Segmentar las redes, una buena práctica cuando no es posible el parcheado
Solo en las primeras doce horas, WannaCry infectó a más de 74.000 ordenadores de todo el mundo. Uno de los motivos de su éxito lo encontramos en que parte del código utilizado fuera cortesía de la propia NSA (de archivos filtrados desde los servidores de la agencia americana). El grupo de hackers conocido como The Shadow Brokers liberó en abril una colección de exploits, entre ellos el llamado „ETERNALBLUE”, que aprovechaba una brecha de seguridad de un protocolo de Windows utilizado para compartir archivos entre redes informáticas. Una vulnerabilidad conocida para la que Microsoft ya había publicado el pertinente parche en marzo.
Cualquier equipo no actualizado corrió un riesgo elevado de resultar infectado, lo que llevó a algunas empresas a tomar medidas drásticas y pedir a sus empleados que apagaran sus ordenadores para evitar que la infección se propagara a toda la red.
Una cura de humildad (para los creadores del malware)
Parece evidente que los autores de WannaCry se han visto abrumados por el resultado de su campaña. A pesar de la complejidad del malware, un ransomware con funciones añadidas de gusano para facilitar su propagación, sus creadores eligieron un sistema para trazar los pagos y comenzar el proceso de „descifrado“ que implica retrasos notables en esos dos procesos, algo muy poco deseable para una estafa que pretende hacer grandes cantidades de dinero en el menor tiempo posible. Hasta la fecha, solo se han rastreado unos 100.000 dólares en bitcoins. Esta es una suma ridícula si tenemos en cuenta el elevado número de infecciones. Incluso si el parcentaje de recompensas abonadas es del 2,5 por ciento, la cantidad podría haber sido muy superior.
Por qué el parcheado no siempre es una opción
Todos los expertos coinciden en que evitar los sistemas y/o programas anticuados e instalar las actualizaciones de seguridad críticas son dos de las medidas más eficaces para prevenir cualquier tipo de ciberataque, y especialmente los de ransomware. Pero a veces sucede que el no parcheado no es una cuestión de pereza o negligencia, especialmente en entornos donde conviven programas antiguos cuyo funcionamiento resulta crítico para la organización. En estos casos, el parcheado puede resultar incompatible con estos programas, impedir su funcionamiento y paralizar una compañía, convirtiendo este proceso en algo mucho más complejo de lo que parece.
El sector sanitario es especialmente delicado en este asunto. Incluso los equipos médicos más modernos y con una larga vida útil por delante se venden ahora con Windows 7, que no es el último S.O. de Microsoft y que en menos de tres años dejará de recibir actualizaciones y soporte.
Al mismo tiempo, ese parcheado crítico puede generar incompatibilidades con las costosas certificaciones que garantizan el funcionamiento de determinados equipos médicos en hospitales o centros de salud. Porque en muchas ocasiones cualquier actualización de software requiere nuevos procesos de certificación.
Infraestructuras críticas y otras industrias pueden verse en situaciones similares.
5 Consejos para evitar el próximo WannaCry
1. Mantén tus equipos siempre actualizados. Es la recomendación más repetida. Es necesario actualizar todos los programas instalados, no solo, aunque especialmente, el sistema operativo. Dichas actualizaciones deben hacerse de forma inmediata a la liberación del parche o lo antes posible, especialmente si la actualizacón está cosiderada como crítica por cuestiones de seguridad. En entornos profesionales, contar con una herramienta que automatice el parcheado ayuda a mantener elevados los niveles de seguridad. Y cuanto más grande es la red empresarial más importante resulta su papel. Si las actualizaciones no pueden llevarse a cabo por alguna razón de peso, deben tomarse siempre medidas adicionales (ver #3)
2. Usa una solución de seguridad (y mantenla actualizada). El software antivirus tiene varias formas de detectar programas maliciosos como el propio ransomware, además de las tradicionales firmas de virus. Las tecnologías proactivas que cierran brechas de seguridad no parcheadas o aquellas que detectan el malware (de cualquier tipo) atendiendo a su comportamiento sospechoso en los sistemas, mejoran la seguridad global de los dispositivos. Además de esto, G DATA ya incorpora un módulo específicamente diseñado para combatir el ransomware.
3. Segmentación de redes empresariales. Configura la red en diferentes subsistemas, especialmente si la organización no es capaz de realizar parcheados a tiempo por cualquier motivo de peso. Esto no asegura que no se vaya a producir la infección, pero sí que, en caso de que se produzca, el brote será acotado a un área concreta en lugar de propagarse por toda la red. En el caso de los hospitales, la amenaza afectaría solamente al departamento afectado, pero permitiría al resto trabajar sin problemas de forma que los médicos no tuvieran que volver al lápiz y papel y pudiera seguir accediendo de forma electrónica a los historiales de los pacientes. En el caso de WannaCry, el personal hospitalario del Reino Unido tuvo que dejar a los pacientes no graves porque bastante tenían con mantener vivos a los pacientes más críticos, a veces en el sentido más literal de la palabra.
4. Forma a tus empleados. Los empleados pueden convertirse en la principal y más efectiva barrera contra el malware. Puede que los cursos de formación interna no sean una rutina en la mayoría de las organizaciones, pero podrían suponer la diferencia entre actuar a tiempo y minimizar un problema incipiente a que este derive en catástrofe o parálisis total. Si los empleados son capaces de identificar el malware, conocen unas normas de actuación básicas así como procedimientos a seguir en casos de emergencia, los problemas estarán siempre más acotados y serán más controlables.
5. Prepara un protocolo de actuación frente a ciber emergencias y asesórate por especialistas en seguridad IT. Contar con una buena estrategia de respuesta en caso de crisis como la desencadenada por Wannacry puede ahorrar a cualquier organización graves consecuencias que se miden en tiempo, costes y pérdida de reputación.
Puede ser necesario incluso solicitar ayuda externa de expertos en esta materia. No es una tarea sencilla ni trivial y es necesario incluir muchas variables pero el esfuerzo merecerá la pena cuando el siguiente WannaCry llegue al mundo