A poco más de una semana de que corporaciones como Telefónica, instituciones como Servicio Nacional de Salud del Reino Unido y usuarios vieran secuestrada su información derivado del ciberataque masivo global del ransomware WannaCry, diversas firmas de ciberseguridad consultadas por El Economista calculan que México fue uno de los países más afectados a nivel mundial.

La posición de México en el ranking de las naciones más afectados varía dependiendo de la empresa. En un recuento hecho el viernes de la semana pasada, Kaspersky Lab posicionó a México como el quinto más afectado después de Rusia, Ucrania, China e India; mientras que en el listado de Trend Micro, México se ubicó en el segundo lugar después del Reino Unido.

NOTICIA: La era de los ciberdesastres puede ya estar aquí

El ataque de WannaCry se aprovecha de la vulnerabilidad MS17-010 dentro de los sistemas Windows y la falta de actualización de los sistemas operativos fue uno de los motivos por los que tuvo alto impacto en México y a nivel global. Pero datos ofrecidos por Dmitry Bestuzhev, director del Equipo de Investigación y Análisis de Kaspersky Lab para América Latina, muestran que la mayoría de las infecciones no ocurrió en los sistemas operativos más obsoletos.

El 48.84% de las infecciones sucedidas en México de hecho fueron con Windows 7 en plataformas de 64 bits; 43.15% fue en Windows 7 en 32 bits; en tercer lugar, se encuentra el sistema operativo Windows Server 2008 R2 Standard Edition 64 bits con 1.81%; luego viene Windows Server 2008 R2 Enterprise 64 bits con 1.55%. Más de 3% de las víctimas en México fueron no sólo a estaciones corporativas pero también los servidores; incluso 0.26% infecciones en México fueron a la edición Windows Server 2008 Small Business Domain Controller. Esto es peor porque, en otras palabras, maneja toda la red, es el cerebro de la red , dijo el especialista en entrevista.

Aun cuando la semana pasada, la comunidad de investigadores y expertos en ciberseguridad lograron controlar el esparcimiento del ataque y encontraron una alternativa para desencriptar los archivos secuestrados (bajo ciertas condiciones, como el no haber reiniciado la computadora tras la infección), lo cierto es que la amenaza sigue latente.

Durante la semana pasada, nuevas versiones de WannaCry que no cuentan con un método para desactivarse, o una botnet que utilizan el poder de cómputo de las máquinas para minar bitcoins sin que el usuario se dé cuenta, emergieron y que se aprovechan de la misma vulnerabilidad de Windows.

Este tipo de ataques sigue teniendo éxito por una razón: la dificultad de poner los parches. No es tan simple decirles a las empresas que pongan un parche y esto se soluciona. Nosotros vemos claramente que las empresas demoran mucho tiempo en probar los parches, en ponerlos. Muchas empresas han tenido más inconvenientes por poner el propio parche que por el propio WannaCry , explicó el director de Innovación de Trend Micro, Juan Pablo Castro.

NOTICIA: Hallan remedio para desbloquear archivos infectados por WannaCry

El ataque de WannaCry sólo hizo evidente el problema de seguridad que enfrentan las industrias, las redes corporativas y de instituciones públicas y privadas. Los expertos alertan que los ciberatacantes continuarán con la explotación de esta vulnerabilidad debido a la lentitud y complejidad que representa la aplicación de los parches de seguridad.

¿Cuántas campañas puede haber, con cuántos vectores de ataque donde no es ningún bitcoin, donde no es ningún ransomware, donde más bien son troyanos espías que al instalarse, permanecen en el sistema con perfil bajo para no ser descubiertos? Los administradores deben entenderlo y tomar acciones , agregó Bestuzhev.

Cambiaron las reglas del juego

El ataque WannaCry fue diseñado a partir de una vulneración a los sistemas de Windows que fue aprovechada por la Agencia de Seguridad Nacional de Estados Unidos (NSA) en sus programas de espionaje, misma que se dio a conocer cuando el colectivo TheShadowBrokers filtró en Internet las herramientas de la NSA. La vulnerabilidad fue parchada por Microsoft en marzo.

El panorama no luce optimista. Los expertos en ciberseguridad reconocen que el aplicar un parche para una sola vulnerabilidad no minimiza los riesgos cuando, aseguran, se han encontrado que las empresas y los usuarios todavía son atacados por vulnerabilidades para las cuales los proveedores de software ya han lanzado los parches de seguridad que datan de casi una década.

A esto se suma el anuncio de TheShadowBrokers de la semana pasada, sobre el lanzamiento en junio de modelo de suscripción mensual con el que comenzará a divulgar, a sus abonados, las herramientas que supuestamente robó a la NSA. Esto ha puesto en alerta tanto a Estados Unidos como a la comunidad de investigadores.

NOTICIA: Policía Federal ha identificado sólo 4 infecciones de WannaCry en México

Es uno de los temas que más nos preocupa porque en las publicaciones anteriores de ShadowBrokers esto estaba disponible para todos, tanto para cibercriminales como para las personas que hacían las investigaciones. Ahora ShadowBrokers ha entrado en un tema más comercial y monetizar este tipo de vulnerabilidades, y lo que estamos atentos nosotros como investigadores es entender cuáles van a ser las próximas divulgaciones, que no ha sucedido , comentó Castro, de Trend Micro.

Dmitry Bestuzhev, de Kaspersky Lab, también reconoce que Las reglas del juego han cambiado .

Estamos viendo algo que antes no existía. Antes se encontraba alguna vulnerabilidad, se hacía el exploit, lo estaban vendiendo y comprando en el mercado negro y si acaso aparecía un exploit día cero era una cosa novedosa. No tenías un reloj que corría contra de ti y te dijera ‘prepárate que en un mes voy a lanzar una bomba’. Esas cosas no había y al no exponer los exploits, su uso no llegaba a ser de uso masivo , dijo.

El panorama cambió. Es un precedente muy interesante y cambió las reglas del juego y ahora todos tienen que pensar en los parches no como una buena práctica sino algo indispensable , advirtió.

julio.sanchez@eleconomista.mx

erp