• Pablo Lucio Paredes

    Pablo Lucio Paredes

  • Mario Ruiz

    Mario Ruiz Jaramillo

  • Pablo Martin Lucio Predes

    Pablo Martín Lucio Paredes

  • Migue Ruiz Granja

    Miguel Ruiz Granja

miércoles 28 de junio del 2017

Nosotros presentamos ambos lados … escoge el tuyo!

¿Se debe pagar para que le no le afecte el malware?

 

¿Qué es WannCry?

En cuanto uno de los archivos que lo contienen el virus llega a una computadora, este bloquea el acceso a los datos que contenga hasta que el propietario entregue una cantidad económica para poder recuperar el acceso a los archivos cifrados por el propio ransomware. Después, el virus hace saltar a la pantalla el siguiente mensaje: "Ooops, tus archivos importantes están encriptados" y solicita el rescate de 300 dólares. De no pagarse esta cantidad en el tiempo acordado, todos los archivos son eliminados automáticamente.

Tiempo de Lectura 1 Minuto

Hoy en la mañana desde España se denunciaba el ataque del ciberataques que habría sufrido la empresa Telefónica (Movistar) por un ransomware conocido como Wannacry. Según la compañía de seguridad GMS, al menos dos empresas de Ecuador estarían afectadas también.

Evidentemente, la primera pregunta que salta a la mente de los usuarios es: ¿qué es un ransomware? Pues básicamente es un software que ingresa a los equipos y sistemas de las organizaciones por medio de archivos adjuntos maliciosos.

Una vez adentro, este malware infecta el sistema, lo secuestra y pide a sus administradores un rescate económico para liberarlo.

¿Cómo funciona?


Es relativamente simple. En cuanto uno de los archivos que lo contienen llega a una computadora, este bloquea el acceso a los datos que contenga hasta que el propietario entregue una cantidad económica para poder recuperar el acceso a los archivos cifrados por el propio ransomware, describe el sitio web especializado hipertextual.com.

Después de cifrar los ficheros del disco duro, WanaCrypt0r cambia el nombre de los nombres de las extensiones de los archivos afectados por .WNCRY. Después, el virus hace saltar a la pantalla el siguiente mensaje: "Ooops, tus archivos importantes están encriptados" y solicita el rescate de 300 dólares.

De no pagarse esta cantidad en el tiempo acordado, todos los archivos son eliminados automáticamente.

"Este ataque demuestra una vez más que el ransomware es un poderoso arma que puede utilizarse contra los consumidores y las empresas por igual. El virus se vuelve particularmente desagradable cuando infecta instituciones como hospitales, donde puede poner la vida de las personas en peligro", afirma la empresa de seguridad Avast en un comunicado.

 

 

¿Se pudo haber evitado el ciberataque?

El ciberataque que este viernes se inició en Telefónica por una brecha de Microsoft, detectada y 'parcheada', y se fue extendiendo hasta un centenar de países y 57.000 incidencias, se llevó a cabo a través de un ransomware, cuyo objetivo es cifrar los archivos del equipo infectado para pedir un rescate por BitCoins.

Tiempo de Lectura 3 Minutos

España, el primero, Rusia, el más afectado, Reino Unido, Estados Unidos, Canadá... Así hasta un centenar de países y 57.000 incidencias. El ciberataque que este viernes se inició en Telefónica por una brecha de Microsoft, detectada y 'parcheada', y se fue extendiendo como la espuma a centenares de empresas todavía no tiene autor reconocido, pero sí se sabe cómo se produjo, por qué se produjo y si se podía haber evitado.

El hackeo a nivel mundial se llevó a cabo a través de un ransomware, cuyo objetivo es cifrar los archivos del equipo infectado para pedir un rescate por BitCoins distribuyéndose por los equipos con un 'dropper' (programa diseñado para instalar algún tipo de malware) enlazado a un correo electrónico que era imposible de detectar por muchos motores de antimalware. ¿Realmente no se podía detectar? ¿Se pudo haber evitado?

Según una nota remitida este viernes por el Centro de Respuesta a Incidentes de Seguridad e Industria (CERTSI), la oleada de ransomware que ha afectado a multitud de equipos se produjo por una infección masiva de equipos con el virus 'Wannacry' denominado "tanto personales como en organizaciones" que una vez instalada bloqueó el acceso a los ficheros del ordenador afectado.

"Se recomienda aplicar los últimos parches de seguridad publicados por Microsoft", informaba el comunicado. Y aquí está la clave. El pasado 14 de marzo Microsoft publicó en sus actualizaciones mensuales de seguridad el boletín MS17-010 en el que advertía hasta 56 vulnerabilidades, 41 clasificadas como importantes y 15 de ellas críticas que afectaban a productos como .NET, DirectX, Edge, Internet Explorer, Office, Sharepoint y Windows.

Ha sido una de estas vulnerabilidades de las que ya avisó Microsoft la que ha permitido el ciberataque a nivel mundial. El error en su sistema fue corregido, pero la publicación de una prueba de concepto del agujero de seguridad desencadenó la campaña. Tras extenderse el ataque, la compañía advirtió en un comunicado de que se proporcionó la protección contra este tipo de malware, que no afecta a los ordenadores "que utilizan el software antivirus gratuito de Microsoft y tienen su sistema operativo actualizado".

Según ha explicado en su blog el jefe de seguridad de Telefónica, el ex hacker Chema Alonso, el esquema del ataque era el siguiente: la fase de infección, "spam masivo a direcciones de correo electrónico de todo el mundo con un enlace que descarga el dropper"; tras la descarga "el dropper se infecta con el ransomware la máquina"; y, por último, "desde la máquina infectada se escanea la LAN en busca de equipos vulnerables a MS17-10" para infectar a ese equipo y continuar la infección.

El Centro Criptológico Nacional (CCN-CERT) lo anunció a las pocas horas de que comenzara el hackeo: "La especial criticidad de esta campaña viene provocada por la explotación de la vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados. La infección de un solo equipo puede llegar a comprometer a toda la red corporativa".

El CERTSI, el Instituto Nacional de Ciberseguridad (INCIBE), el CCN-CERT y otros institutos de ciberseguridad no dudaron en informar de que la única manera de que la máquina o máquinas no resultaran infectadas era "tener los sistemas actualizados a su última versión o parchear según recomienda el fabricante". Es decir, el parche del que Microsoft advirtió el pasado 14 de marzo.

Según esto, probablemente los equipos que se vieron infectados por este secuestro virtual no contaban con la última actualización de seguridad de Microsoft. Alonso lo confirma: "Lo cierto es que este esquema (del ciberataque) ha dado con muchos equipos en las LAN de muchas empresas que no estaban actualizados con los últimos parches de seguridad".

¿Por qué no tenían instalado el parche?¿Pero por qué si todos los expertos en ciberseguridad recomiendan mantener constantemente actualizados los parches de seguridad de los fabricantes no se hizo? Parece ser que por el volumen del software interno, por las verificaciones que las empresas hacen y por una cuestión de velocidad.

"En algunos segmentos internos de algunas redes el software que corre en esos equipos necesita ser probado con anterioridad y el proceso de verificación y prueba de los parches no es tan rápido en los segmentos internos como en los externos porque el volumen de software interno suele ser mucho mayor y de mayor sensibilidad para la continuidad del negocio", explica el ex hacker.

Además, en algunas ocasiones puede existir una incompatibilidad entres los parches que recomienda el fabricante y el software a medida que algunas empresas han creado, lo que retrasa aún más las comprobaciones y verificaciones que confirmen que esos nuevos parches no van a 'romper' ninguno de esos softwares.