Alerta mundial por el ataque de "ransomware"

Un nuevo ataque a escala mundial amenaza al eslabón más débil de la cadena de seguridad (los usuarios) y además, sigue rompiendo cualquier esquema de inversión sobre seguridad de información que las empresas estén implementando. En esta ocasión se trata de una especie de “gusano”.

Este ataque tiene secuestrados varios ordenadores en diferentes organizaciones y es causado por una versión de ransomware denominado “WannaCry”, que es una modalidad de 'malware' que pide un rescate por liberar los equipos infectados, dentro de un periodo de tiempo, caso contrario no se puede recuperar la información. Afecta a sistemas de Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infecta al resto de sistemas Windows que haya en esa misma red.

Hasta el momento se observa que dicha campaña podría estar utilizando como método de distribución la vulnerabilidad denominada "eternalblue" publicada en el leak de la NSA (Agencia de seguridad de Estados Unidos) realizado por el grupo "Shadow Brokers" el pasado 14 de abril.

Dicha vulnerabilidad es actualizada o “parcheada” por el siguiente paquete de Microsoft MS17-010 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx . Se recomienda aplicar dicho parche y monitorear toda la comunicación por los puertos 445/tcp y 139/tcp, pues si se detectan mensajes en la rede mediante estos puertos, significa que el equipo puede estar comprometido.

Para intentar mitigar el impacto de dicha infección es necesario bloquear la ejecución de programas desde directorios temporales. Además como método preventivo los usuarios deben respaldar la información valiosa en diferentes discos duros externos que permitan la integridad delos datos en caso de que se materialice el ataque.

Este nuevo ataque nos demuestra que los controles tradicionales como antivirus no son capaces de defenderse durante el inicio de un evento de esta magnitud. Además, reafirma la existencia de grupos organizados y capacitados para ejecutar ataques dirigidos que buscan un beneficio económico.

Otra lección aprendida es el manejo que han realizado algunas de las empresa afectadas pues en este tipo de casos es medular tener predefinida la ruta de respuesta seguir no solo a nivel técnico, sino también a nivel de comunicación, pues hay que tener claros los mensajes, las audiencias y los voceros.