Desde el viernes pasado, un ataque masivo de ransomware llamado Wannacrypt ha desatado las alertas del mundo. De acuerdo con la Europol, los sistemas afectados superan ya los 200,000 alrededor de 150 países quienes han visto secuestrada su información. El impacto ha paralizado empresas de telecomunicaciones, sistemas hospitalarios, sistemas de transporte e incluso la producción automotriz de una empresa.

NOTICIA: ¿Qué son los ransomware?

El ataque fue diseñado a partir de una vulneración a los sistemas de Windows que fue aprovechada por la Agencia de Seguridad Nacional de Estados Unidos (NSA) en sus programas de espionaje, misma que se dio a conocer cuando el colectivo TheShadowBrokers filtró las herramientas de la NSA. La vulnerabilidad fue parchada por Microsoft en marzo, aunque apenas el fin de semana, la compañía liberó parches para sistemas obsoletos como Windows XP mismos que aún tienen amplia presencia en los sistemas industriales, pero ya no cuentan con el soporte técnico de la firma tecnológica.

NOTICIA: Telmex, CFE y Gobierno: en riesgo de infección por WannaCrypt en México

Esto nos muestra una serie de realidades: por un lado, la minimización de la importancia de las actualizaciones de los sistemas y prácticas deficientes en ciberseguridad tanto de empresas como de usuarios; por otro lado, la falta de un control sobre el desarrollo de armas cibernéticas y la negativa de los gobiernos como el estadounidense a informar a los fabricantes sobre vulnerabilidades, lo que puede poner en riesgo al mundo entero.

Este ataque proporciona otro ejemplo más de por qué el almacenamiento de vulnerabilidades por los gobiernos es un problema. Este es un patrón emergente en 2017. Hemos visto vulnerabilidades almacenadas por la CIA aparecer en WikiLeaks, y ahora esta vulnerabilidad robada de la NSA ha afectado a clientes de todo el mundo. En repetidas ocasiones, los exploits en manos de los gobiernos se han filtrado al dominio público y causado daños generalizados. Un escenario equivalente con armas convencionales sería el de los militares estadounidenses con algunos de sus misiles Tomahawk robados , escribió Brad Smith, presidente y director Jurídico de Microsoft.

NOTICIA: Bancos, FedEx, Telefónica y Renault entre las víctimas del WannaCry

En entrevista con El Economista vía correo electrónico, el director Académico del Master in Cybersecurity del IE Business School, Gianluca D’Antonio es enfático en que se necesitan mayores controles sobre el desarrollo de las armas cibernéticas y sobre la divulgación de las vulnerabilidades. Pero el escenario que plantea el experto no es prometedor: calcula que de aquí a 2020 necesitaremos incorporar más de 2 millones de expertos en ciberseguridad a nivel mundial para enfrentar las amenazas que se gestan dentro de la Jungla Digital pues asegura que con Wannacrypt, vimos a un tigre, pero afuera existen muchas amenazas más.

¿Qué conclusiones se pueden extraer del ataque masivo de ransomware, que ya ha afectado a 200,000 sistemas alrededor de 150 países? ¿Las prácticas de seguridad de las empresas son deficientes? ¿Los sistemas son vulnerables y los cibercriminales podrían estar 'ganando' la batalla?

La primera conclusión que podemos extraer es que cada vez somos más dependientes de las tecnologías de la información. En un mundo encaminado hacia la transformación digital y la era de los robots, la gestión de los riesgos tecnológicos se conforma como una práctica cada vez más relevante.

Que los sistemas sean vulnerables no significa que no existan medidas que puedan mitigar los riesgos, así como buenas prácticas que puedan minimizar el impacto de un ciberataque como el que hemos sufrido este fin de semana. Más que la batalla, los ciber criminales están ganando mucho dinero; sólo el año pasado ganaron más de dos 280.000 millones de dólares. Esta cifra corresponde al Producto Interior Bruto de un país como Irlanda.

La solución al problema aparentemente luce sencilla: actualizar los sistemas. Sin embargo, esto no parece detenerse ¿Por qué se sigue propagando tan rápido? ¿Se va a detener?

Efectivamente la solución en este caso ha sido publicada por Microsoft a mitad de marzo con un parche que solventaba las vulnerabilidades del sistema. Sin embargo, fue ayer cuando Microsoft publicó el parche para los sistemas fuera de mantenimiento como el XP y Windows 7. Sistemas que están todavía presentes en muchísimas organizaciones de ámbito privado y público. Esto explica en parte también la capacidad de propagación de este virus.

En este ataque alcanzó servicios críticos: salud, telecomunicaciones, transporte, financiero. ¿Esto debería encender algún tipo de alertas? ¿Qué recomendaciones podrían hacerse a los gobiernos como el mexicano, que está en pleno despliegue de agendas digitales y el diseño de una Estrategia de Ciberseguridad Nacional?

Sólo con el tiempo podremos conocer el impacto real que ha tenido este ataque en todos los servicios. Por la prensa hemos aprendido los problemas que este ataque ha generado en el Sistema Sanitario Nacional de Reino Unido. Efectivamente este incidente a escala mundial debería marcar un antes y un después en los sistemas de gestión de la seguridad de la información.

Los países deberían desarrollar estrategias de ciberseguridad nacional orientadas al desarrollo de capacidades reales y por ello medibles. En España desde 2011 el sector privado, en colaboración con los organismos públicos competentes para la ciberseguridad, llevan a cabo de forma coordinada ciber ejercicios para mejorar las capacidades de respuesta ante este tipo de amenazas.

¿Qué riesgos existen de que este ataque (o uno similar en el futuro) pueda causar alguna emergencia nacional?

El riesgo existe y en el pasado hemos asistido a ataques dirigidos hacia las infraestructuras críticas de determinados países y que han provocado graves problemas en el suministro de energía, por ejemplo.

¿Qué impactos podría tener para empresas como Telefónica que fueron los primeros en verse afectados y, de alguna forma, quienes abanderan junto con el NHS las filas de las víctimas de WannaCry?

En mi opinión, en este caso el único impacto será un posible daño de reputación.

¿Qué enseñanzas y/o qué novedades deja este ataque para la comunidad de investigadores? ¿Qué prácticas deben cambiar en las empresas y en los usuarios finales?

La seguridad de los sistemas de información es una responsabilidad compartida entre todos: Administración Pública y sector privado, organizaciones y ciudadanos. De aquí a 2020 necesitaremos incorporar más de 2 millones de expertos en Ciberseguridad si queremos ser capaces de hacer frente a estos desafíos. Esta vez nos hemos topado con un tigre, pero en la Jungla Digital hay más ciberamenazas que pueden poner en riesgo nuestra sociedad.

¿Microsoft podría verse afectado económicamente tras este ataque? ¿Industrias o gobiernos empiecen a prescindir de los sistemas Windows y demás sistemas de Microsoft, y adopten otras plataformas como Linux o software de código abierto?

Es todavía pronto para hacer derivar de este incidente este tipo de consecuencia. Los sistemas operativos de Microsoft siguen siendo dos los más utilizados en muchísimos países. Y por parte de Microsoft la gestión de esta crisis ha sido en mi opinión muy eficaz. A las pocas horas de desencadenarse el ciberataque Microsoft tomó la decisión de liberar los parches también para los sistemas operativos fuera de soporte.

¿Qué opinas de la posición de Microsoft donde reconoce que el ataque se derivó de la filtración y aprovechamiento de los exploits de la NSA, y del control de armas cibernéticas a través de una "Convención de Ginebra Digital?

En mi opinión la de Microsoft es una posición correcta: Necesitamos desarrollar acuerdos internacionales y regulación que sean las bases para una gobernanza mundial de Internet.

[email protected]