Seguridad IT | Informe especial

Golpe mundial Ransomware
El día después

Hacia el 12 de mayo se produjo el mayor
ataque cibernético a escala global, el cual
se esparció por más de 150 países e infectó 200.000 de máquinas. El ataque consistió
en una amenaza de ransomware, o pedido
de rescate, llamada WanaCrypt0r 2.0 (WannaCry) que tiene características similares a
las de un ‘gusano informático’ que permiten
aprovechar una vulnerabilidad de los sistemas operativos Microsoft Windows.
Este tipo de ataque imita el delito de secuestro: los atacantes toman información
de la empresa y, para poder recuperarla,
los obligan a pagar una suma de dinero. Los
dueños de computadoras infectadas reciben
un mensaje que les dice que sus datos han
sido secuestrados y que deben pagar USD
$300 mediante Bitcoin para recuperarla. La
nota de rescate indica que el monto del pago
se duplicará después de tres días. Si no se
realiza el pago después de siete días, los archivos cifrados se eliminan. Hasta ahora, las
víctimas incluyen hospitales, universidades,
fabricantes, agencias gubernamentales.
WannaCry posee la capacidad de autopropagarse dentro de redes corporativas,
sin intervención de los usuarios, atacando varias vulnerabilidades conocidas de
Microsoft Windows. Las computadoras
expuestas a la infección son las que no
tienen instaladas las actualizaciones de
seguridad más recientes de Windows.

EternalBlue es el nombre del exploit que
le permite a WannaCryptor autoreplicarse y
propagarse rápidamente por la red infectada, y ha sido un componente importante del
incidente de infección masiva.
Camilo Gutiérrez, jefe del Laboratorio
para Latinoamérica de ESET, afirma: ‘A pesar
del panorama planteado, tanto los usuarios
hogareños como las empresas podrían haber evadido el ataque de este ransomware
con características de gusano informático.
Primero, dos meses antes del ataque masivo
ya estaba disponible el parche contra la vulnerabilidad que explota EternalBlue. Si bien
no está relacionado a las rutinas de cifrado
del ransomware, bloquea el daño que un
equipo pueda sufrir a causa de otro equipo
de la misma red que se haya infectado. Además, la protección proactiva instalada en el
equipo, como una funcionalidad de exploit
blocker o una solución antimalware actualizada, podría haber bloqueado la infección y
detener el ataque en casos en que el malware hubiese logrado infiltrarse en la red’.

Buenas prácticas y recomendaciones

De acuerdo con Symantec, regularmente aparecen nuevas variantes de software
de secuestro informático. Siempre se debe
tener actualizado el software de seguridad
para poder protegerse contra esta amenaza. Mantener actualizados los SO y los de-

Controles de seguridad más implementados en Latinoamérica durante 2016

Fuente: ESET Security Report 2017
PRENSARIO TILA | Junio 2017

• 78 •

Cómo mantenerse protegido
v Actualizar los sistemas operativos y
aplicaciones a la última versión disponible
v No ejecutar archivos de dudosa
procedencia
v Mantener actualizadas las soluciones
de seguridad
v Realizar backups periódicos de la
información relevante
v Dar aviso a los empleados de que estén
alertas frente a esta amenaza y que no
ejecuten archivos de procedencia sospechosa
Fuente: ESET

más programas también es fundamental.
Las actualizaciones con frecuencia incluyen parches para corregir vulnerabilidades
de seguridad recién descubiertas que podrían ser el blanco de los ataques de software de secuestro informático.
El correo electrónico es uno de los principales medios de infección. Se debe poner
especial atención a los correos electrónicos inesperados, en particular si contienen
enlaces y/o archivos adjuntos.
Respaldar los datos importantes es la
forma más efectiva y sencilla de combatir
la infección de software de secuestro informático. Los atacantes se aprovechan de
sus víctimas cifrando archivos valiosos y
dejándolos inaccesibles. Si la víctima tiene
copias de respaldo, podrá restaurar sus archivos una vez que la infección se haya eliminado. Sin embargo, las organizaciones
deben asegurarse de que los respaldos
estén debidamente protegidos, o almacenados sin conexión a la red, para que los
atacantes no puedan eliminarlos.
El uso de servicios en la nube puede
ayudar a mitigar la infección por software
de secuestro informático, pues muchos de
ellos conservan versiones previas de los
archivos, lo cual le permitirá ‘dar marcha
atrás’ y recuperar los archivos descifrados.
www.prensariotila.com

www.prensariotila.com

PRENSARIO TILA | Junio 2017