Martes, 19 de septiembre 2017 / hr 13:30

Vídeos

Todo lo que debería saber sobre WannaCry
18 de mayo 2017

Eusebio Nieva, director técnico de CheckPoint, responde en este vídeo a las cuestiones más candentes que rodean al ataque de ransomware mundial llamado WannaCry.

Eusebio Nieva, director técnico de CheckPoint, considera que el huracán ya ha pasado, si bien hay algunos frentes que mitigar. “Yo creo que está todo bajo control, el problema es que no hay una recuperación total de los servicios. No significa que todo esté normalizado”, explica Nieva, incluso muchas empresas han ocultado sus incidencias de seguridad. En su opinión, WannaCry tiene toda la pinta de un ataque dirigido a grandes compañías. “Probablemente habrán cogido una base de datos de corporaciones ya que los vectores de infección han sido a través del correo”, observa.

También se presupone que el ciberataque proviene del grupo norcoreano Lazarus (conocido por su acción contra Sony), algo nada descabellado dada la tensión nuclear internacional, si bien Putin y la propia Microsoft a a la National Security American como origen del foco. “Para este ataque se ha utilizado una vulnerabilidad de Windows con fecha de marzo, revelada por Wikileaks en uno de los documentos del caso Vault 7. Este tipo de ataque está parcheado desde marzo por Microsoft, y aun así las empresas se han mostrado vulnerables”, relata Nieva, consciente de que existe una ‘ventana de oportunidad de ataque’ (el plazo que las compañías tardan en actualizar sus  sistemas). Se ha descubierto una vulnerabilidad de Remote Desktop Protocol de Windows, y es susceptible de ser utilizado para una nueva intrusión. Por ello, Nieva explica que se están dando nuevas variantes de WannaCry, que no son los originales sino copia de los mismos. WannaCry es una pieza de ingeniería muy bien construida: “tiene métodos diseñados para saltarse el sandboxing (detornar el software en un entorno virtual aséptico). Es lo que se denomina Kill Switch, que llamaba a un dominio que no existía y no llamaba la atención dentro del sandboxing, por lo que pasaba la barrera corporativa”. Los desarrolladores de malware están empezando a utilizar esta técnica para evitar los controles.

Las compañías en general han sido laxas en seguridad

Nieva afirma que “las empresas tienen que tener mucho más cuidado con la seguridad. Las compañías en general han sido laxas en este sentido. Ha habido países en los que el impacto ha sido mínimo, por ejemplo Israel, y no porque no haya sido atacado, sino porque su concienciación y protección son mayores”. Al experto no le sorprende que países como Rusia o Reino Unido hayan sido los más ‘saqueados’, porque la puerta de entrada es el usuario. “El usuario tiene demasiado poder, y decide en los procedimientos de seguridad. Este modelo no se sostiene, hay muchas medidas que son incómodas para el usuario, pero se ha demostrado que son válidas en situaciones como esta”.

Las empresas que tienen menos segmentación de redes han sido las que más equipos han sido infectados. “Si tienes muy separadas las redes, desconectas entre ellos, y las empresas siguen funcionando con normalidad. Hay que segmentar para contener”.

Imprima esta noticia
Si quiere estar informado, suscríbase gratis a los boletines de noticias TIC.