“WANNA CRY” y el porqué no debo llorar aún

Carlos Castañeda

Este ataque informático que afectó a decenas de países destapó las grandes vulnerabilidades de la ciberseguridad en las organizaciones


El ataque masivo del ransomware “Wanna Cry”, expone el nivel de riesgo mundial al que países, empresas, organismos públicos y personas del común son vulnerables a un secuestro o robo de información. La evolución y sofisticación que han alcanzado estas tecnologías muestran acciones cada vez más hostiles y que se propagan a mayor velocidad. Este tipo de ataques han generado gran preocupación que han llevado a que muchos de los gobiernos tomen este asunto como una prioridad y comiencen a desarrollar estrategias y mecanismos de defensa contra los ataques cibernéticos.
Quienes trabajan en ciberseguridad saben que acuñar la frase “cero incidentes de seguridad” en una red es algo imposible de alcanzar y lo que realmente buscan los responsables de seguridad es poder minimizar al máximo los riesgos que se pudiesen suceder, es decir reducir la probabilidad de materialización de una amenaza y en el caso que inevitablemente ocurra, éstas generen el menor impacto posible y que la vuelta al servicio sea hecha en un tiempo razonable y que el impacto económico y de reputación no se vean grandemente afectados.
Los ransomware tienen como objetivo principal restringir el acceso a la información cifrando los ficheros de los equipos infectados pidiendo a cambio un pago para que la información sea liberada. El mecanismo de distribución del ataque “Wanna Cry” se materializa a través de correos que invitaban a descargar un documento que era el distractor para que el malware se instalara en la máquina. Desde la máquina infectada se iniciaba el intento de movimiento lateral dentro de la red en busca de equipos Windows vulnerables a MS17-10 para infectar ese equipo y continuar la infección.

Exposición de fallos en la seguridad
Aunque ha habido un gran despliegue en los diferentes medios de comunicaciones mundiales, “Wanna Cry” no ha conseguido un impacto tan alto en términos de recolección de dinero (número de equipos infectados vs. dinero recibido), pero si ha demostrado que el movimiento lateral, que es el salto entre máquina a máquina producida por la vulnerabilidad de los sistemas Windows es el problema real. El ataque ha dejado expuesto que hay algo que las organizaciones y empresas no están haciendo del todo bien. Es momento de repensar las arquitecturas de red y hacerlas más orientadas a la seguridad, crear microsegmentos que acoten los saltos entre equipos de la red LAN como lo hizo “Wanna Cry” y muy importarte ocultar la información de los datos en movimiento usando mecanismos de cifrado; estos conjuntos de acciones pueden reducir la propagación tan voraz del ataque, y romper la “cadena de muerte”, que son los diferentes pasos que sigue un atacante para lograr su objetivo.
¿Qué ha pasado con el análisis de intentos de inicio de sesión fallidos o el aumento inusual del tráfico de la red producido por un determinado PC o servidor? La utilización extraña de CPU o la ejecución de procesos desconocidos son pistas de que algo puede estar sucediendo. Herramientas con elementos de inteligencia artificial o machine learning son los requeridos para los desafíos actuales pues permiten aprender los comportamientos normales y los anómalos dentro de las redes.
Para mejorar la ciberdefensa, también es necesario usar herramientas que ofrezcan a los expertos de seguridad, mecanismos de automatización para detectar ataques desconocidos y evitar que sus organizaciones queden a merced de los malos. Los analistas de seguridad poseen un gran talento analítico, pero la cantidad de información que reciben pueden conllevar a falsos positivos y desconocer que algo está sucediendo.
Las empresas deben, por supuesto, tener cuidado de depender de un único proveedor para lograr proteger su infraestructura, deben buscar interoperabilidad de las soluciones para que funcionen bien conjuntamente y aporten información con una visión holística del riesgo.
Es importante tener en cuenta y es entender que la seguridad informática no es un conjunto de artefactos conectados entre sí, sino elementos que responden a una estrategia, la cual define cómo evitar la tan temida cadena de muerte del ataque. El estado de madurez de cada organización se materializa en este plan. El proceso de fortificación de una empresa exige poner todas las medidas de seguridad que sea posible siempre que una no afecte a otra y exige balancear las inversiones en prevención, detección y respuesta.