Todo lo que debería saber sobre WannaCry

WannaCry, un ciberataque global

Eusebio Nieva, director técnico de CheckPoint, responde en este vídeo a las cuestiones más candentes que rodean al ataque de ransomware mundial llamado WannaCry.

Publicado el 18 May 2017

¡CONTENIDO BLOQUEADO!

Aquí hay un vídeo que no puedes ver debido a tu configuración de cookies.
Puedes ver nuestra política de cookies o abrir el vídeo en youtube.com

Política de cookiesVer en youtube.com

Eusebio Nieva, director técnico de CheckPoint, considera que el huracán ya ha pasado, si bien hay algunos frentes que mitigar. “Yo creo que está todo bajo control, el problema es que no hay una recuperación total de los servicios. No significa que todo esté normalizado”, explica Nieva, incluso muchas empresas han ocultado sus incidencias de seguridad. En su opinión, WannaCry tiene toda la pinta de un ataque dirigido a grandes compañías. “Probablemente habrán cogido una base de datos de corporaciones ya que los vectores de infección han sido a través del correo”, observa.

También se presupone que el ciberataque proviene del grupo norcoreano Lazarus (conocido por su acción contra Sony), algo nada descabellado dada la tensión nuclear internacional, si bien Putin y la propia Microsoft a a la National Security American como origen del foco. “Para este ataque se ha utilizado una vulnerabilidad de Windows con fecha de marzo, revelada por Wikileaks en uno de los documentos del caso Vault 7. Este tipo de ataque está parcheado desde marzo por Microsoft, y aun así las empresas se han mostrado vulnerables”, relata Nieva, consciente de que existe una ‘ventana de oportunidad de ataque’ (el plazo que las compañías tardan en actualizar sus sistemas). Se ha descubierto una vulnerabilidad de Remote Desktop Protocol de Windows, y es susceptible de ser utilizado para una nueva intrusión. Por ello, Nieva explica que se están dando nuevas variantes de WannaCry, que no son los originales sino copia de los mismos. WannaCry es una pieza de ingeniería muy bien construida: “tiene métodos diseñados para saltarse el sandboxing (detornar el software en un entorno virtual aséptico). Es lo que se denomina Kill Switch, que llamaba a un dominio que no existía y no llamaba la atención dentro del sandboxing, por lo que pasaba la barrera corporativa”. Los desarrolladores de malware están empezando a utilizar esta técnica para evitar los controles.

Las compañías en general han sido laxas en seguridad

Nieva afirma que “las empresas tienen que tener mucho más cuidado con la seguridad. Las compañías en general han sido laxas en este sentido. Ha habido países en los que el impacto ha sido mínimo, por ejemplo Israel, y no porque no haya sido atacado, sino porque su concienciación y protección son mayores”. Al experto no le sorprende que países como Rusia o Reino Unido hayan sido los más ‘saqueados’, porque la puerta de entrada es el usuario. “El usuario tiene demasiado poder, y decide en los procedimientos de seguridad. Este modelo no se sostiene, hay muchas medidas que son incómodas para el usuario, pero se ha demostrado que son válidas en situaciones como esta”.

Las empresas que tienen menos segmentación de redes han sido las que más equipos han sido infectados. “Si tienes muy separadas las redes, desconectas entre ellos, y las empresas siguen funcionando con normalidad. Hay que segmentar para contener”.

@Reproducción reservada

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

Rufino Contreras
Rufino Contreras

Artículos relacionados