Lecciones después del ataque de ransomware WannaCry
Título original: The Fallout and Lessons from WannaCry
Fuente: Ver artículo completo en Virtualization & Cloud Review
Resumen:
El 12 de mayo de 2017, una nueva variedad de ransomware llamado WannaCry comenzó a circular alrededor del mundo. Este ataque ransomware ha demostrado ser eficiente y eficaz, ganando WannaCry cobertura de los medios de comunicación en todo el mundo. Desafortunadamente, los intentos de explicar los detalles del ataque no siempre han sido precisos.
Detección y prevención de WannaCry
El mecanismo de infección inicial de WannaCry se basa en lo que se conoce como phishing. En esencia, se trata de correos electrónicos fraudulentos que contienen un archivo que puede infectar su computadora o hacer clic en vínculos en el correo electrónico para llevarlo a un sitio Web que infectará su computadora. Se informa que las versiones más comunes de WannaCry usan un archivo cifrado contenido en un correo electrónico de phishing.
Algunos medios de comunicación afirmaron que el uso de archivos cifrados hace que WannaCry sea indetectable. Esto es falso. Los archivos cifrados de esta naturaleza son detectables, incluso con aplicaciones de filtrado de correo electrónico disponibles, como el Filtro de correo electrónico del proyecto eFa.
Este tipo de filtros de correo electrónico se puede configurar para bloquear todo el correo con archivos cifrados, bloquearlo sólo de fuentes de spam probable o sólo permitir el correo cifrado de fuentes conocidas. Estos escáneres también se pueden configurar para permitir a los usuarios finales acceder a los archivos cifrados, pero sólo después de leer una advertencia sobre los peligros potenciales. También se pueden configurar para enviar este tipo de correo a un administrador de sistemas para su evaluación, antes de su liberación.
Si bien las soluciones de código abierto como la que ofrece el proyecto eFa son algo complicadas de implementar y utilizar, existen filtros de correo electrónico con soporte comercial que son mucho más amigables. Muchas de las soluciones de filtrado de correo electrónico actuales son perfectamente capaces de bloquear incluso amenazas desconocidas.
Mitigación del WannaCry
Los procedimientos y soluciones de seguridad de TI modernos, incluyendo microsegmentación de la red, aislamiento de recursos básicos y respuesta automática a incidentes, podrían haber sido utilizados para prevenir la propagación de la infección. Si las redes hubieran sido adecuadamente diseñadas, dotadas de recursos y aseguradas, cualquier sistema que lograra infectarse sólo habría podido infectar a un número limitado de otras.
Las tecnologías necesarias para prevenir, detectar y contener estos brotes son nuevas, pero ya no son el borde de sangrado.
Los informes de los medios suelen centrarse en el parcheo de sistemas operativos y aplicaciones. Se echa la culpa a los regímenes de parches porque WannaCry usó una vulnerabilidad de Windows previamente remendada para propagarse una vez establecida en una red. Esto es poner la culpa donde no pertenece.
Incluso si una organización debía mantener todas las computadoras completamente parcheadas, esto no haría que esas computadoras fueran seguras. Mientras que el parche es importante, la perpetuación de la idea de que de alguna manera nos salvará es peligrosa. Hay decenas, si no cientos, de vulnerabilidades sin parches en el sistema operativo Windows. Eso no incluye las diversas aplicaciones que se ejecutan en la parte superior de Windows.
Los gobiernos y los hackers por igual acumulan estas vulnerabilidades de «día cero» para su uso en el espionaje y la guerra cibernética. Las vulnerabilidades de día cero se consideran conocimientos preciosos y caros y se usan con moderación, pero de vez en cuando encuentran su camino en un poco de malware e infectan sistemas cotidianos.
La seguridad de TI adecuada ya no se basa únicamente en parches de computadoras para mantener las redes seguras.
La «seguridad de la cáscara de huevo», en la cual una red tiene un perímetro relativamente bien defendido pero no está defendida dentro de esa barrera, no ha sido considerada adecuada por más de una década.
Los administradores de sistemas han sido alentados durante años a considerar cada computadora en una red como sin parches y vulnerables, para diseñar su red en consecuencia. WannaCry no es la primera pieza de malware que se propaga desde un punto inicial de infección a través de una red y no será la última.
Alternativas en Computación tiene el conocimiento y las herramientas para ayudar a su empresa a prevenir y mitigar el riesgo que representa ransomware.
¡Si deseas agendar una cita, por favor déjanos tus datos!
