Ataque a gran cantidad de ordenadores del tipo encriptación del contenido el pasado viernes 12 de mayo de 2017. Variante sobre ataques anteriores más agresiva que aprovecha una vulnerabilidad de Windows para expandirse dentro de la red local (LAN). El método típico de propagación es a través del correo electrónico disfrazado de factura aunque también son habituales los ataques a conexiones remotas vulnerables de los equipos (como las conexiones de escritorio remoto de Windows).
Todos los archivos almacenados y accesibles son encriptados y sus originales borrados solicitando un rescate para su restauración a pagar a través de medios electrónicos. El pago del chantaje teóricamente nos proporcionará un programa que dejará los archivos en su estado original. No siempre es así por lo que se recomienda no pagar.
Este tipo de ataque lleva tiempo ocurriendo pero la gran alarma mediática que ha producido al afectar a empresas de telefonía, bancos y transportes ha hecho que parezca ,de cara al gran público, como una novedad. Todo el mundo lo llevaba sufriendo en pequeñas cantidades desde hace al menos dos años.
La cantidad de dinero recaudado por las organizaciones que están detrás de estos ataques es elevado (del orden de miles de millones de $) y la acción legal por parte de la justicia muy complicada al tener su base en países con una legislación permisiva y sin acuerdos de cooperación.
Como siempre oliendo una buena noticia con gran connotación social han machacado hasta la saciedad y han tirado de pseudo expertos tertulianos para desinformar y elucubrar sobre todo tipo de teorías. La sensación de alarma en una sociedad cada vez más dependiente de las tecnologías de la información y la tendencia a utilizar este tipo de ataques como excusa de cualquier fallo informático, por parte de los usuarios y administradores, aumentan su repercusión. Además provocan situaciones como la que se describe a continuación.
A día de hoy, viernes 19 y con una semana de por medio, los colegios de la Comunidad de Madrid siguen sin conexión a Internet «oficial» y con prohibición de encender los ordenadores no por ningún ataque, solamente por si acaso. Siendo la única comunidad que ha tomado esa medida ¿cual es la razón de este despropósito en la tan cacareada era digital de la educación?.
Como siempre, puede haber varias razones para ello pero está claro que la de mayor peso es la estructura que adoptaron para proporcionar conexión de fibra a todos los colegios. Para ello, interconectaron todos los centros mediante routers que a través de VLAN (redes virtuales) permiten tanto la gestión centralizada de dichos routers (posiblemente con intención de incluir todos los dispositivos del centro como posible opción de futuro), como un filtrado bastante restrictivo de los contenidos globales.
Este sistema, aparentemente bueno sobre el papel, solo es bueno para ellos. No permite exprimir toda la velocidad de la fibra conectada, provoca caídas masivas de la conexión (como es el caso y otros anteriores) e impide el acceso a muchos servicios necesarios en los centros como pueden ser ciertos portales de Apple para manejo y gestión de Ipad. Esto ha generado que muchos colegios e institutos hayan tenido que contratar sus propias líneas aparte de la de la CAM.
Naturalmente todos nos hacemos la misma pregunta, ¿porqué una acción tan radical como cortar la conexión y pedir que no se enciendan los ordenadores?, en esa super-red que han creado ¿no hay filtros, firewalls, detectores de intrusiones…?. Probablemente sí (lo contrario sería que han hecho una chapuza) pero hay que tener en cuenta que también hay «gallinitis» por parte de los políticos y encargados de departamentos lo que supongo que ha precipitado una decisión para la que no estaban preparados y de la cual parece que no tienen muy claro por dónde salir.
¿Tan graves podían ser las consecuencias de mantener todo conectado como se ha hecho en general?.
Aquí encontramos el siguiente gran talón de Aquiles de la informática educativa en la CAM. Hace más de una década invirtieron en infraestructura en los centros de forma un poco caótica sin preocuparse de los problemas futuros (aulas de ordenadores cada una con su propia instalación de red, es decir, si se montaba otra el contratista montaba otra red con su armario y conexiones, dispositivos enviados al buen tun tun sin una formación adecuada para los profesores…). Después llegaron las vacas flacas y se acabo, se acabaron los mantenimientos, el soft y el hard se quedo obsoleto, los equipos directivos tuvieron que decidir y asumir sus propias inversiones… y así llegamos a 2017 con un parque de PCs anticuado (Pentium con menos de 1gb de RAM, Windows XP..) eso sí, con MAX. Porque esa ha sido su solución en los últimos años, decir a todo el mundo que usaran el MAX, «medio» formar a los TIC (que vaya por dios, en muchos sitios cambian todos los años) y que estos formaran al profesorado (claro que el misterio era con que horas contaban para formarse ellos y para formar a los demás… 4 horitas semanales). Esta obsolescencia (no programada pero fácilmente vaticinable) es la que puede justificar este nivel de alarma, del que realmente ellos mismos han sido los causantes.
Antivirus: no existe un medio de protección 100% fiable y desde luego los antivirus de los PC no suelen ser uno de ellos ya que, normalmente, sus actualizaciones van por detrás de las amenazas.
La tópica frase «pero si tengo antivirus en el ordenador» es un síntoma de la poca cultura informática de los usuarios y en algunos casos de las malas prácticas de los profesionales que aseguran a los primeros que al adquirir tal o cual producto estarán totalmente a salvo de amenazas. Esto no quita que los mencionados antivirus, y otras utilidades como anti-spam, anti-spyware, anti-malware, etc. no sean útiles como última barrera de defensa y para mantener controladas otros tipos de amenazas presentes en el entorno digital. Así podríamos encontrarnos que el correo enviado con el enlace malicioso que activaría el ransomware es calificado como spam y por lo tanto apartado de nuestro flujo de correo normal, reduciendo así las posibilidades de equivocarnos y provocar la activación del proceso destructivo.
Sistemas operativos: mantener actualizados los sistemas mediante un ciclo de renovación periódico No hace falta tener el último Windows pero tampoco una versión de hace 15 años y sin soporte del fabricante. Una vez que un nuevo Windows sale al mercado un periodo de dos años puede considerarse adecuado para que se solucionen los problemas de juventud y pase a ser un valor seguro para nuestros sistemas. Mantener las actualizaciones y los parches recomendados por el fabricante no siempre es posible debido a soft y hard de terceros incompatible en nuestros sistemas pero, si es factible, es la mejor política.
Estructura de la red: racionalizar y compartimentar de los recursos compartidos en las redes, empresariales o particulares, mediante usuarios y contraseñas es otra buena práctica que podría limitar el acceso de algunas variantes del virus, menos agresivas, a los recursos generales.
Cortafuegos (Firewalls) con los servicios adecuados para bloquear y monitorizar este tipo de ataques
Formación del personal para que sean conscientes de su responsabilidad y del gran daño que se puede hacer así como el uso racional del correo. Campañas de concienciación sobre uso y gestión de contraseñas así como provocar configuraciones vulnerables. En los casos de pymes sin departamento propio, subcontratar y dejarse aconsejar por partners de confianza. También puede ser interesante realizar simulaciones virtuales de ataques para que los usuarios comprendan mejor los mecanismos y sus consecuencias.
Ante este tipo de ataques nuestra última línea de defensa y la única solución 100% buena son las copias de seguridad y sus correspondientes políticas de recuperación. Una copia de seguridad ha de estar estructurada en:
* Una primera copia de los datos importantes de uso inmediato que puede estar accesible (poco efectiva para los ataques de ransomware pero muy útil para recuperar pequeños archivos borrados accidentalmente. Lo más periódicamente posible. Es factible que se encuentre en otro disco del propio ordenador o en algún dispositivo USB conectado o en otro dispositivo de la red local (como un NAS u otro servidor)
* Una copia dentro de la oficina y separada del ordenador principal (si es posible en un punto «duro» – armario blindado, caja fuerte..). Esta copia debería ser de todo el ordenador permitiendo la recuperación completa del sistema incluso en otro hardware (baremetal) su soporte tendría que ser rápido (para volver a la normalidad lo antes posible) y protegida por sistemas que impidan a los usuarios el acceso a ella. Un soporte habitual hoy en día son los NAS (discos de red) que pueden situarse en cualquier punto donde haya una toma de red local (LAN). Periodicidad diaria como mínimo.
* Otra copia deslocalizada de la anterior, es decir, fuera de la oficina. Recomendable diaria. Puede ser en la nube (Cloud) en un centro de datos externo, en un NAS situado en otra delegación de la empresa (o en el domicilio personal en el caso de empresas familiares) siempre que tengamos una conexión de datos apropiada. Si no es así, también puede ser en otro tipo de soporte (disco USB) que debido a que alguien tendría que encargarse de llevar y traer resulta menos operativo.
Como solución final, si hemos perdido todos nuestros datos por un ataque de encriptación, algunas empresas ofrecen servicios de desencriptación y recuperación de discos dañados. Este tipo de servicios no cubren todos los casos que abarca la copia de seguridad bien estructurada, tardan más y pueden ser bastante onerosos pero siempre están ahí como recurso desesperado.
Jesús López
@jlopegran
Copyright © Asistencia Informática Empresarial 2019