Y vuelta a empezar, otra ramificación del famoso cryptoware que se dedica a cifrar los documentos, pero esta vez también lo hace con los nombres de los archivos y carpetas, con lo que es más difícil averiguar qué hemos perdido.
Las cosas han cambiado mucho desde el primer virus que apareció (Creeper, creado en 1972 ), ya no se trata de hacer la gracia o de ganar notoriedad por un hacker o grupo de hackers. Más bien deberían ser crackers que son los que hacen daño de verdad, no el hacker que simplemente informa del problema, a pesar de ser cierto que ha cambiado esta percepción y, hoy en día, se dice hacker a ambos sin diferenciar el bien del mal.
No, ahora mismo el romanticismo no existe y se trata de una guerra pura y dura, una guerra que ya hace mucho tiempo que dura. Detrás de esto no encontramos individuos, sino a bandas terroristas, mafias y, sí, también los gobiernos No debemos olvidar que nuestras empresas, nosotros mismos, no paramos de recibir ataques directos o intentos de robo de identidad, propiedad intelectual, extorsión, … a diario, continuamente. Consiste en hacer daño y vosotros no sois la excepción. Todos, repito, todo el mundo está expuesto y le pasa: cifrado de documentos y extorsión, suplantación de identidad, espionaje, …. Nadie está vacunado contra esto y la mejor arma que tenemos de defensa es ser conscientes de lo que pasa, de lo que puede pasar. Es decir, EDUCACIÓN y formación al respecto de nosotros mismos y de nuestros usuarios. De nada sirve tener el mejor sistema de seguridad del mundo si con sólo llamar a la puerta, la abrimos conscientemente de par en par.
RECORDAD QUE NO HAY UN SISTEMA SEGURO AL 100%, NI AHORA, NI SEGURAMENTE NUNCA. COMO TAMBIÉN RECUERDA QUE UN SISTEMA ES TAN SEGURO COMO LO ES SU PUNTO MÁS DÉBIL.
En marzo ya tuvimos un toque de atención, el punto de inflexión a partir del primer cryptoware que hizo daño, mucho daño y lo sabéis. La mayoría le ha llegado o le ha vuelto a pasar disfrazado de muchas formas, pero todas con un único objetivo. Destruir la información, hacer daño atacando el más preciado y poder conseguir dinero.
Por qué triunfó este ataque? Simple, fueron el punto más débil, ni en el cortafuegos, ni al anti-virus, ni a las cuentas de administrador, ni nada de eso, simplemente fueron directos al usuario final y sólo que UNO picara el cebo ya estaba. Empresas sin saber qué pedidos deben servir, que tienen en el almacén, qué declaración de IVA deben hacer, los planos de fabricación, las memorias técnicas, … Y sí, las fotos de los niños cuando eran pequeños y que no tenían ninguna copia en papel. Analice bien antes de decir la frase yo no tengo nada interesante, porque no es así. Todo el mundo tiene cosas interesantes, muy interesantes y lo sabéis. No nos engañemos.
La pregunta es: ¿dónde van a parar ese dinero? Y la respuesta no es precisamente a obras de caridad o en el bolsillo de algún chico o chica con granitos en la cara. La inmensa mayoría de este dinero sirve para financiar las batallitas terroristas, guerrillas, … Estad atentos a sus sistemas, tome las medidas oportunas, porque seguramente volveremos a tener una ola de ataques directos de estos tipos .
¿QUÉ PUEDO HACER COMO RESPONSABLE DE MI SISTEMA INFORMÁTICO?
Formar a los usuarios, primero que todo, ellos son la clave de la defensa de este tipo de ataques. Que no abran nada de lo que no esperan o no conozcan, sobre todo archivos ejecutables, enlaces a páginas web, archivos de Word, Excel o PDFs.
Reduzca los permisos de los usuarios a los que sean estrictamente necesarios para ellos. De esta manera se puede paliar un poco el ataque.
Actualizaciones, actualizaciones y actualizaciones. Es muy importante tener al día las actualizaciones de los sistemas operativos, dispositivos de seguridad (cortafuegos, anti-virus), aplicaciones de uso habitual (navegadores de Internet, paquete ofimático) y las estrellas de la seguridad: JAVA y Flash.
No exponga los servidores directamente en Internet. Ya sé que esto de los certificados lo veis complicado, pero os salva de una “muerte” segura. ¿Cuántos tenéis publicado directamente el puerto RDP (TCP 3389) contra uno de los servidores? ¿Sabéis que uno de los métodos de infección es un ataque de fuerza bruta contra este puerto, no? Bueno, ¿seguro que tenéis el nombre de usuario administrador cambiado y con una contraseña fuerte. NO? ¿Pues a que esperáis para hacerlo? Cambiad ya el nombre de las cuentas de administrador y poned contraseñas fuertes a estos usuarios además de cerrarlos en la caja fuerte y olvidarse de utilizarlos.
Y mejor, haced la publicación mediante túneles por certificado o dispositivos de proxy en conexiones para evitar exponer directamente el servicio.
¿Cómo están las versiones de sistemas operativos de clientes y servidores? ¿No estaréis aún con Windows 2003 y Windows XP, no? Sobre el sistema operativo cliente, por favor, saltad a Windows 10 YA. No para vender más licencias (ahora que no me oyen los comerciales), sino por el nuevo sistema de protección que lleva.
Ya no se trata de tener un buen anti-virus (que también) con una base de datos con las firmas de anti-virus al día. Bien sabéis que hoy en día cualquiera puede hacer un virus. Sólo hay un panel de control donde indicas el tipo de vulnerabilidad a atacar, qué quieres que haga el virus y cómo quieres que lo haga, lo compilas (es pulsar una tecla) y ofuscan el código (vaya!, que no lo reconoce ni su madre) . Lo envías por correo electrónico a este mundo y ya tienes otro virus. ¿Cómo se puede luchar contra eso? Siempre van por delante, por supuesto, por muchos recursos que tenga la empresa de anti-virus no puede detectar todo y menos definir patrones para todo. Cada vez se hace más difícil poder pararlo.
Microsoft hace tiempo que es consciente del gran problema que se han convertido los problemas de seguridad y Windows 10 dispone de tecnología para detectar y bloquear comportamientos sobre el sistema operativo que reducen las consecuencias! Hablaremos más adelante en profundidad de este tema que por sí solo merece una entrada.
Siento ser tan duro, pero más duro es tener que escuchar al otro línea del teléfono un cliente desesperado porque le han cifrado toda su información y no puede abrir la empresa; con una sensación de impotencia terrible ya que no podemos hacer nada. Es muy duro y puede pasar, no lo ignore, estad preparados para rechazarlo y triunfarán en su día a día.