Este fin de semana ha estado marcado por el impacto del ransomware WannaCrypt, que atacó el viernes la red interna de Telefónica y a otras organizaciones por medio mundo, incluyendo varios hospitales de Reino Unido. Sin embargo, el sábado sabíamos que el ataque había sido detenido por unos investigadores que encontraron un "kill-switch", un interruptor de apagado de emergencia en el código del malware.
A pesar de eso, después de un fin de semana tranquilo los expertos en seguridad advierten de que WannaCrypt está atacando de nuevo, y crece el miedo a que acabe llegando una nueva versión sin el kill-switch con el que se se ha podido detener. Por lo tanto es importante seguir extremando las precauciones para evitar disgustos inesperados.
My bad - finished analyzing all #Wannacry worm mods we have and they all have the kill switch inside. No version without a kill-switch yet.
— Costin Raiu (@craiu) 14 de mayo de 2017
Este fin de semana, WannaCrypt fue detenido gracias a un interruptor de emergencia que fue hallado en su código. Habían descubierto que el ransomware se conectaba con un dominio concreto que estaba sin registrar, y después de gastarse 10 dólares en comprar este dominio los hackers que estaban investigando el virus se dieron cuenta de que lo habían conseguido detener.
Costin Raiu, de Kaspersky Lab, advirtió inicialmente de que se habían visto versiones de WannaCrypt sin el interruptor que permite desconectarlo, aunque posteriormente rectificó diciendo que de momento todas las que ha investigado lo siguen teniendo. Sin embargo, varios expertos aseguran que es probable que una versión sin Kill-Switch acabe llegando, por lo que es importante extremar las precauciones.
Mas ejemplos de la variante de Wanacry sin el Kill Switch. https://t.co/qwaFiL867i
— Josep Albors (@JosepAlbors) 14 de mayo de 2017
Sin ir más lejos, hemos hablado con Josep Albors, Jefe de Concienciación e Investigación de ESET España, y nos ha dicho que estas primeras versiones sin kill-switch fueron vistas ayer, aunque de momento ninguna de ellas es totalmente funcional. Sin embargo es una señal de que ya se está trabajando en ello.
WannaCrypt es lo que menos debería preocupar
Albors también nos advierte de que el ransomware WannaCrypt es lo que menos debería preocuparnos en estos momentos. Lo que de verdad es importante es el gusano en sí, la parte de su código que permite introducirse en los equipos, una capacidad que se puede incluir a casi cualquier malware.
"Imaginate esta situación, se lanza este mismo ataque pero, en lugar de un ransomware, te planta un software espía en algunas de las empresas mas importantes del mundo", nos dice. "Ese software permanece silencioso recopilando datos de todos los ordenadores de la red que ha logrado infectar gracias a la vulnerabilidad EternalBlue".
Y si se da el caso, ¿cuánto tiempo puede pasar hasta que sea detectada la intrusión y cuanta información puede robarse durante ese tiempo? Josep también insiste en que con este gusano también se podrían realizar otros ataques a instalaciones industriales desprotegidas y vulnerables como ya se ha visto con los casos de Renault o Nissan.
Windows parcheado y siempre actualizado
WannaCrypt afecta a los equipos que utilizan sistemas operativos Microsoft Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 y R2, Windows 10 y Windows Server 2016. Si tú o tu empresa utilizáis alguno de estos sistemas operativos tienes que asegurarte de estar bien protegido.
Asegúrate de tener parcheado el equipo.
Microsoft publicó en marzo un parche para solucionar la vulnerabilidad que aprovecha este ransomware, y lo puedes descargar de aquí. Por lo tanto, todo es tan fácil como asegurarte de que tus equipos tengan este parche instalado, algo tan sencillo como esto hubiera ayudado a prevenir el alcance tan espectacular que consiguió este ataque.
Y como siempre, otra de las cosas que tienes que tener siempre en cuenta es asegurarte de tener tu Windows siempre actualizado. Microsoft actualiza muy a menudo sus sistemas operativos con múltiples parches como el publicado en marzo, con los que prevenir todas las vulnerabilidades descubiertas en su sistema operativo. Por lo tanto, también es vital pasarte por Windows Update periódicamente y asegurarte de tener siempre actualizado el sistema operativo.
Medidas de seguridad básicas frente al ransomware
Sin embargo, aunque estas dos simples medidas te pueden ayudar a prevenir este y muchos otros ataques no te hacen invulnerable a todos los tipos de ransomware. Por eso aquí te dejamos una serie de consejos que debes seguir para evitar en la medida de lo posible que tu empresa se vea afectada en el futuro por este tipo de ataques.
Ten en cuenta que aunque no es el caso de WannCrypt, muchos de los ataques de ransomware se aprovechan del factor humano. Para infectarte te suelen enviar archivos mediante correos electrónicos fraudulentos en los que se te incita a descargarte un adjunto y ejecutarlo en tu ordenador. Por eso es importante no bajar la guardia y asegurarte de que los empleados de tu empresa tampoco lo hagan.
Eso quiere decir que tenéis que evitar siempre ejecutar ficheros anexados a un correo, enlaces cuya dirección desconoces o con URLs acortadas, o cualquier imagen que venga adjunta en un correo no solicitado. Algunas de estas supuestas imágenes pueden estar camuflando un archivo ejecutable. En resumen podemos decir que no te fíes nunca de un correo cuyo remitente no conoces. Además, si te escribe una empresa o servicio oficial nunca te van a adjuntar un ejecutable.
Ten siempre copias de seguridad actualizadas con todos tus datos.
Pero como en grandes empresas es difícil entrenar correctamente a todos, también es vital tener siempre copias de seguridad actualizadas de tus datos. De esta manera, si secuestran uno de tus ordenadores siempre podrás formatearlo para eliminarlo y recuperar después los datos perdidos con estas copias de seguridad.
Si te has infectado con un ransomware también tienes que evitar caer en la tentación de pagar el rescate por tus datos. Primero porque estarás fomentando este tipo de actividades permitiendo que se salgan con la suya, y segundo porque nadie te puede asegurar que una vez realices el pago el criminal que te ha infectado vaya a devolverte los datos.
Por último tampoco viene de más tener un antivirus instalado en tu equipo. No porque te haga invulnerable, sino porque añade una capa más de seguridad que puede evitar que seas víctima de los ataques más comunes. Pero sobre todo recuerda que la primera capa de seguridad eres tú, y repetimos, no te fíes de todos los correos que te lleguen prometiéndote a saber qué a cambio de que te bajes una aplicación o fotografía.
En Xataka | Cómo un investigador anónimo ha detenido "accidentalmente" y con 10 euros el ransomware WannaCrypt
Ver 18 comentarios