WannaCry, Petya y otros Ransomware al alcance de todos.

Ayer martes saltaron nuevamente todas las alarmas en empresas de medio mundo. Empresas tan importantes como Maersk, multinacional danesa especializada en logística y transporte o la farmacéutica MSD sufrieron un ataque tipo Ransomware que obligó a parar sus sistemas informáticos.

Ataques tipo Ransomware

Estamos viendo como varios ataques tipo Ransomware están alcanzando el núcleo de diferentes y conocidas empresas, su información. Estos ataques paralizan gran parte, por no decir la totalidad, de los procesos y operaciones de la empresa. Cito como ejemplo la paralización de la actividad portuaria en varios puertos a nivel mundial, entre los que se pueden encontrar todos los puertos españoles o incluso el de Róterdam.

Los ataques tipo Ransomware paralizan casi la totalidad, de los procesos y operaciones de cualquir empresa.

Ransomware no es algo nuevo.

Pero esta situación, que está siendo muy mediática en las últimas semanas, no es algo nuevo o que afecte únicamente a grandes empresas.

Recuerdo un par de trabajos que hicimos en el año 2014, donde vimos casos aislados en los que pequeñas empresas sufrían este tipo de ataques.

En una de ellas, aprovechando una vulnerabilidad sobre el servicio de escritorio remoto de Windows Server y una mala configuración del firewall de la empresa, en la que, en lugar de utilizar una VPN para conectar con los servidores internos, se optó por lo que comúnmente denominamos ‘apertura de puertos’. El atacante cifró el contenido de todo el servidor de archivos, con la pérdida de toda la información acumulada durante una semana, tiempo que había transcurrido desde última copia de seguridad realizada de forma manual por parte un trabajador de la empresa.

En el otro caso, con efectos similares, vimos como la actuación de un trabajador, de forma no intencionada, desde dentro de la red, desencadenó el problema. Todo empezó con la apertura de un correo electrónico que supuestamente remitía el proveedor habitual de suministro eléctrico, anunciando una factura por importes realmente escandalosos.

En ambos casos, la sensación por parte de la empresa siempre era la misma, somos pequeños, como íbamos a pensar que esto nos iba a ocurrir a nosotros, no tenemos nada importante que pueda interesar a otros… etc.

Como vemos, la realidad muestra que ataques tipo Ransomware no son algo aislado. Atacan de forma cada vez más sofisticada a empresas de todo tipo, independientemente de su tamaño, actividad o ubicación geográfica. Y lo más crítico, es difícil predecir el método que el atacante puede llegar a utilizar. Por lo tanto, desde nuestro punto de vista hay que ser muy cautos y aplicar todas las medidas de seguridad que estén a nuestro alcance. Muchas de ellas son de sentido común y otras no tan caras como pueda parecer.

¿Qué puedes hacer?

Algunas de las soluciones que planteamos son:

  • Instalación de sistema antivirus y mantenerlo actualizado.
  • Actualizar los sistemas operativos y aplicaciones según se vayan publicando los respectivos parches o versiones por parte de los desarrolladores.
  • Configurar en modo ‘empresa’ la red inalámbrica, para asociar por nombre y contraseña a cada conexión, y no depender de una clave compartida y conocida por todos los usuarios.
  • Crear redes inalámbricas de invitado, de forma que cualquier invitado, cuyo sistema informático no esté auditado o controlado por la empresa, no pueda entrar en contacto directo con la infraestructura crítica.
  • Proteger el acceso remoto a la infraestructura TIC de la empresa mediante sistemas VPN. Eliminar, salvo casos irremediables, la apertura de puertos.
  • Instalar un sistema de firewall.
  • Y sobre todo, y muy importante, establecer un plan de contingencia frente a catástrofes, dimensionado de forma adecuada al tamaño y actividad de cada empresa, basado en sistemas de copias de seguridad y respaldo, totalmente automatizado, que mantenga versiones de los diferentes sistemas de archivo, no accesible desde el entorno de red del usuario y a ser posible, con copia remota ‘desconectada’ en ubicación geográfica alternativa.