Sirva este post como una pequeña reflexión ante toda esta paranoia surgida a raíz del suceso Malware acaecido el pasado 12 de Mayo.
Creo que a nadie que trabaje en el sector IT le ha pasado desapercibido el hecho de que hace un par de semanas, un Ramsomware llamado Wannacry hacía cundir el pánico en grandes empresas estatales, hasta el punto de mandar a sus trabajadores a casa ante el miedo de que se extendiese más la infección. El Payload del Malware no es nuevo. Básicamente hace lo que sus antecesores CryptoLocker o CryptoWall: dame bitcoins o te secuestro tus información sensible. Lo que hacía diferente a Wannacry, sin embargo, era su rapidez en extenderse, tanto temporal como geográficamente, hasta el punto de tener a medio mundo en jaque en menos de 24 horas. Triste pero cierto, la seguridad de empresas como Telefónica, Iberdrola o los servicios Sanitarios Ingleses quedaba en entredicho el mismo día.
A cualquier profesional IT que trabaja y da servicio a clientes sensibles tales como Banca o Sanidad, la noticia no le habrá sorprendido tanto. Lidiar con este tipo de software malicioso es el pan de cada día en las empresas tecnológicas que se dedican directa o indirectamente a las Comunicaciones. Cualquiera acostumbrado a gestionar Firewalls conoce las limitaciones a la hora de prevenir el contagio de este tipo de Malware, pese a que se conoce el modus operandi de su infección desde hace bastante.
La forma de entrada es prácticamente siempre la misma, siendo típicamente un correo con un PDF adjunto en forma de factura no pagada, o bien un falso remitente haciéndose pasar por una empresa de mensajería que requiere autorización. El usuario abre el PDF o lanza el link en cuestión y... ¡BOOM!, se establece una conexión HTTPS entre el PC y un servidor remoto que al Firewall le va a costar mucho detectar. Lo que ocurre entre este punto y la petición de rescate es algo bastante técnico que lo explican muy bien en el blog de COMAE Technologies.
Así pues, y visto el jaleo, creo que todas las molestias que se toman las empresas IT están justificadas. Prevenir siempre antes que curar, pero se ha de dar por hecho que tarde o temprano se recibirá algún ataque o se infectará algún equipo. Es inevitable cuando el factor humano entra en juego. Ahora bien, si hay algo que he aprendido con la experiencia, es que se debería de evitar, en la medida de lo posible, las malas praxis en cuestiones de seguridad. Aquí van unos consejos aprendidos, muy a mi pesar, en el día a día:
- Si tienes un Firewall, aprovechalo. Actualmente casi todas las empresas tienen la posibilidad de adquirir un Firewall con funcionalidades de IPS, DPL, AntisSpam o Webproxys basados en reputación y categorías. ¡Pero es que estas características no se explotan! Ya sea por desconocimiento o porque no hay personal cualificado, se quedan muchas veces sin configurar siquiera :-(
- Asegurate de tener actualizados, en la medida de lo posible, los endpoints de los usuarios. Si hay algo de lo que estoy seguro es que el Malware entrará por uno de ellos y se propagará a los servidores críticos. A tener vigilado especialmente al personal administrativo y de gestión.
- En relación a lo de arriba... Creo que es una medida drástica pero necesaria deshabilitar los puertos USB de los ordenadores.
- Backups. Y Backups de los Backups, si puedes. Si estás infectado es lo único que te puede salvar el pellejo. Bueno eso y montones de pasta para pagar el rescate.
Y hasta aquí mi pequeño ensayo sobre las idas y venidas de estos no tan simpaticos programitas. En breve espero poder dar más información sobre como formarse en Ciberseguridad de forma gratuita.