Sí, hay empresas que están pagando el secuestro de datos del ransomware del día

La noticia del día está relacionada con la seguridad informática, con la distribuición del ransomware WannaCry que está infectando ordenadores de varias instituciones en todo el mundo, una alerta que se encendió dentro de Telefónica a primeras horas de la mañana. A medida que han ido pasando las horas se ha demostrado que no era un caso aislado, varias empresas, tanto de dentro como de fuera de España, estaban sufriendo el mismo ataque, con archivos bloqueados y mensajes que pedían un valor de unos 300 dólares para desbloquear la información.

En securelist.com es posible leer un informe detallado de la magnitud del problema, con los países más afectados y algunos casos preocupantes (como los hospitales del Reino Unido), así como información relacionada con la cuenta de bitcoins que está recibiendo los pagos.

Países afectados por el ataque

Países afectados por el ataque

Aunque no es una única cuenta la que recibe el dinero de los secuestros, una de ellas sí puede identificarse, y los detalles de la misma pueden consultarse en blockchain.info, donde es posible comprobar que varias empresas ya han pagado el rescate, acumulando en estos momentos más de 2.000 dólares de beneficio por la actividad criminal.

El ataque, denominado “WannaCry”, se inicia a través de una ejecución remota de código SMBv2 en Microsoft Windows, una vulnerabilidad que fue solucionada el 14 de marzo por Microsoft, aunque muchas empresas no aplicaron el parche a tiempo. Se recomienda en estos momentos la instalación de actualizaciones en el boletín de seguridad de marzo de 2017 de Microsoft como medio para detener la propagación del ataque.

El Servicio Nacional de Salud (NHS) en el Reino Unido también emitió una alerta y confirmó las infecciones en 16 instituciones médicas, y se han confirmado infecciones adicionales en varios otros países, incluyendo Rusia, Ucrania e India.

Es importante entender que mientras las computadoras Windows sin parches que exponen sus servicios SMB pueden ser atacadas remotamente con la vulnerabilidad “EternalBlue” e infectadas por el ransomware de WannaCry, la falta de existencia de esta vulnerabilidad no impide realmente que el componente de ransomware funcione. Sin embargo, la presencia de esta vulnerabilidad parece ser el factor más significativo que causó el brote.

Aunque sea ya varias empresas las que están pagando lo que los criminales piden, es importante no caer en la tentación, nada impide que mañana lo bloqueen de nuevo y pidan el doble.

Por otra parte el Ministerio de Energía, Turismo y Agenda Digital, ha informado a través del Instituto Nacional de Ciberseguridad (INCIBE) que el Centro de Respuesta a Incidentes de Seguridad e Industria (CERTSI), operado de forma coordinada por INCIBE y el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), continúa trabajando con las empresas afectadas por los ciberataques ocurridos durante la jornada. Los incidentes de seguridad se están gestionando a través del CERTSI.

Comunican lo siguiente:

Las primeras fases del ciberataque ya han sido mitigadas, principalmente con la emisión de diferentes notificaciones y alertas hacia los afectados así como a potenciales víctimas de la amenaza, basadas fundamentalmente en medidas de detección temprana en los sistemas y redes, bloqueo del modus operandi del virus informático, y la recuperación de los dispositivos y equipos infectados. En este sentido, muchas de las empresas afectadas han activado correctamente sus protocolos y procedimientos de seguridad ante estas situaciones y están recuperando los sistemas y su actividad habitual.

Adicionalmente otras compañías susceptibles a este tipo de amenaza han tomado ya medidas preventivas que impedirían la propagación del malware, y se han puesto en contacto con el CERTSI para disponer de nuevas acciones y medidas a adoptar.

La amenaza, que ha sido ya detectada en más de 10 países, podría estar afectando a más de 40.000 dispositivos y equipos, entre ellos Rusia, Ucrania y Reino Unido, no estando España entre los países más afectados, fuera de este top 10.

En general, las principales recomendaciones que se ofrecen son:

– Actualizar los equipos con los últimos parches de seguridad del fabricante.

– No abrir ficheros, adjuntos o enlaces de correos electrónicos no confiables.

– Disponer de herramientas de protección adecuadas tales como antivirus/antimalware y cortafuegos.

– Realizar copias de seguridad periódicas de nuestra información, principalmente la más sensible o importante de nuestros dispositivos.

Juan Diego Polo

Estudió Ingeniería de Telecomunicaciones en la UPC (Barcelona), trabajando como ingeniero, profesor y analista desde 1998 hasta 2005, cuando decidió emprender creando wwwhatsnew.com.