redseguridad 077

wannacry

reportaje

que aún se desconozca quien fue el "paciente cero" de la infección de WannaCry, aunque una de las posibilidades más factibles es que un usuario abriera un archivo mali- cioso adjunto en un correo electró- nico. La acción del ser humano sería nuevamente imprescindible para la ejecución del ataque, por lo que "es necesaria más concienciación". Por otro lado, el representante de Symantec opina que las orga- nizaciones han de invertir en herra- mientas de ciberseguridad eficaces frente a todo tipo de amenazas. "A veces esto es caro, pero más caro es que tu empresa salga en los periódicos", apostilla. Medidas como actualizar los equi- pos, no abrir ficheros adjuntos ni enlaces sospechosos, contar con soluciones de detección y miti- gación, así como realizar copias de seguridad, son algunas de las recomendaciones básicas frente al malware que llegan desde las ins- tituciones. Sin embargo, WannaCry ha demostrado nuevamente que todas las barreras son pocas frente a los cibercriminales, quienes no renuncian a seguir delinquiendo e innovando en sus técnicas para no ser detectados. WannaCry llegó a copar las porta- das de los periódicos, sin embargo, otros muchos casos de envergadura pasan desapercibidos. El mismo 12 de mayo, mientras la atención mun- dial se centraba en este ransomware , la bootnet Adylkuzz, activa desde el 24 de abril, continuaba infectando ordenadores con los que generar monedas virtuales Monero (similares a las Bitcoins) mediante lo que se conoce como "minería de criptomo- nedas". Según la empresa Eset, este virus también utiliza el exploit EthernalBlue para acceder a los equipos, por lo que hay constancia de que antes de WannaCry alguien ya delinquía con este 'ciberarma' de la NSA. Por tanto, no cabe duda de que las amenazas continuarán sur- giendo, salgan o no a la luz pública. El mundo debe estar preparado cuando lleguen y ha de ser conscien- te de que el siguiente ataque está en camino.

Un reciente informe de la NSA estadounidense sostiene que detrás del ataque de WannaCry estaría el grupo Lazarus, vinculado al régimen de Corea del Norte.

que estaba infectada), aunque la multinacional tecnológica no se lo comunicaría oficialmente al centro hasta dos horas después. A partir de entonces, la labor del CERTSI se focalizó en la mitigación y ayuda para recuperar la información, así como en la alerta temprana y la pre- vención. "Fuimos configurando una serie de elementos de información de ayuda para mitigar el incidente, por ejemplo, compartiendo infor- mación a través de nuestra herra- mienta Icaro, como indicadores de compromiso o hashes , y enviamos boletines, recomendaciones, etc.", explica Gómez Hidalgo. También jugó un papel muy acti- vo durante esas jornadas el CCN- CERT. El órgano dependiente del Centro Nacional de Inteligencia tardó solo unas horas en desarrollar una herramienta de descarga gra- tuita llamada NoMoreCry, capaz de evitar la ejecución del virus en los ordenadores. Un desarrollo que ha alcanzado reconocimiento interna- cional y que contribuyó a frenar la expansión del malware . Para Gómez Hidalgo, la respuesta a WannaCry "ha sido un éxito de coordinación a nivel nacional por- que los mecanismos de ayuda que pone la Administración al servicio de los operadores funcionaron, así como los propios protocolos de los operadores". No obstante, a

pesar de que España no ha sido el país peor parado, el responsable de Incibe reconoce que también se han detectado algunas necesidades para futuras emergencias, como "un mayor contacto con los operadores y otros agentes". ¿Lecciones de futuro? Pasado el tiempo, la cuestión es si la tormenta de WannaCry cala- rá en las organizaciones. Porque, aunque existen precedentes sobre amenazas capaces de paralizar una compañía, da la sensación de que algunas lecciones aprendidas del pasado han caído en saco roto con el tiempo. No en vano, el subdirector de Servicios de Ciberseguridad de Incibe explica que "ciertas políticas, aunque estén escritas, no llegan a cristalizar por cuestión de tiempo", por lo que "es necesario seguir insis- tiendo en ello". Pero si importante son las solu- ciones de seguridad que implemen- ten las empresas, para profesionales como Ramsés Gallego es fundamen- tal el desempeño de los empleados. Este experto considera lamentable

20 red seguridad segundo trimestre 2017