Wannacry, foto de securitylist |
Más de 74 países afectados, 45.000 ataques realizados, se ha vulnerado la seguridad de cientos de empresas y el problema sigue creciendo, dato entregado por kaspersky en su sitio security list.
WannaCry una nueva versión de la familia de ramsonware, un malware que secuestra un computador, encripta los archivos (texto, planillas de cálculo, fotos entre otros) y exige dinero por rescatar la información, nadie garantiza que al pagar se recuperen los datos, se estima que solo el 30% de las personas que pagan el rescate recuperan la información.
Este ransomware se aprovecha de la vulnerabilidad ETERNALBLUE, de Windows detectada a principios de año y distribuido, el código de ataque, por la plataforma de github. Afecta a los equipos con Microsoft Windows desde su versión Vista en adelante. Microsoft genero el parche de seguridad para esta vulnerabilidad el día 14 de marzo del presente año, el problema es que muchas empresas y usuarios nunca se preocupan de actualizar ni parchar los errores de seguridad en los sistemas operativos. Una gran particularidad de este virus es que una vez que infecta un computador conectado a cualquier red corporativa, se propaga por la misma solo, el punto de entrada normalmente es un correo electrónico con un enlace o archivo adjunto contaminado. Algo interesante de este ransomware es que se comunica con la red TOR para ejecutar comandos.
El parche de seguridad para este problema se puede descargar desde Microsoft en el siguiente enlace.
Uno de los principales problemas que existe es que un antivirus solo detecta aquellos virus que se encuentran en sus bases de datos y no las nuevas variantes que se van creando cada día. Es de suma importancia tener los siguientes puntos en consideración.
- Mantener el sistema operativo actualizado y con sus parches de seguridad al día. Especialmente en los computadores que poseen Windows 7 o anteriores, estos no se actualizan automáticamente.
- Mantener el antivirus con sus definiciones actualizadas.
- Si un computador está infectado, desconectarlo de la red para evitar la propagación del ransomware (no es necesario apagarlo).
- Mantener respaldos de la información en servicios externos (yo utilizo la nube y sincronizo todo lo importante en ella).
- Eliminar los correos sospechosos, no abrir los archivos adjuntos y tampoco seguir enlaces de fuentes desconocidas.
Para los administradores de sistemas:
- Segmentar la red, es fundamental.
- Crear cuentas de usuarios sin atributos de administrador en los computadores.
- Educar a los usuarios finales.
Como comentario final, un ataque de esta envergadura no pudo ser realizado por una sola persona, y posiblemente sea un ataque programado y planeado con mucha anticipación.