A fondo: Guía maestra para protegerse de Wannacry, Petya y todo el ransomware que está por venir

Si 2016 se convirtió en el año de su consolidación, 2017 va camino de ser el de las campañas sonadas de ransomware. Este tipo de malware, que secuestra la información almacenada en equipos informáticos e impide su uso para pedir un rescate a cambio de su liberación, apenas necesita ser presentado ya. La infamia le precede. Sus efectos alcanzaron a multitud de empresas de todo el mundo el mes pasado con Wannacry, o WannaCrypt. Y su agresividad se ha vuelto a poner esta misma semana de relieve a través de una variante de Petya.

A las pocas horas de comenzar su ataque, esta variante ya había infectado a grandes empresas y servicios como Maersk, Merck, Mondelez, Rosneft y el metro y entidades gubernamentales de Kiev. Había secuestrado ordenadores corporativos, bancarios, redes eléctricas, puertos marítimos y aeropuertos en diversos países, incluyendo a España y usando diferentes formas de propagación. Por un lado, con una versión modificada de la herramienta PsExec para ejecutar procesos en sistemas remotos. Por otro lado, abusando de la interfaz de secuencias de comandos WMIC. Si ninguna de estas cosas sale bien, lo que hace es aprovechar el exploit EternalBlue desarrollado por la NSA y robado por los hackers ShadowBrokers para explotar una vulnerabilidad en Server Message Block de Windows, como ya hizo WannaCry. Además, este malware puede extenderse a todas las máquinas conectadas a la misma red. Al final, impide el arranque del sistema, solicita un pago de 300 dólares en Bitcoins y cifra archivos.

No pagar, nunca

Y ahí llega el pánico de las víctimas y las primeras dudas. ¿Qué hacer frente al ransomware? ¿Qué hacer cuando ya ha golpeado? ¿Rendirse a los ciberdelincuentes o no? La compañía de seguridad Trend Micro insta a los afectados a que no paguen el rescate exigido, “ya que la cuenta de correo electrónico utilizada por los atacantes para validar los pagos ha sido desactivada por el proveedor Posteo”. De hecho, no pagar es una de las recomendaciones más repetidas por todos los expertos, que explican que ceder al chantaje no significa que el ciberdelincuente vaya a cumplir su palabra tras recibir el cobro. El director técnico de Trend Micro Iberia, José de la Cruz, explica que debido a la complejidad del último ataque “la forma más efectiva de mitigar el riesgo es a través de un enfoque multicapa de defensa en profundidad”.

¿Y qué significa un enfoque multicapa? Por un lado, concienciar a los empleados y restringir privilegios, lo que lleva a pensar en “políticas de ‘privilegios mínimos’” para los equipos corporativos y contener la propagación. Por otro lado, hay que aplicar los parches, proteger herramientas de administración del sistema del estilo de PowerShell o PsExec, monitorizar redes de forma proactiva para identificar comportamiento sospechoso, lo que pasa por “implementar segmentación de red y categorización de datos para detener la propagación de ransomware“, y deshabilitar aquellos protocolos o herramientas que no se necesitan. Desde Trend Micro aconsejan empezar por el bloqueo del puerto TCP 445 y por limitar las cuentas con acceso a los administradores. Esto es, además de aplicar de una vez por todas el parche de seguridad MS17-010 de Microsoft antes de que algo así vuelva a suceder.

“A diferencia de otros ransomware, Petya no cifra los archivos en las empresas infectadas uno por uno, sino que bloquea todo el disco duro. Para protegerse”, coincide Maya Horowitz, responsable del Equipo de Inteligencia de Amenazas de Check Point, “deben aplicar la última actualización de seguridad de Microsoft inmediatamente y deshabilitar el protocolo de intercambio de archivos SMBv1 en sus sistemas de Windows. Las organizaciones también tienen que ser capaces de evitar que se produzcan infecciones mediante el escaneado, bloqueo y filtrado de archivos sospechosos de contenido antes de que entren en sus redes. Además, deben educar a sus empleados sobre los riesgos potenciales de los mensajes de correo electrónico de personas desconocidas, o de emails sospechosos que parecen enviados por contactos conocidos”.

En este sentido, habría que pensar “antes de hacer clic”. Éste es uno de los mensaje que está intentando inculcar otra empresa experta en ciberseguridad como es McAfee a raíz de un ataque que “podría estar expandiéndose a través de correos de phishing o spam. Por lo tanto, asegúrate de revisar el contenido de cualquier correo electrónico y verificar que es legítimo. Además, coloca el cursor sobre un enlace y comprueba si se dirige a una URL fiable”, exhortan sus recomendaciones. “Si no estás seguro del contenido de un mail o de la fuente de la que proviene, realiza una búsqueda rápida y busca otros ejemplos de esta campaña que podrían indicarte la legitimidad de este tipo de correos”, siguen detallando. Y esto vale para otras ocasiones en las que el malware intente colarse en los sistemas informáticos.

La española PandaLabs añade que hay que tener ojo con los documentos adjuntos y que lo mejor es analizar “todos los correos electrónicos entrantes y salientes para detectar amenazas” y filtrar los archivos que son “ejecutables para evitar que lleguen a los usuarios finales”. En caso de que sea un contacto conocido el que haga llegar “un correo sospechoso”, algo que podría pasar, también conviene extremar las precauciones y no ejecutar archivos, según ESET. Una buena idea sería “deshabilitar macros y scripts en los ficheros que se envían por correo” y hasta “considerar la utilización de Office Viewer para abrir ficheros adjuntos de Microsoft Office en lugar de abrirlos directamente con la propia aplicación Microsoft Office”, tal y como aporta por su parte Fortinet.

Otra firma especializada en seguridad que desaconseja “abrir ficheros descargados de internet o recibidos por correo electrónico de fuentes no confiables o desconocidas” es G DATA, que anima a “mantenerse informado de las novedades que puedan publicarse sobre este ciberataque”, u otros, siguiendo las noticias o a los propios expertos. Mientras, en Trend Micro creen que hay que “sensibilizar” a empleados y “usuarios sobre lo que deben hacer si creen que han recibido un email sospechoso o si les anima a visitar un sitio dañino”, antes de que acaben activando enlaces en los que no deberían pinchar.

La concienciación es clave. “Los ataques de ransomware no son nuevos y, de hecho, son cada vez más frecuentes”, reflexiona Camilo Gutiérrez, jefe del Laboratorio de ESET Latinoamérica, hasta donde también se ha extendido este ransomware que comenzó pegando fuerte en Europa. Esta clase de ataques pone en alerta a profesionales y “compañías porque detienen la continuidad del negocio, pero es importante saber que pueden estar protegidos teniendo una infraestructura de seguridad eficiente y actualizada”. Esa actualización debe abarcar las últimas versiones de sistemas operativos y aplicaciones presentes en los equipos de toda la red, el firmware, las propias soluciones de seguridad y los parches de urgencia. “En definitiva, se trata de mantenerse en alerta y aplicar buenas prácticas de seguridad sin caer en la desesperación”.

Para Kaspersky Lab, lo que tienen que hacer las organizaciones es “actualizar su software de Windows, comprobar su solución de seguridad y asegurarse de que tienen una copia de seguridad y detección de ransomware”. La fórmula se completa con otros consejos de Fortinet, que lanza soluciones como “implementar tecnologías antivirus, IPS y filtrado web” y “programar verificaciones automáticas regulares en los sistemas antivirus y antimalware”. Fortinet contempla otras posibilidades como los análisis regulares de vulnerabilidades, “una estrategia de continuidad de negocio y de respuesta ante incidentes” y el establecimiento de rutinas de parcheado, que en organizaciones de gran tamaño debería arreglarse a través de “un sistema de gestión de parches centralizado”. Al respecto Trend Micro dice que no hay que descartar los “parches virtuales” si es imposible “implementar inmediatamente los parches del proveedor”.

La importancia del backup

Si ya se ha caído en la trampa, si uno ya ha sido infectado, si la nota de rescate ya ha aparecido en pantalla del ordenador, habrá que deshacerse del malware. Desde el Centro de Operaciones de Seguridad de Always On indican que lo primero es desconectar el equipo o equipos infectados de la red y realizar “una restauración del sistema a un punto anterior”. Habría que “realizar una limpieza completa del equipo con cualquier solución antivirus totalmente actualizada” y, “en caso de que el equipo continúe infectado se deberá realizar una reinstalación de Windows” para restablecerlo.

En todo caso aquí entrará en juego la previsión que se haya tenido. Experto tras experto apunta al backup o la realización de copias de seguridad como un paso fundamental para enfrentarse al ransomware. Las empresas tienen que hacer estas copias de forma periódica, para tener la certeza de que todo está al día, y sin olvidar la información más crítica. Existe una regla conocida como la regla del 3-2-1 que mantiene que al menos hay que tener tres copias guardadas en dos soportes diferentes y que una de ellas sea externa. Además, no basta con hacer las copias. Hay más. Hay que comprobar que funcionan y conviene cifrarlas. Aunque los investigadores de seguridad intentan revertir los efectos del ransomware y poner a disposición de las víctimas herramientas que descifran los archivos afectados, el backup es una garantía.

“Si hay algo que estos incidentes han dejado patente es la importancia que tienen los procesos de backup y la calidad de los mismos para las organizaciones”, opina WhiteBearSolutions. “Gestionar un sistema de backup y recuperación ante desastres no es una tarea sencilla”, advierte su CEO, Ignacio Gilart, “y requiere de una considerable dedicación de recursos por parte de la organización. Se necesitan recursos humanos, logísticos y una buena cantidad de tiempo dedicado al proyecto y a su mantenimiento”. WhiteBearSolutions nombra el plan de recuperación ante desastres y el tiempo objetivo de recuperación como aspectos a tener en cuenta.

“La única defensa fiable contra ataques de ransomware como el de Petya es el backup”, apunta Nigel Tozer, director de marketing de soluciones de Commvault. “Claramente, los criminales detrás de éste y de otros ataques recientes continúan estando un paso de delante del software de detección de amenazas, por lo que, si tus sistemas y datos han sido secuestrados, la única forma real de recuperarlos es ser capaces de revertir los datos a su última copia de seguridad antes de la infección”. Esto es, con “una solución de backup gestionada de forma centralizada. Mientras que revertir a la copia de seguridad anterior a la infección puede suponer la pérdida de algunos datos, no es nada en comparación con el impacto de perder toda la información de forma permanente”.

De cara al futuro, “las organizaciones deben adoptar una defensa integrada en la red, que elimine la complejidad de las soluciones puntuales y capaz de autodefenderse mediante herramientas automatizadas”, en opinión de Eutimio Fernández, director de Seguridad en Cisco España, “operando bajo el modelo de detectar una vez y proteger en todas partes y durante todas las etapas de los ataques: antes, durante y después”. La impresión que tienen algunos miembros de la industria de la seguridad, como es el caso de Check Point, es que el problema está en la fragmentación. “Hay demasiadas tecnologías no compenetradas entre ellas que se dedican a detectar un ataque después de que el daño está hecho”, por lo que “se necesitan arquitecturas unificadas que se centren en prevenir los ataques antes de que lleguen a las redes corporativas”.