WannaCry: Mucho ruido y pocas nueces

Los especialistas consideran que el impacto de WannaCry, el famoso ataque de ransomware que afectó a unos 350 mil usuarios en dos semanas, fue sobrevalorado. La conclusión fue una de las demostradas en la presentación local del Eset Segurity Report Latinoamérica 2017, el reporte anual que realiza la empresa de seguridad informática eslovaca con los resultados de las encuestas a más de 4000 ejecutivos de 13 países de la región. 

WannaCry llegaba a la infraestructura de la empresa y lograba cifrar toda la información que tiene el dispositivo.

La aparición de WannaCry fue uno de los sucesos recientes que más se acercó a un apocalipsis informático. El frenesí comenzó con un ciberataque a Telefónica, que pronto se extendió grandes empresas, hospitales públicos y gobiernos a nivel internacional.

A pesar de que hoy las miradas están siendo capturadas por Petya, un ransomware que ha capturado datos del instituciones como el banco central de Ucrania, la firma legal DLA Piper, la compañía de alimentos Mondelez, la compañía petrolera rusa Rosnoft y la empresa farmacéutica Merck; vale la pena retroceder el tiempo algunas semanas y preguntarse: ¿qué fue lo que sucedió realmente con WannaCry?, ¿cuál fue su alcance real más allá de todo el ruido generado?, ¿qué beneficios recibieron sus creadores?, ¿ya son millonarios? Estas fueron algunas de las preguntas que fueron planteadas y contestadas durante la presentación en Buenos Aires del Eset Segurity Report 2017. 

Para contar y entender bien esta historia, tenemos que empezar por la antesala que se desenvolvió así: En febrero de 2017 se publicó que se había liberado un exploit zero day (ataque de día cero) que afectaba diferentes vulnerabilidades de Windows. Unas semanas después, Windows publicó una serie de boletines de actualización para que los usuarios aplicaran parches sobre esas fallas. Esto sucedió 6 semanas antes de que se desatará WannaCry.

“Las empresas tuvieron hasta 6 semanas para corregir esa vulnerabilidad en sus sistemas operativos Windows. Las compañías que fueron afectadas no tenían sus sistemas operativos correctamente actualizados“, explicó Camilo Gutiérrez Amaya, jefe del laboratorio de investigación de ESET para Latinoamérica, durante la presentación. El especialista, luego añadió que el 25 de abril las soluciones de Eset empezaron a detectar el peligro, por lo que desde ese día sus clientes estuvieron protegidos.

Fuente: Graphicnews

La amenaza estaba compuesta por ransomware, el código malicioso que cifra la información. En palabras simples. podría describirse como una especie de gusano informático que llega a la computadora y puede propagarse por toda la red a la cual está conectado el equipo. Por eso, logró escalar tan rápido, afectando a más del 80% de los dispositivos que utilizan Windows de algunas compañías.

Una vez adentro, el ataque bloqueaba el acceso a los archivos de los discos duros y de las unidades de red a las que estuvieran conectados los dispositivo. Como consecuencia, aparecía un mensaje en la pantalla exigiendo un rescate de aproximadamente 300 dólares en bitcoins a cambio de descodificar los archivos.

La conmoción se calmó gracias a Marcus Hutchins, un joven británico de 22 años, que descubrió que los responsables del virus habían creado un dominio oculto en el software que resultaba ser como una tecla de desactivación interna para los propios piratas.

Algunos apuntan a Corea del Norte como responsable del ataque.

Tras el revuelo que generó la noticia, muchos se preguntaron qué ganancia económica obtuvieron los impulsores del ataque. Tiempo después, se descubrió que las amenazas tenían asociadas tres billeteras de Bitcoins, donde las víctimas podían depositar el dinero para pagar el rescate de su información. Algunos investigadores comenzaron a monitorear esas billeteras y vieron que en dos días, los atacantes obtuvieron 30 bitcoins que al cambio de ese momento eran igual a 53 mil dólares.

“La última vez que revise esas billeteras, había 51 bitcoins lo cual da un total de 139 mil dólares. El valor no concuerda con el nivel de relevancia que tuvo el ataque”, contó Camilo en la presentación. 

“Esta amenaza no tuvo el impacto real que muchos medios o empresas de seguridad le quisieron dar, fue sobrevalorada. Al centrarnos solamente en esta amenaza, nos olvidamos de otras que tienen alcances muchísimo mayores”, añadió.

Entre esos ataques el especialista señaló amenazas como los Bitcoin miners. un virus que llega a la computadora  y utiliza los recursos de la máquina para minar bitcoins y generarle un beneficio económico al atacante. Este ejemplo también utilizaba el exploit eternalblue que aprovechó WannaCry.

Las empresas cada vez se preocupan más por la seguridad e invierten más dinero en protegerse.

Además, Gutiérrez mencionó que en lo que va de 2017, Eset ya ha detectado 141 familias diferentes de Ransomware, mientras que en 2016 el total anual fue de 146: “Este año estamos viendo más variedad, de hecho en lo que va del 2017 ya vimos 65 familias nuevas. WannaCry sólo tiene el 1% de las detecciones pero igual es de lo que más hablamos. Por otro lado, en nuestros laboratorios el año pasado veíamos 200 variantes o muestras diferentes de códigos maliciosos por mes. Hoy estamos viendo 300, pero de lo único que se habla es de Ransomware”, completó Camilo. 

Para el especialista, WannaCry “fue sólo una muestra de todo lo que pueden lograr los cibercriminales ya que hoy vemos botnes, códigos maliciosos en dispositivos móviles, amenazas  que afectan dispositivos  IoT y más”. En otras palabras, hay muchas otras amenazas que se están viendo todo el tiempo, con gran impacto y de las que nadie habla tanto. 

Sin embargo, Gutiérrez considera que lo más importante que tuvo WannaCry fue que despertó la alerta de varias empresas que ahora preguntan cómo protegerse del ransomware. 

En Argentina, tienen más alcance y efecto las amenazas que se propagan por Whatsapp ofreciendo promociones o descuentos falsos de cadenas de comida, supermercados o marcas de ropa. Una de ellas obtuvo 330 clics en tres días. 

Si de prevención y alarmas hablamos, según datos tomados entre 2013 y 2016 por Eset, alrededor del 70% de las empresas en América Latina realizan backup. Más del 80% tienen antivirus y usan firewalls mientras que sólo un 20% usa cifrado.

“A pesar de que las cifras son alentadoras cuando cruzamos toda la información vemos que apenas el 52% tienen backup, firewall y software antivirus. Esto es lo mínimo que debería tener cualquier empresa para garantizar la seguridad de su información pero sola un poco más de la mitad tiene estas tres soluciones juntas. En Argentina estamos un poco mejor, la cifra es del 63%“, comentó Gutiérrez.

Los números también confirman algo que muchos saben pero pocos profesan: La educación es un factor diferencial en estos temas: “De las empresas que encuestamos en Latinoamérica que nos dijeron que no tuvieron accidentes de seguridad durante el 2016 que nos dijieron que no tuvieron accidentes de seguridad durante el 2016, el 80% realizaba actividades de concientización. Está comprobado que las empresas que tienen a sus empleados educados, tienen menos posibilidad de tener dispositivos afectados”, comentó Camilo.

Hacia el final, sumó que de las 4500 empresas encuestadas para el informe sólo el 40% realiza actividades de educación, un porcentaje bajo teniendo en cuenta el nivel de alcance que pueden tener estas medidas.

Como diría Bruce Schneier, el “Chuck Norris” de la seguridad informática: “Si piensas que la tecnología puede solucionar tus problemas de seguridad, está claro que no entiendes nada de tecnología y tampoco de seguridad.” 

Aquí podrás acceder a la versión completa del reporte.