como en su media docena de comunicados anteriores, que su guerra es con The Equation Group, un grupo hacker etiquetado como amenaza avanzada persistente (APT por sus siglas en inglés) de momento sin identificar, aunque la comunidad internacional de seguridad generalmente da por hecho de que están englobados dentro de la NSA.

La guerra entre The Shadow Brokers y The Equation Group es una de ataque y contraataque constante, una lucha que es tanto de egos como de superioridad técnica.

Mucho ruido, pocos dólaresMás de 300.000 computadoras en 150 países resultaron infectadas desde el viernes por el ciberataque global, pero sus responsables recaudaron menos de u$s70.000 dólares con su chantaje a los afectados por el virus para que pagaran por recuperar sus datos, informó el Gobierno de EEUU.

Ninguno de los sistemas del Gobierno estadounidense resultó hasta ahora afectados por el virus global, según aseguró a los periodistas el asesor de seguridad nacional del presidente Donald Trump, Tom Bossert, quien insistió en que Estados Unidos “no fabricó” el virus, como ha sugerido Rusia.

Pese al ánimo lucrativo de los responsables del virus, “parece que se han pagado menos de 70.000 dólares en rescates”, y que quienes han hecho esos pagos no han logrado “recuperar ninguno de sus datos”, aseguró Bossert.

La consultora EY envió a este medio los resultados de su 19° encuesta anual de seguridad informática, Global Information Security Survey (GISS), que contó con la participación de más de 1.700 ejecutivos de 67 países, de las cuales alrededor de 100 pertenecen a compañías argentinas. 

Se realizó entre organizaciones de sectores como servicios financieros y bancos, seguros, consumo masivo, telecomunicaciones, retail y la mayoría de los consultados fueron CIO, CISO y otros ejecutivos del área de tecnología de la información.

Según el informe de EY:

* El 34% de los encuestados menciona que tiene poca probabilidad de detectar un ataque sofisticado a tiempo.

* El 57% afirma que tuvo un incidente significativo recientemente.

* El 49% señala que no está capacitado para identificar tráfico sospechoso en sus redes.

* El 44% no tiene forma de rastrear quién tiene acceso a sus datos.

* El 40% no puede identificar ataques ocultos y desconocidos.

* El 89% de las organizaciones no evalúa el impacto a nivel financiero de cada intrusión significativa.

* El 87% de los miembros del directorio no confía en el nivel de seguridad cibernética de sus empresas.

* Más del 50% sostiene que la fuga o pérdida de información es una de las principales preocupaciones, junto con la recuperación ante un desastre. También figuran Redes sociales, operaciones de seguridad (antivirus, encriptación), dispositivos móviles, Internet de las cosas, “cloud computing”. 

En relación con las amenazas que incrementaron el riesgo, los empresarios destacan al malware (ransomware), es decir, ataques para robar información financiera y datos.  

“Los ciberatacantes modifican sus tácticas, aumentan su persistencia y expanden sus capacidades, provocando la evolución continua de las amenazas informáticas. Buscan nuevas y mejores formas de tomar ventaja de la rápida expansión de la digitalización y la híper conectividad. Las organizaciones no tienen más remedio que operar en este entorno cambiante”, afirmó Cynthia Martínez, socia de IT Risk de EY Argentina. 

Un dato que llamó la atención acerca de la inversión en seguridad fue que el 62% no la aumentaría aun después de experimentar una intrusión que pareciera no haber causado daño. En tanto que el 68% que tampoco la harían, incluso si saben que uno de sus proveedores fue atacado y es una ruta directa a la organización. 

Si bien el 53% afirma que sus presupuestos aumentaron en los últimos 12 meses, el 86% dice que necesitan hasta un 50% más de inversión en ciberseguridad.

“Muchas empresas están utilizando inteligencia cibernética para predecir los nuevos ataques, instalando mecanismos de supervisión continua como Centros de Operación de Seguridad (SOC por su sigla en inglés). Sin embargo, la mayoría de las firmas no cuentan con un SOC, ni con un programa de inteligencia de amenazas”, agregó la socia de EY Argentina.

“Las compañías que potencialmente pueden ser víctimas de un ataque, o los que ya lo sufrieron, deberán diseñar e implementar una estrategia dinámica sobre las amenazas cibernéticas; definir y delimitar el sistema de seguridad de la organización; adoptar un enfoque orientado a la economía cibernética (conocer los activos cibernéticos fundamentales y su valor para los criminales); utilizar técnicas de análisis avanzado de tráfico de red para conocer de dónde provienen las amenazas", enumeró Nicolás Ramos, director ejecutivo de ciberseguridad de EY Argentina. 

"Finalmente, deberán asegurar que todos comprendan qué sucede o puede suceder”, agregó. 

Otra encuesta a la que accedió iProfesional fue realizada por la consultora Accenture, la cual concluyó que, en los últimos doce meses, uno de cada tres ataques se debe a temas de seguridad en las empresas, lo cual equivale a entre dos y tres eventos efectivos al mes. 

A pesar de esto, la mayoría de los ejecutivos encuestados (75%) confía en su habilidad para proteger a su compañía de potenciales virus. 

El sondeo revela que el tiempo que les toma a las firmas conocer estas violaciones de seguridad, agrava el problema, ya que más de la mitad de los ejecutivos consultados (51%) señala que les lleva meses descubrir ataques sofisticados de seguridad.

Para agravar el panorama, más de un tercio de las intrusiones exitosas no son detectadas.

Déficit en seguridadClaudio Pasik, director de NextVision, informó a iProfesional que “desde que ocurrió el primer ataque se han tomado medidas a través de barreras preventivas en la mayoría de las empresas argentinas, pero dichas medidas no son suficientes y la gran mayoría de las computadoras y servidores siguen estando en riesgo”.

“Es importante destacar que la amenaza aún no terminó”, advirtió Pasik, quien señaló que durante este fin de semana “se detectaron alrededor de 15 variantes de WannaCry". 

"Los fabricantes de seguridad están trabajando contrarreloj para hacer las nuevas actualizaciones”, acotó.  

“Evaluar los daños de lo que hasta ahora causó este malware y lo que puede suceder en los próximos días va a llevar meses”, afirmó Pasik, quien reconoció que “como lección, es una realidad que en términos de ciberdefensa, somos hijos del rigor”. 

“Tanto las empresas globales como especialmente las argentinas, no invierten en seguridad hasta que no ocurren estos eventos”, dijo en ese sentido el director de NextVision. 

“Paradójicamente, un arma poderosa para minimizar los riesgos no es tecnológica. La concientización, o educación al usuario, sobre la ciberseguridad es necesaria en toda la base de la pirámide organizacional: desde las cabezas de compañía que no ven el valor económico de dar presupuestos pertinentes a los CIO y CISO, hasta los usuarios finales que con un simple clic o descargando un archivo no seguro, pueden desencadenar estas catástrofes”, afirmó Pasik.

“Debido a la falta de inversión de las empresas de nuestra región, podemos decir que si este ataque hubiera dado inicio en Sudamérica, las consecuencias seguramente hubiesen sido mucho peores”, estimó.

Maximiliano Bendinelli, perito informático forense y socio del Estudio CySI, recordó ante iProfesional que existe un gran número de sistemas operativos Windows que no están actualizados.

“Esto quiere decir que va a propagarse siempre y cuando los sistemas en Internet sigan estando desactualizados, ya que este ransomware se propaga por una vulnerabilidad de los sistemas operativos Windows que fue descubierta o `parcheada` recién en marzo de este año y hay muchos sistemas que todavía no lo están", advirtió.

ConsejosPasik, de NextVision, compartió una conferencia web en el que se explican las características y formas de prevenir el ransomware:

Para empresas, NextVision elaboró este documento sobre buenas prácticas para prevenir el ransomware. 

En tanto, Bendinelli afirmó que “los riesgos de los secuestros virtuales son altísimos, desde el momento que utilizamos los dispositivos tecnológicos sin tomar los recaudos necesarios”.

El experto recomendó los siguientes consejos para empresas y usuarios finales:

-Lo primero a tener en cuenta es ser conscientes del uso que se hace de Internet, de todo aquello que habilita así como también de los riesgos a los que un usuario se expone. 

-Contar con una conexión segura y tratar de evitar las redes inalámbricas públicas, dado que cualquiera puede acceder a los datos si la conexión no se encuentra encriptada. 

-Para las redes domésticas, se sugiere cambiar la contraseña suministrada por defecto y utilizar una compuesta por la combinación de letras y números, así como modificarla cada tanto. También, se recomienda cambiar el nombre de la red Wi-Fi.

-También, es importante usar contraseñas diferentes, evitar dejar las sesiones abiertas y tener un backup offline. Además, no dar acceso a los dispositivos, y no intercambiar fotos ni contactos.

-Conectarse a sitios seguros. Estos son aquellos que comienzan con el protocolo de cifrado "https://" o bien que cuenten con el ícono de un candado, presente en la mayoría de los exploradores, que confirma que la página es real. 

-Ante la duda, hacer clic en el candado y verificar que el certificado sea confiable (para esto decir para quién y por quién fue emitido y la fecha de validez del mismo).

-Contar con un antivirus actualizado, tanto en los dispositivos móviles como en portátiles y computadoras de escritorio. 

-Mantener el dispositivo actualizado, ya que continuamente aparecen nuevas vulnerabilidades que pueden poner el jaque los sistemas operativos. Probablemente, las nuevas versiones incluyan una protección adicional o colabore a mejorar la seguridad.

Desde BTR Consulting sumaron estos consejos:

* Verificar que todos los servidores expuestos a Internet no poseen los puertos 139 y 445 publicados.

* Aplicar el parche provisto por Microsoft en su boletín MS17-010, disponible aquí.

* Para versiones de Microsoft Windows ya no soportadas, obtener el parche correspondiente publicado por Microsoft.

* Si no se cuenta con una solución antivirus que posea actualización para el ransomware, se recomienda implementar la herramienta provista por CCN-CERT aquí.