¿Una higiene de seguridad pudo evitar la propagación de WannaCry?

El viernes 12 de mayo, los ciberdelincuentes lanzaron lo que se cree es el mayor ataque ransomware que se haya registrado. Este brote de ransomware, apodado WannaCry, se difundió con una velocidad sin precedentes y a su paso hizo caer los sistemas de más de 100,000 organizaciones en más de 100 países, todo en el lapso de 48 horas.

Decir que se trata del mayor ataque de ransomware que se haya registrado es verdad, pero una verdad muy superficial. Por debajo del éxito de este ataque, y de muchos otros de su magnitud, se hallan los archiconocidos problemas de siempre: riesgos no gestionados y vulnerabilidades pendientes.

NOTICIA: Alejandra Lagunes, de la EDN, se dice "sorprendida" por acusaciones de espionaje

La importancia de la aplicación de parches de seguridad

Este violento ataque de ransomware es un recordatorio elocuente de cuán importante es prestar atención a los fundamentos de la seguridad, especialmente en lo referido a la aplicación de parches a productos de Microsoft. Los profesionales de seguridad enfatizan desde hace mucho tiempo la importancia de la higiene básica de seguridad, como parches y copias de seguridad. Sin embargo, esas recomendaciones en general se pasan por alto porque los parches de seguridad son percibidos como una complicación para el negocio.

Una falla en un protocolo de intercambio de archivos (SMBv1) del Sistema Operativo Microsoft Windows fue lo que elevó la escala de este ataque, pero esa escalada podría haberse evitado fácilmente. Los que aplicaron parches críticos a Microsoft Windows emitidos en marzo estuvieron protegidos contra este ataque. Los que no lo hicieron, quedaron expuestos a riesgos.

La explotación de esta vulnerabilidad de Windows por parte de WannaCry le permitió propagarse a una gran velocidad de una estación de trabajo a una amplia red de puntos terminales sin interacción del usuario final. Como resultado, WannaCry adoptó un método de violación por propagación rápida a diferencia de un ataque de suplantación de identidad (phishing) por email más común, que depende de la interacción del usuario.

La escala masiva de este ataque pone de manifiesto cuántas organizaciones usaban sistemas desactualizados y sin parches. El impacto de WannaCry podría haberse reducido en gran medida si los parches críticos de Windows se hubieran aplicado a tiempo a lo largo de las redes organizacionales.

NOTICIA: Encuentran malware espía en gobierno de México

¿Qué deben hacer las empresas para protegerse?

Las organizaciones procuran implementar con urgencia el parche relevante de Microsoft en toda la infraestructura de Windows. Adicional al parche del 14 de marzo (MS17-010) para los sistemas con soporte, Microsoft también emitió un parche de seguridad para sistemas más antiguos, como XP, que se encuentra disponible aquí.

Se recomienda a las víctimas no realizar pagos a los delincuentes después de estos ataques, ya que no hay garantía de que liberen sus datos, y podrían considerarlos un objetivo preferente para el próximo ataque.

Viendo hacia el futuro, se recomienda trabajar para aumentar la resiliencia de la empresa a este tipo de ataques y de ese modo evitar cualquier consideración del pago de un rescate. Ante el aumento del ransomware y la gran cantidad de valor que se mantiene en formato digital, tanto las empresas como los consumidores deben mantenerse cada vez más vigilantes para respaldar sus datos esenciales y críticos para el negocio.

Estas son algunas áreas clave en las que las compañías deberían enfocarse para mejorar la higiene de la seguridad .

• Aplique todos los parches al software: Implemente un programa de parches y asegúrese de que se extienda al software de seguridad. Tenga programas antivirus y de detección de malware instalados en los puntos terminales de los empleados. Configure búsquedas regulares y actualizaciones automáticas para esas soluciones. Actualice todo el software que utiliza con mucha frecuencia y borre las aplicaciones a las que accede con poca frecuencia.
• Esté atento: Desconfíe de los emails que parecen demasiado buenos para ser geniunos. Sea cauteloso al abrir archivos adjuntos y hacer clic en vínculos. Puede ser que WannaCry no haya empezado como ataque de phishing, pero la mayoría de los ataques de ransomware se lanzan de esa manera.
• Resguarde sus datos: Planee y mantenga rutinas regulares de copias de resguardo. Asegúrese de que las copias de seguridad estén protegidas y no se encuentren continuamente conectadas o mapeadas a la red en vivo. Pruebe los respaldos (backups) periódicamente para verificar su integridad y usabilidad en caso de emergencia.
• Deshabilite las macros: Deshabilite las macros de archivos de Microsoft Office cuando se envían en documentos adjuntos de email, especialmente de terceros externos.
• Planifique: Un plan de respuesta a incidentes es clave para descubrir rápidamente y recuperarse de un incidente de seguridad. Cree planes y asegúrese de practicarlos y optimizarlos para orquestar la respuesta.
• Capacite: Asegure que sus empleados, proveedores y otros que trabajan con su empresa, reciban entrenamiento regular en seguridad, por ejemplo, cómo detectar emails sospechosos, y a quién llamar si algo sale mal.

Ransomware fue la amenaza online más dominante en el 2016: las estadísticas del gobierno de Estados Unidos. han llegado a detectar más de 4,000 ataques por día, alcanzando niveles muy superiores al 65% de todos los mensajes de spam que llevan cargas maliciosas, según un informe de IBM X-Force sobre ransomware. Con el éxito de WannaCry, la creciente tendencia de ransomware no tiene perspectivas de desaparecer en el futuro cercano.

A fin de evitar ataques futuros como WannaCry, las organizaciones de todo el mundo requieren comprender los elementos de estos ataques y estar preparadas para amenazas que lo imiten pero con nuevos giros. Más importante aún es la necesidad de que las organizaciones sean metódicas en mantener sus sistemas seguros, mediante la implementación de medidas preventivas, como actualizaciones periódicas de seguridad y copias de respaldo. Más que percibir las medidas de higiene de la seguridad como una complicación, las organizaciones redquieren verlas como la oportunidad para evitar caer víctimas de la próxima gran amenaza de seguridad.

Ransomware: Un tipo de software malicioso diseñado para bloquear el acceso a un sistema informático hasta que se pague una suma de dinero.

* Elida Godínez es directora de Soluciones de Seguridad, IBM México