Sábado 13 de
Mayo de 2017
La Agencia de Seguridad Nacional de EE.UU. diseñó,
"a pesar de las advertencias", una "peligrosa herramienta de
ataque", cuyas consecuencias fueron hechas visibles, según Edward Snowden.
Un 'software' potencialmente malicioso, desarrollado
secretamente por la Agencia de Seguridad Nacional de EE.UU. (NSA, por
sus siglas en inglés), ha sido señalado como el culpable de la catástrofe
cibernética en la que decenas de miles de sistemas informáticos
fueron infectados en al menos 74 países.
Se trata de un tipo de 'exploit' —un fragmento
de 'software' que aprovecha una vulnerabilidad de un sistema para
ejecutar código malicioso— que ha sido identificado como WannaCry. Este
tiene como objetivo 'secuestrar' los archivos de una computadora para
posteriormente pedir su 'rescate' a los usuarios a cambio de una suma de
dinero, un esquema malintencionado típico del denominado 'ransomware'.
"Este es el primer ataque concentrado de
'ransomware' a nivel global", comentó a RT Vince Steckler, director
ejecutivo de la compañía de seguridad informática Avast. El experto indicó que
esta pieza de 'software', que aprovecha una brecha de seguridad de Windows, fue
primeramente detectada en febrero y poco después fue liberado un
'parche' que corrige dicha vulnerabilidad. Sin embargo, Steckler destaca que muchos
no actualizaron sus equipos y por eso fueron infectados.
Snowden señala al responsable
Steckler agregó que este ataque en particular fue
liberado como una "filtración" desde los "círculos de
Inteligencia de EE.UU.", situación que corrobora el exempleado de la
CIA Edward Snowden.
"La decisión de la NSA de crear herramientas de
ataque dirigidas a 'software' estadounidense ahora amenaza las vidas de
pacientes en los hospitales", afirmó Snowden en su cuenta de Twitter,
en referencia al caos que se vivió en numerosos centros médicos del Reino
Unido.
El exempleado de la CIA añadió que la agencia
estadounidense, "a pesar de las advertencias", diseñó una "peligrosa
herramienta de ataque" que afecta a los sistemas operativos
occidentales y cuyas consecuencias se han hecho visibles.
Finalmente, Snowden instó al Congreso de EE.UU. a preguntar
a la NSA si existen otras vulnerabilidades en los sistemas operativos
usados en los hospitales y aseveró que, de haber sido revelada la brecha de
seguridad cuando fue detectada, "esto probablemente no hubiera
sucedido".
"Si la NSA hubiera informado de la vulnerabilidad
del programa [una conocida brecha de seguridad del sistema operativo Windows],
los hospitales habrían tenido años y no meses para prepararse", subrayó.
El virus informático que en un principio parecía
afectar aisladamente hospitales en Inglaterra se ha esparcido
a decenas de países, entre ellos EE.UU., Canadá, China, Italia,
Taiwán y Rusia. Se trata de WannaCry, un programa informático cuyo objetivo es
'secuestrar' los archivos de una computadora para posteriormente pedir su
'rescate' a los usuarios a cambio de una suma de dinero.
La compañía rusa de seguridad informática Kaspersky ha
detectado más de 45.000 ataques en 74 países alrededor del mundo. Medios
comunican que compañías como Telefónica en España y Megafon en Rusia se
han visto afectadas.
"Una ventana emergente de un virus de bitcóin se
ha infiltrado en la red, pidiendo a los usuarios el pago de 300 dólares a
cambio de permitir el acceso al sistema. No se puede pasar más allá de esta
pantalla", había informado un empleado informático del Servicio
Nacional de Salud de Inglaterra (NHS, por sus siglas en inglés). Al menos
25 organizaciones de esa entidad han sido víctimas de los ataques,
que han dejado serias consecuencias de salud pública.
"El tamaño del ataque nos hace pensar que tal vez
no se trate de lobos solitarios", afirma para RT el bloguero José Luis
Camacho, argumentando que ataques de esta envergadura requieren importante
financiamiento. "No es descartable que detrás de estos ataques se
encuentre alguna oscura rama de los servicios de Inteligencia de algún quizás
lejano país", añade el bloguero.
Parte del código de este virus correspondería
a una 'ciberarma' de la Agencia de Seguridad Nacional de EE.UU. (NSA, por
sus siglas en inglés) llamada EternalBlue, según informa Bleeping
Computer. Con esta herramienta, el ataque aprovecha una conocida brecha de
seguridad del sistema operativo Windows que permite tomar el control de una
computadora.
La fisura en Windows y por qué muchos culpan a la
Agencia Nacional de Seguridad de EE.UU.)
Todo comenzó en abril. Hace menos de un mes, el grupo
de hackers Shadow Brokers hizo pública una serie de herramientas de
ataque cibernético entre las que se encontraba EternalBlue, un
"arma virtual" que expertos atribuyen a la Agencia Nacional de
Seguridad de Estados Unidos (NSA, por sus siglas en inglés).
¿Qué hizo la NSA?
Estados Unidos nunca confirmó si el arsenal de
ciberataques filtrados por Shadow Brokers pertenecían a la NSA o a otras
agencias de inteligencia.
Sin embargo, antiguos oficiales de inteligencia
señalaron que las herramientas parecían venir de la unidad de "Operaciones
de Acceso Personalizado" de la NSA, que se cree se dedica a infiltrarse en
las redes de computación extranjeras.
Por ello es
que los expertos apuntan a que la ola masiva de ataques del viernes puede ser la
primera vez que una ciberarma desarrollada por la NSA, financiada por
contribuyentes estadounidenses y robada por un adversario, fue aprovechada
por delincuentes informáticos contra hospitales, empresas, gobiernos y
ciudadanos comunes.
"Sería profundamente preocupante si la NSA sabía
sobre esta vulnerabilidad, pero no la reveló a Microsoft hasta después de que
fue robada", afirmó Patrick Toomey, abogado que trabaja para la Unión
Estadounidense por las Libertades Civiles (ACLU, por sus siglas en inglés).
"Estos ataques subrayan el hecho de que las
vulnerabilidades serán explotadas no sólo por nuestras agencias de seguridad,
sino por hackers y criminales de todo el mundo", añadió el experto
de la organización civil estadounidense.
Toomey agregó que lo correcto en adelante debe ser
alertar y corregir los "agujeros de seguridad", en lugar de
explotarlos y almacenarlos.
Lo sucedido este viernes tiene un antecedente.
Algo similar ocurrió con restos del gusano
"Stuxnet", que Estados Unidos e Israel usaron contra el programa
nuclear de Irán hace casi siete años.
Partes del código de esa ciberarma aparecen con
frecuencia en otros ataques menores desde entonces.
¿Qué dice Windows?
Se conoce que la fisura de Windows fue corregida hace
más de un mes, sin embargo es imposible "parchear" todas las
computadoras automáticamente.
Mucho más en casos como el del Sistema Nacional de
Salud de Reino Unido, que sigue operando con Windows XP, un sistema operativo
que ya no recibe mantenimiento de Microsoft.
Algunos hospitales de ese país fueron bloqueados al
punto que los médicos no podían solicitar los historiales de los pacientes y
las salas de emergencia se vieron obligadas a transferir a las personas que
buscaban atenciones de urgencia.
Horas después de que el ciberataque se convirtiera en
noticia mundial, Microsoft publicó un comunicado breve anunciando nuevas
medidas de seguridad.
"El día de hoy, nuestros ingenieros incorporaron detección
y protección contra el nuevo software malicioso conocido como
Ransom:Win32.WannaCrypt. En marzo, pusimos a disposición de nuestros clientes
protecciones adicionales contra malware de esta naturaleza, con
actualizaciones de seguridad que previenen su propagación a través de
diferentes redes", señaló el comunicado.
Microsoft señaló que hace todo lo posible para que los
nuevos parches lleguen a la mayor cantidad posible de sus clientes.
Pese a los esfuerzos de la gigante de la computación,
los entendidos en la materia señalan que lo sucedido no le hace nada bien a
la imagen de Microsoft.
Pero existe otra consecuencia aún más importante que
deja todo esto.
El ciberataque masivo pone en tela de juicio el papel
del creciente número de países que están desarrollando y almacenando armas
cibernéticas.
Quedó demostrado que en cualquier momento, en un día
cualquiera, ese arsenal puede ser utilizado en contra de sus propios
ciudadanos.
Además, recordemos que miles de millones de nombres de
usuario y contraseñas fueron robados y compartidos por hackers en los últimos
años.
Algunas ciberbandas están examinando estos datos para
encontrar credenciales de organizaciones a las que quieren atacar.
El
ciberataque de escala mundial y "dimensión nunca antes vista" afectó
a instituciones y empresas de casi 100 países
Un ciberataque "de dimensión nunca antes
vista" logró este viernes bloquear el acceso a los sistemas informáticos
de instituciones estatales y empresas de varios países.
La policía europea, Europol, indicó que el ciberataque
era de una escala "sin precedentes" y advirtió que una
"compleja investigación internacional" era necesaria para
"identificar a los culpables".
Alrededor de 100 países han reportado problemas,
aunque se cree que Rusia ha sido una de las naciones más afectadas.
La campaña masiva de ransomware, un ataque en
el que los perpetradores piden dinero a cambio de liberar el acceso a los
sistemas, también afectó a instituciones de Reino Unido, Estados Unidos,
China, España, Italia, Vietnam y Taiwán, entre otros.
El fabricante de vehículos Renault señaló que detuvo
la producción en sus fábricas francesas como consecuencia del ataque.
Se informó que las herramientas usadas en el ataque
pudieron haber sido desarrolladas por la Agencia de Seguridad Nacional de
Estados Unidos (NSA, por sus siglas en inglés).
Hackers se atribuyeron el mes pasado el robo del
software, conocido como Eternal Blue, y su distribución por internet.
"Este es un ataque cibernético importante, que
impacta organizaciones de toda Europa a una dimensión nunca antes vista",
dijo el experto en seguridad Kevin Beaumont.
"Hemos visto más de 75.000 casos... en 99 países",
escribió Jakub Korustek en un blog de la firma de seguridad informática Avast
publicado alrededor de las 20:00 GMT de este viernes.
Horas antes, Costin Raiu, de la tecnológica rusa
Kaspersky, había hablado de 45.000 ataques en 74 países.
Raiu describió el virus como un "gusano" que
se estaba autorreplicando y esparciendo a gran velocidad.
Por su parte, Forcepoint Security señaló que el gusano
estaba siendo esparcido por una campaña de correos electrónicos malicioso de
hasta 5 millones de emails.
¿Qué piden?
Computadoras en miles de lugares han sido bloqueadas
por un programa que demanda el pago de US$300 en la moneda electrónica bitcon
para que los sistemas puedan ser liberados.
Una de las pantallas bloqueadas este viernes mostraba
la amenaza de que un pago a cambio de liberar el sistema debía ser completado
antes del 15 de mayo o de lo contrario los archivos serían eliminados cuatro
días después.
"¡Ups, tus archivos han sido encriptados!",
decía el ransomware, el cual es conocido como WannaCryptor o WCry,
aunque también es conocido como "WannaCry", en inglés "quieres
llorar".
"No pierdas el tiempo, nadie puede recuperar tus
archivos sin nuestro servicio de desencriptación", decía el mensaje que
supuestamente garantiza la devolución de la información a cambio del pago.
Hasta ahora se desconoce quién puede estar detrás de
los ataques y si fueron ejecutados de forma coordinada.
Sin embargo, varios expertos que dan seguimiento a la
situación apuntan a las vulnerabilidades dadas a conocer por un grupo conocido
como The Shadow Brokers, que recientemente afirmó haber robado
herramientas de hackeo a la NSA.
Un parche para reparar la vulnerabilidad fue liberado
por Microsoft en marzo, pero muchos sistemas pueden no haber tenido la
actualización instalada, según los expertos.
Los afectados
Las autoridades en Reino Unido declararon que tenían
un "incidente importante" después de que varios hospitales del
Servicio nacional de Salud (NHS, por sus siglas en inglés) en Inglaterra y
Escocia se vieron afectados.
El personal no pudo acceder a los datos de los
pacientes, pero hasta ahora no hay evidencia de que su información personal se
haya visto comprometida, según el NHS.
Ello llevó a la cancelación de cotas con pacientes y
la suspensión de actividades como intervenciones quirúrgicas.
Otra empresa que confirmó que había sido atacada fue
la empresa de mensajería estadounidense FedEx, aunque no aclaró en qué lugares
hizo efecto el ransomware.
"Al igual que muchas otras compañías, FedEx está
experimentando interferencia con algunos de nuestros sistemas basados en
Windows", dijo la empresa en un comunicado.
En Italia, las computadoras de un laboratorio
universitario quedaron bloqueadas por el mismo programa, como mostró un usuario
en Twitter.
El software que bloquea la computadora y exige
el pago antes de devolverle el acceso al usuario, llamado ransomware, es
una de las mayores y crecientes amenazas informáticas del mundo.
Ciertamente parece que eso es lo que ha golpeado al
NHS en este caso.
Imágenes compartidas en línea, supuestamente de
miembros del personal del NHS, muestran un programa que exige el pago de US$300
en bitcoin y que se parece al ransomware conocido como WannaCryptor o
WCry .
Sin embargo, no hay ninguna indicación de quién está
detrás del ataque ni sabemos exactamente cómo infectó los sistemas del NHS.
Los hospitales ya han sido blanco de un software
similar antes, como el que golpeó tres hospitales de Estados Unidos el año
pasado.
¿Afecta a
computadoras personales?
Sí y es una de las trampas que más han crecido entre
usuarios de computadoras personales, normalmente a través de correos
electrónicos.
Una de las variantes de ransomware más
extendidas se llama Locky.
Se trata de un
virus troyano querecibe la víctima a través de un correo electrónico que le
pide abrir un archivo adjunto con un título similar a "documento de
pago" o "recibo".
Una vez abierto, a través del programa Word o en
archivo comprimido, los comandos (macros) se ejecutan de forma automática y
"toman" el control del ordenador.
Lo siguiente que ve la víctima es una pantalla con
instrucciones de pago en bitcoins como los que se vieron este viernes alrededor
de mundo.
Otros ransomware comunes son CryptoWall4,
PadCrypt o Fakben.
La recomendación de los expertos para los usuarios
comunes es no abrir archivos adjuntos de procedencia desconocida.
Nota del Centro Criptológico Nacional del Centro
Nacional de Inteligencia español
“Se ha alertado de un ataque masivo de ransomware que
afecta a sistemas Windows, bloqueando el acceso a los archivos (tanto en sus
discos duros como en las unidades de red a las que estén conectadas). La
especial criticidad de esta campaña viene provocada por la explotación de la
vulnerabilidad descrita en el boletín MS17-010 utilizando
EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows
conectados en esa misma red que no estén debidamente actualizados. La infección
de un solo equipo puede llegar a comprometer a toda la red corporativa.
El ransomware, una variante de WannaCry, infecta la
máquina cifrando todos sus archivos y, utilizando la vulnerabilidad citada en
el párrafo anterior que permite la ejecución de comandos remota a través de
Samba (SMB) y se distribuye al resto de máquinas Windows que haya en esa misma
red.
Los sistemas afectados que disponen de actualización
de seguridad son:
Microsoft
Windows Vista SP2
Windows Server 2008 SP2 y R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 y R2
Windows 10
Windows Server 2016
Windows Server 2008 SP2 y R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 y R2
Windows 10
Windows Server 2016
Medidas de prevención y mitigación
El CCN-CERT recomienda lo siguiente:
- Actualizar los sistemas a su última versión o parchear según informa el fabricante
- Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso.
- Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
- Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.
El CCN-CERT
dispone de un Informe de Medidas de seguridad contra el ransomware, en el que
se incluyen pautas y recomendaciones generales y en el que se detallan los
pasos del proceso de desinfección y las principales herramientas de
recuperación de los archivos, en este tipo de ataques.
Tal y como se indica en el informe de amenazas sobre ransomware, efectuar el pago por el rescate del equipo no garantiza que los atacantes envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y les motiva a seguir distribuyendo masivamente este tipo de código dañino.
En el caso de haberse visto afectados por esta campaña
y no dispusieran de copias de seguridad, se recomienda conservar los ficheros
que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la
máquina, ya que no es descartable que en un futuro apareciera una herramienta
que permitiera descifrar los documentos que se hubieran visto afectados.
Telefónica y otras grandes empresas españolas afectadas
El mensaje que ha aparecido en los ordenadores
hackeados
El CNI ha confirmado que se trata de un ataque masivo
de ransomware a varias organizaciones que se ha llevado a cabo aprovechando una
vulnerabilidad en Windows. A su vez, el Ministerio de Energía, Turismo y Agenda
Digital, a través del INCIBE (Instituto Nacional de Ciberseguridad), ha
asegurado que "el ataque ha afectado puntualmente a equipos informáticos
de trabajadores de varias compañías".
El origen de la infección no está confirmado en estos
momentos, pero fuentes cercanas a la compañía apuntan que se trata de un ataque
con origen en China y que se está pidiendo un rescate en bitcoins. La cifra
exigida no está clara, a pesar de la imagen mostrada y podría equivaler a 300
dólares por equipo infectado o a 300 bitcoins, lo que dada la conversión actual
serían 509.487 euros.
Todos los empleados recibieron el aviso de apagar los
ordenadores, incluidos colaboradores externos de la empresa que se conecten
mediante VPN. Una cifra por determinar de equipos han mostrado pantallazos
azules y errores a causa de la desconexión de la red, mientras que otros han
mostrado rótulos e imágenes en referencia al rescate.
Fuentes de Telefónica, aseguran a EL MUNDO, que en
torno a un 85% de los ordenadores de la compañía han sido afectados por el
gusano informático, que ha utilizado una traza similar a programas empleados
en el pasado por SLAVIC. El CNI explica que este virus es una versión de
WannaCry, que infecta la máquina cifrando todos sus archivos y, utilizando una
vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye
al resto de máquinas Windows que haya en esa misma red.
En el mensaje que aparece en pantalla, se exige un
rescate en bitcoins para antes del 15 de mayo. En caso de no pagarse en dicho
momento, se subirá la cifra y, llegado el día 19, borrarían los archivos a los
que han tenido acceso. Esta táctica es bastante habitual en los ataques con
ransomware.
El ataque afectó a otras grandes empresas españolas
Pese a que inicialmente se ha señalado que BBVA,
Vodafone y Capgemini también habían sido atacadas, desde el banco niegan estas
informaciones y aseguran estar funcionando con total normalidad, mientras que
Vodafone transmite un mensaje similar: están haciendo las comprobaciones
pertinentes, pero todo funciona con normalidad en su red, según han confirmado
a este periódico. En cuanto a Capgemini, ha comunicado mediante nota de prensa
que no han sido atacados en ningún momento.
Otras grandes empresas españolas sí han sido atacadas.
Iberdrola, según fuentes a las que ha podido tener acceso este periódico, ha
pedido a sus empleados por megafonía que apagaron los ordenadores y dejaran de
trabajar, si bien no han confirmado que hayan sufrido ningún ataque y parecen
haber desconectado sus equipos como medida preventiva.
A su vez, Gas Natural, en su edificio de Madrid, ha
apagado los ordenadores de todos sus empleados después de que apareciese el
mensaje que exige el rescate en bitcoins que también ha aparecido a Telefónica.
El ciberataque es indiscriminado, virulento y se
extiende a más países
El ciberataque sufrido este viernes por Telefónica
y otras compañías españolas ha sido "indiscriminado", ha afectado
al menos a 74 países, entre los que se encuentran Taiwán, Ucrania, Turquía,
Rusia o el Reino Unido, donde el hackeo ha afectado a más de una docena
de hospitales y centros médicos. El virus que se ha extendido es "especialmente
virulento" ya que combina un "malware" con un sistema de
propagación que utiliza una vulnerabilidad detectada en Microsoft.
Así lo asegura a EFEfuturo el director ejecutivo de
S21sec, Agustín Muñoz-Grandes, una empresa española especializada en
ciberseguridad, según los datos preliminares del ciberataque sufrido hoy por la
compañía española y que podría haber afectado a otras entidades.
'Wannacry' es un tipo de virus que se instala en un
ordenador y "encripta y secuestra" todos sus ficheros para pedir un
rescate en 'bitcoins
Las alarmas se han disparado este viernes por la
mañana después de que los ordenadores de los empleados de algunas de las
grandes empresas españolas fueran hackeados. Como medida de precaución, la
mayoría de las empresas afectadas han optado por apagar los ordenadores para
evitar que la amenaza se extendiera por el sistema.
La alerta ha llegado hasta el Centro Nacional de
Inteligencia (CNI). El organismo ha confirmado en un comunicado el “ataque
masivo” de ransomware a varias organizaciones aprovechando una vulnerabilidad
de los sistemas Windows.
La empresa rusa de seguridad informática Kaspersky ha
estimado en más de 45.000 los ciberataques perpetrados por el virus del tipo
ransomware. “Hasta el momento hemos registrado 45.000 ataques (...) en 74
países. Las cifras siguen aumentando inusitadamente”, escribió Costin Raiu,
director global del equipo de Investigación Análisis del Laboratorio Kaspersky,
en su cuenta de Twitter.
Las primeras fases del ciberataque han sido “mitigadas”
El Instituto Nacional de Ciberseguridad (INCIBE),
dependiente del Ministerio de Energía, Turismo y Agenda Digital, ha afirmado en
la noche de este viernes que las primeras fases del ciberataque “han sido
mitigadas” en España. Mediante un comunicado, el INCIBE asegura que el Centro
de Respuesta a Incidentes de Seguridad e Industria (CERTSI), operado de forma
coordinada junto al Centro Nacional para la Protección de Infraestructuras
Críticas (CNPIC), continúa trabajando con las empresas afectadas por los
ciberataques.
Según el INCIBE, las primeras fases del ciberataque ya
han sido mitigadas principalmente con la emisión de diferentes notificaciones y
alertas hacia los afectados así como a potenciales víctimas de la amenaza,
basadas fundamentalmente en medidas de detección temprana en los sistemas y
redes, bloqueo del modus operandi del virus informático, y la recuperación de
los dispositivos y equipos infectados.
En este sentido, muchas de las empresas afectadas han
activado correctamente sus protocolos y procedimientos de seguridad ante estas
situaciones y están recuperando los sistemas y su actividad habitual.
¿Cómo afecta el virus al ordenador?
El "ransomware", en este caso una
variación del denominado 'Wannacry', es un tipo de virus que se instala
en un ordenador, "encripta y secuestra" todos sus ficheros, para, a
continuación, pedir un rescate en 'bitcoin', una moneda virtual, que no se
puede rastrear, explica. Este tipo de virus suele llega habitualmente a través
de correos electrónicos de "origen desconocido" que adjuntan un
documento y que el usuario abre por error o desconocimiento.
Según el socio director de la empresa de
ciberseguridad S2Grupo, Miguel Juan, la singularidad del caso de Telefónica es
que a priori parece que se ha producido una expansión del virus sin
intervención aparente de usuarios.
Las medidas adoptadas por la compañía ha sido, a su
juicio, las correctas -apagando los ordenadores o desconectándolos- de la red,
hasta que se produzcan nuevas instrucciones del Centro Criptológico Nacional o
el Incibe.
Otra de las novedades de este ciberataque, es que ha
estado combinado con un "gusano" que ha infectado a otros ordenadores
de la red de la compañía a través de un agujero detectado hace unos meses en
Windows, señala a EFEfuturo el experto de la empresa de ciberseguridad
Trendmicro, David Sancho.
"La seguridad total no existe", advierte
este experto en antimalware quien recuerda que hace décadas las actualizaciones
de antivirus se hacían cada ciertos meses y manualmente, mientras hoy se efectúan
cada hora y aún así "son insuficientes", advierte.
¿Pueden evitarse este tipo de ataques?
Según el socio director de la empresa de
ciberseguridad S2Grupo, Jose Rosell, para evitar este tipo de ataques se debe
tener el nivel de parcheo adecuado, el bloqueo de las comunicaciones locales,
efectuar copias de seguridad extraordinarias y apagar los equipos no
esenciales, de cuyo uso se pueda prescindir.
Todos los expertos consultados creen que 2017
registrará un incremento de este tipo de ataques que serán cada vez "más
sofisticados" y que afectarán tanto a empresas como a particulares, y,
probablemente, llegará a los 'smartphones' (teléfonos inteligentes), que hasta
ahora no se ven afectados por este tipo de secuestros.
El ataque sufrido por Telefónica "es
significativo, pero no sorprende, no es ni será el último caso" señala el
experto en ciberseguridad y colaborador de EFEfuturo Deepak Daswani, quien ha
recordado otros casos relevantes como el ataque a Yahoo en 2015 con robo masivo
de correos o a Sony en 2014.
"Todos somos vulnerable, la realidad supera a la
ficción", enfatizó Daswani, quien coincide con el resto de expertos en que
si una empresa que sufre este tipo de ataques y no tiene copias de seguridad
bien gestionadas, suelen acabar aceptando la extorsión.
La mayoría de empresas del IBEX35 han tenido en algún
momento un ataque similar sin llegar a la magnitud del de Telefónica, ha
sostenido el experto en seguridad y director del programa Mundo Hacker de TVE,
Antonio Ramos. "Aunque lo habitual es no pagar, se ha detectado que la
gente está comprando bitcoins para el pago de rescates", advierte sobre
esta moneda virtual e ilegal, que es prácticamente imposible de rastrear por la
policía.
El director del Equipo de Seguridad para la
Coordinación de Emergencias en Redes Telemáticas de la Universidad Politécnica
de Catalunya, Manuel Medina, ha advertido en declaraciones a Efe, la facilidad
para generar este tipo de ataques, ya que en el "mercado negro" se
pueden adquirir "kit" para fabricarlos a precios relativamente bajos
y muy rentables cuando se compara con el daño que son capaces de hacer.
(Fuente: La Vanguardia)
Kaspersky revela 6 medidas para evitar el ataque del
nuevo 'malware'
Los expertos de la compañía rusa de seguridad
informática Kaspersky han analizado los datos relacionados con el virus que ha
afectado este viernes el 'software' en al menos 74 países del mundo. Kaspersky
ha recomendado una serie de medidas para reducir los riesgos de infección de
los datos.
- Instalar un parche oficial de Microsoft, que cierra el agujero de seguridad utilizado en este tipo de ataque.
- Comprobar que están activados los programas antivirus en todos los nodos.
- Si se usa el paquete de protección de datos de la compañía Kaspersky, comprobar si está incluido el componente System Watcher y si está activado.
- Si se usa Kaspersky, poner en marcha el programa del escaneo de áreas críticas para detectar una posible infección lo más pronto posible (en caso contrario, la detección tendrá lugar de forma automática durante 24 horas).
- Tras la detección de MEM:Trojan.Win64.EquationDrug.gen, reiniciar el sistema.
- En el futuro, para prevenir este tipo de incidentes, hay que utilizar los servicios de información sobre amenazas informáticas y recibir a tiempo los datos sobre ataques dirigidos más peligrosos y posibles infecciones.
Según el análisis de la compañía rusa, el ataque con
el uso del programa malicioso denominado 'WannaCry' se realizaba a
través de un agujero de seguridad en Microsoft Security Bulletin MS17-010.
Después en el sistema infectado se instalaba un 'rootkit' con el cual se ponía
en marcha un programa de encriptación. Según la empresa rusa, para descifrar
los datos los estafadores demandan realizar el pago de 600 dólares en la
criptomoneda bitcoin.
Todos los programas de Kaspersky detectan este
'rootkit' como MEM:Trojan.Win64.EquationDrug.gen, además de otros 'software'
maliciosos de encriptación.
Ciberataque masivo a escala global: preguntas para
entender qué es y de donde surgió el virus WannaCry
El culpable es un virus informático llamado WannaCry
("quieres llorar") o WanaCrypt0r 2.0, que bloquea datos y demanda un
pago de hasta US$600 en bitcoins antes de restaurar los archivos cifrados.
¿Quién creó el gusano WannaCry?
Actualmente no lo sabemos.
El ransomware ha sido el sello favorito de los
ciberladrones desde hace algún tiempo ya que les permite obtener beneficios rápidamente
tras una infección.
Pueden cobrar rápidamente gracias al uso de la moneda
virtual bitcoin, que es difícil de rastrear.
La competencia entre distintas bandas de ransomware
las ha llevado a buscar maneras más eficaces de extender sus códigos
maliciosos.
WannaCry parece haber sido creado para explotar un
fallo detectado por la Agencia Nacional de Seguridad de EE.UU. (NSA, por sus
siglas en inglés).
Cuando se filtraron detalles del error, muchos
investigadores de seguridad predijeron que esto llevaría a la creación de
gusanos de ransomware automáticos.
En ese caso, puede ser que los hackers sólo hayan
necesitado unos meses para hacer realidad esa predicción.
¿Corre peligro mi computadora?
Depende.
El virus WannaCry sólo infecta máquinas que funcionan
con Windows.
Si no actualizas Windows y no eres precavido al abrir
y leer correos, puedes estar en situación de riesgo.
Puedes protegerte ejecutando actualizaciones, usando
cortafuegos y antivirus y siendo cauteloso a la hora de leer mensajes de correo electrónico.
Quizá también sea útil hacer una copa de seguridad de
los datos clave para que puedas restaurar tus archivos sin tener que pagar
grandes cantidades en caso de ser infectado.
¿Se pueden
detener estas infecciones?
La verdad es que no.
No obstante, las organizaciones pueden, y lo hacen,
trabajar duro para protegerse.
Colocan cortafuegos, instalan programas antivirus,
aplican filtros para los archivos, ejecutan programas de detección de intrusos
y actualizan su software de forma regular para mantener lejos el malware y a
los hackers.
Pero ninguna protección puede ser 100% perfecta.
¿Por qué? Porque las organizaciones están gestionadas
por personas y las personas cometen errores.
Conscientes de esto, muchos ciberladrones intentan
engañar a las personas que trabajan en estas empresas para que abran documentos
adjuntos o enlaces enviados por correo electrónico que pueden iniciar la
infección, una práctica que se conoce como phising.
***********************************************************************************************
***********************************************************************************************
No hay comentarios:
Publicar un comentario