Wannacry - El virus que la lió parda

Buenas,

Era un viernes tranquilo: estaba en medio de una conferencia telefónica cuando, un contacto, me manda un mensaje a través del guasap:

  • "Ataque informático a Telefónica y otras empresas aquí: se está liando parda."
Mi atención se desvió automáticamente hacia mi teléfono: acababa de ganar toda mi atención.

En las siguientes horas, iría contactando a diferentes personas de diferentes empresas, puesto que algunas de las mismas fueron nombradas como objetivo del ataque. Poco a poco, fui sabiendo un poquito más.

Hoy, me gustaría contar un poco qué es lo que ha pasado y, sobre todo, reflexionar... Reflexionar mucho.

La premisa es que no voy a ser técnico, así que no tengas miedo: intentaré hacerlo lo más sencillo posible, así no nos perdemos (sobre todo yo, que me despisto a la... Eh! Una Mariposa! Qué guay!).

Empezamos...

El Ataque

Hace apenas unas semanas, se produce una filtración de información de la Agencia Nacional de Seguridad estadounidense (la famosa NSA): en esa filtración, los hackers publican algunos de los métodos, a través de los cuales, el servicio secreto estadounidense se infiltra en ordenadores, teléfonos e incluso televisiones, para ejercer sus labores de espionaje.

Algunos de los métodos son relativamente complejos de ejecutar (no por la tecnología que utilizan, sino por los pasos a seguir hasta poder hacerlos funcionar), pero otros, en cambio, son muchísimo más sencillos (no cual no quiere decir que sean prodigios tecnológicos: sólo que pueden ser ejecutados de una forma muy directa, sin apenas problemas).

Entre esos que hacen las cosas muy fácil, están las llamadas "Vulnerabilidades de día Cero", que quiere decir que son cosas que los fabricantes todavía no han parcheado o arreglado, generalmente porque desconocen su existencia (o, en el peor de los casos, a pesar de conocerlas, no las han arreglado todavía).

Algunas de esas vulnerabilidades afectan al Sistema Operativo de Microsoft (Windows), presente en el 95% de los ordenadores del mundo.

Casi al mismo tiempo, según Microsoft se entera de la movida, informa de que algunas de las vulnerabilidades ya habían sido resueltas y puestas para la descarga de los usuarios (a través del famoso "Windows Update") en Marzo de este año.

Un usuario final, como tu y como yo, los recibimos casi sin problemas (Microsoft te lo empuja y, un buen día, el ordenador te dice que tienes actualizaciones, que las instales o que, simplemente, reinicies el ordenador para que él lo haga solito) pero, en el caso de las empresas, es diferente.

En las empresas, empujar algo a los ordenadores de tus usuarios, sin un previo testeo, puede provocar problemas con alguno de los sistemas que utilizas para trabajar (desde el sistema de red que utilizas hasta el programa que gestiona las finanzas de tu empresa).

Así que las empresas desactivan esa opción de actualización automática y ponen un tercer sistema entre Microsoft y el usuario (un Servidor de Gestión de Sistemas: algo así como un Windows Update de y para la empresa), de tal forma que ellos reciben las actualizaciones, las verifican, las testean y, cuando parece que todo funciona bien con ellas y que nada se rompe, se liberan hacia los ordenadores de los empleados.

Hasta aquí, espero que todo vaya bien y, sobre todo, un consejo:
"Si el ordenador te dice que se tiene que reiniciar para terminar de instalar las actualizaciones, reinicia y no esperes o lo ignores".
El problema empieza aquí: algunas empresas son más agresivas que otras en lo que se refiere al periodo entre la publicación de un parche para arreglar algo y su implementación de sus sistemas (desde dejadez o destreza hasta facilidad o dificultad para implementar algo sin cargarte a su vez una u otra cosa).

El ataque parte de lo que parece un envío masivo de SPAM (el famoso correo electrónico no deseado que te vende desde Viagra hasta acceso a una rusa, perdidamente enamorada que ti, que ansía contactarte para poder decírtelo, si haces clic en el enlace de su correo): las empresas serias suelen tener, en general, mecanismos para detectar este tipo de correos, filtrándolos de tal forma que, el empleado, jamás llega a recibirlos o, en el peor de los casos, lo recibe, pero se categoriza como tal.

Dato: esta mañana mi sistema ha detectado al menos dos emails de estas características y, como buen empleado disciplinado, los he reportado como tal, aunque de esto hablaré un poquito más tarde.

En esta historia, varias cosas han fallado (una mezcla entre la gestión de los parches de seguridad, la seguridad que gestiona la recepción de correos electrónicos y lo que parece una pobre formación de los empleados con respecto a qué hacer cuando reciben correos raros): no existe ningún lugar 100% seguro, pero sí existen formas para, por lo menos, evitar ataques fáciles.

Éste ha sido un ataque fácil, y quizás eso es lo terrible.

El carácter patrio

Mientras que el ataque parece ser especialmente visible en la tierra de un servidor (no va con segundas), poco a poco va llegando a otros países (cerca de 150, según el último recuento), afectando así a lugares como el Servicio Nacional de Salud del Reino Unido (el NHS), Renault en Francia y otras instituciones u organizaciones de un cierto nivel.

El diagnóstico es exactamente aplicable a todos los implicados: una gestión cuestionable de los parches de seguridad de sus principales proveedores (quien más, quien menos, tiene en sus empresas equipos con Windows instalado), los sistemas de filtrado de correo electrónico un poquito anticuados y, sobre todo, usuarios que no han sido entrenados correspondiente para qué hacer cuando reciben correos raros.

Aquí es donde el personal se echa al monte, cual tribu de bárbaros, a la conquista de Roma: en este punto, aparece el icono visible de la principal empresa española afectada, el amigo Chema Alonso, actual Chief Data Officer de la misma, conocido por sus charlas de seguridad y sobre el que el personal se tira en plancha, como si con el fuera la cosa, que en realidad no lo es, pero esto lo dejaremos para luego (podríamos hablar de por qué: desde ese ansia por hacer leña de donde se puede, hasta simplemente inquina hacia el personaje... En mi caso, creo que cuando uno se arroja un rol público, en la defensa de la seguridad informática, para acto seguido ver como tu empresa es víctima de un ataque de este tipo, es simplemente un curioso y retorcido sentido de la ironía del destino, pero poco más).

Chema respondería el sábado con las cosas que el iba sabiendo, teniendo en cuenta que él no era responsable de esos asuntos en Telefónica: su respuesta se puede leer aquí y, en este caso, lo he estado pensando muy mucho, me temo que no debo responder a algunas cosas (casi todo lo que dice es impepinable, pero hay cosas donde uno podría objetar).

Los resultados

Según iba pasando el viernes, más cosas iba aprendiendo: en un momento determinado, la telco de referencia de nuestro país, según empezó a ver lo que sucedía, ordenó a sus empleados el apagar sus ordenadores, desconectar sus teléfonos de la red inalámbrica de la empresa y, a las empresas terciarias, así como trabajadores accediendo en remoto, la orden de no conectarse a la red corporativa.

De pronto, tienes a miles de personas que no pueden trabajar: no es moco de pavo.

Hoy, al parecer, ya vamos sabiendo que la cosa está contenida, que los ordenadores afectados parecen estar identificados y que, poco a poco, se están rehaciendo para, si todo va bien, volver a la normalidad el lunes por la mañana.

Afortunadamente, ni redes ni servicios a clientes han sido afectados: el propósito del virus no era ese, sólo encriptar el disco duro de la víctima y pedir dinero a cambio de la clave para poder desencriptarlo y acceder a tus archivos.

PERO...

Aquí es donde empieza la movida, el motivo por el cual escribo esto y, sobre todo, la razón por la que el viernes me pasé medio día al teléfono, hablando con gente de varias empresas por allí abajo, intentando comprender qué estaba sucediendo.

En primer lugar: no es ni medio normal que algunos empleados de algunas de esas empresas se pusieran a hablar en las redes sociales de lo que estaba pasando: lo primero que hay que hacer, ante una situación así, es esperar órdenes de tu organización para saber qué hacer y, lo último, es empezar a airear las vergüenzas, por aquello del posible daño que puedas hacer, magnificando algo que, a lo mejor, no es tan grave (o sí).

Los empleados estamos generalmente sometidos a un acuerdo de confidencialidad de la empresa: entre otras cosas, se pretende con ese tipo de contratos la no difusión de información sensible de la organización, así como evitar que el personal, con o sin buena intención, pueda desvelar cosas que, en los oídos equivocados, puede causarle problemas a tu empleador.

Las personas que hablaron conmigo me conocen, saben quién soy y que, sobre todo, jamás revelaré según qué cosas... En este caso, saben que están seguros, porque saben quien soy y saben el procedimiento: contar en Twitter, Forocoches, Facebook o lo que sea, que en tu empresa han mandado a la gente a la calle porque os ha entrado un virus, afecta a la imagen de tu organización, aquella que te paga para, entre otras cosas, que tengas la boquita callada con respecto a según qué menesteres.

Con esto, quiero también decir que, probablemente, han habido más empresas impactadas, pero la buena gestión de cómo reaccionar ante este tipo de cosas es parte del sueldo: no nos hemos enterado de la misa la mitad y eso, a su vez, también es bueno (saber manejar las cosas desde un punto de vista de PR es fundamental).

En segundo lugar: una vez que la empresa lo hace público, ahora sí, podemos empezar a hablar todos un poco, dentro de los límites de lo que puedes o no contar, como empleado de una organización donde, espero, se te haya hecho firmar un acuerdo de confidencialidad.

En este punto, hasta el mismo momento en el que escribo estas palabras, sigo boquiabierto sobre cómo es posible que una empresa, teóricamente puntera en tecnología, haya podido caer en un ataque tan relativamente sencillo (SPAM no filtrado conteniendo un ataque que fue detectado y reparado hace dos meses), con cientos de empleados filtrando lo que estaba pasando en redes sociales (el show ha sido deleznable, próximo a los comentarios de Eurovisión en redes sociales).

Aquí es donde empieza el festival del humor: "No hay rival pequeño", "Son 11 contra 11", "La cobertura defensiva en el achique de espacios"... Empiezan las vaguedades, entremezcladas con medias verdades, que, uno, aún pudiendo entender, se resiste a aceptar, sobre todo de según qué lugares y en qué términos.

"No hay ningún sistema seguro al 100%"

Efectivamente: eso es verdad... Nadie lo disputa: este tipo de cosas suceden y son desafortunadas, porque uno nunca puede anticipar cosas así (los malos siempre van por delante de los buenos), pero, en este caso, no es directamente aplicable por dos motivos:

  1. El ataque se recibió por un aluvión de SPAM: las empresas tienen tecnología (o deberían tenerla) implementada para el control de este tipo de correos.
  2. El ataque explotaba una vulnerabilidad de un sistema sobre el que el fabricante ofreció, hace dos meses, una solución.
Sabemos esto porque otras grandes empresas españolas recibieron el mismo ataque y lo contuvieron (sobre todo en el perímetro de las mismas: sus sistemas de filtrado de correo actuaron sin problemas). En este caso, sabemos que el BBVA fue atacado, pero no sucedió nada, porque todo funcionó bien (por lo arriba explicado).

Una empresa que sí entiende el valor de la seguridad, por el bien que le trae (imagínate que no hubiera sido Telefónica y sí el BBVA: hoy mucha gente se estaría planteando si es seguro tener sus ahorros en dicha institución).

Hablamos de Telefónica por, en este caso, su relevancia en el sector tecnológico: otras grandes empresas también fueron afectadas, pero no es lo mismo vender seguros, gas o comida que vender servicios tecnológicos (a los unos se les presumen más cualidades sobre ciertos temas que a los otros).

"Esto le podría haber pasado a cualquiera"

Efectivamente: estas cosas pasan, pero este ataque en particular le ha sacado los colores a un montón de organizaciones, por cuanto el método elegido (SPAM con un link chungo que daba acceso a un virus que actuaba sobre una vulnerabilidad descubierta y parcheada hace dos meses) no dejaba de ser rudimentario.

Asusta ver la talla de algunas organizaciones, sobre todo aquellas cuyo negocio reside principalmente en la venta de servicios tecnológicos y que, a su vez, fundamentan su actividad bajo la gestión de sistemas informáticos.

Que esto se lo hagan a Renault (que vende coches) o al NHS (que cura a personas), no es moco de pavo, pero su actividad principal no está relacionada directamente con las tecnologías de la información.

Que esto le pase a una tecnológica como la compañía de telecomunicaciones por excelencia de España y otros países de Latinoamérica, en cambio, sí nos hace pensar.

Las excusas que he escuchado, en algunas de las víctimas, es de traca: "No... Es que claro, estamos tan ocupados, hacemos tantas cosas que claro, al final no se puede ir a todo".

Traducción: "No somos conscientes de la importancia de nuestra infraestructura, así que aceptamos el no dedicar los recursos necesarios para securizar un mínimo nuestros activos, dentro de lo que entendemos como riesgo calculado y, ahora que nos han pillado en bragas, pues hombre, mala suerte y tal"....

Y por ahí no paso: no fue un ataque específico, como el del famoso StuxNet a la central de enriquecimiento de uranio en Irán... Estamos hablando de (lo repito una vez más):

  1. Ataque por SPAM: algunas grandes empresas lo pudieron parar porque, simplemente, tienen buenos sistemas de filtrado de correo.
  2. Vulnerabilidad parcheada hace dos meses: hay infraestructuras muy complejas y se entiende que uno no puede instalar cosas "a lo loco" sin testearlas... Pero las vulnerabilidades críticas deberían ser tratadas con muchísima mayor diligencia.

Que esto le pase a "Panadería Manolo", pues todavía... Que esto le pase a organizaciones de un cierto nivel, específicamente con este ataque, dentro de lo entendible, la verdad, da que pensar.

"Si usaran Mac, esto no habría pasado"

Esta afirmación es parcialmente correcta: efectivamente, este ataque en particular no podría haber pasado en un Mac, pero eso no quiere decir que algo así no pueda pasar en dichos ordenadores.

Los ejemplos que conozco de ataques similares en esa plataforma, en cambio, residen en que el usuario no puede sólo hacer un click en algo y "se acabó": el usuario debe hacer "algo más", pero eso no quiere decir que los Macs sean más o menos seguros (sólo que los ataques son más complejos, porque requieren más interacción humana).

Un ataque de estas características se hizo hace dos años al embeber código malicioso en una aplicación de gestión de torrents llamada "Transmission" (el desarrollador se dio cuenta y, de inmediato, envió una actualización a todos los usuarios).

Otras veces, en cambio, este tipo de ataques en macOS son mucho más interesantes, como aquel que se metió en una aplicación para romper la seguridad de los productos de Adobe y poder así instalarlos en tu Mac sin pagar la licencia (en este caso, como quieres la Creative Suite gratis, vas a hacer click donde sea y, cuando hayas terminado, tu ordenador será una bomba de relojería, esperando a que el virus termine su trabajo para, finalmente, informarte de que, o pagas el rescate, o te puedes despedir de tus datos).

No hay ningún sistema 100% seguro, mucho más cuando esos sistemas están expuestos a los usuarios finales (como los sistemas operativos de escritorio): si mañana le da a alguien por buscarle las cosquillas a macOS o a Linux, lo íbamos a flipar pero bien...

Un ejemplo que conozco

Hace más o menos un año, recibo un mail en el trabajo, con un adjunto y un asunto que dice "Tu factura"... Curiosamente, estaba esperando un mail parecido, así que lo abrí...

"Este es un ejercicio de Phishing: deberías haber verificado y reportado este email con la herramienta que tienes en tu aplicación de gestión de correo electrónico"...

Fallé vilmente el test: inmediatamente fui hacia el servicio de ciber-inteligencia que tenemos en la empresa donde trabajo y, después del cachondeíto (son gente encantadora, pero el choteo fue morrocotudo, porque me conocen y saben que estoy de su parte), dos cosas sucedieron:

  1. Era sólo un simulacro, pero recuerdo "de mi antigua vida" lo que tenía que hacer: inmediatamente formateé mi ordenador, por aquello de hacer penitencia.
  2. Aprendí mi lección.

El primer punto no era necesario, pero le expliqué a ese equipo que, "en mi antigua vida", es lo que había que hacer cuando algo así sucedía... Tiempo más tarde, explicando el simulacro en más altas instancias, mi caso fue mencionado, contando que, si hubiera sido real, mi procedimiento habría sido el correcto, destacando en este caso que el usuario no tuvo que ser instruido, sino que, simplemente, aceptó el destino de sus datos.

El segundo punto fue más interesante: la compañía ejecuta este tipo de ejercicios constantemente, así que ya estamos más o menos alertados de que, en cuanto vemos un mail raro, sabemos qué hacer (mirar quien lo envía, qué contiene, si la dirección de correo electrónico es de la compañía o es rara, si el link realmente envía a donde dice que debe ir o no...).

La persona que ejecuta los simulacros me conoce, así que, cada vez que me manda uno de estos emails sospechosos, además de pasar la prueba correctamente (reportar el mail en un pequeño programita que tenemos dentro de Outlook), sabe que recibirá feedback de mi:

- "Este ha sido muy fácil"... "Este me hizo dudar"... "Este último, te juro que lo reporté de milagro, porque estaba muy bien hecho"...

La seguridad depende de ti

Hay que tener, por último, una cosa presente: ni la mejor tecnología de filtrado de correos chungos, ni los sistemas más seguros y parcheados del mundo escapan al final al eslabón más débil de la cadena de seguridad: el factor humano.

Es decir: de poco sirve si tu empresa pone todos los recursos a su alcance para evitar algo, si tus usuarios son negligentes.

Lo que ha sucedido podría haber sido evitado si, al final, los usuarios no hubieran abierto los mails que recibieron e hicieron clic en el link que contenían.

Esto último te muestra también que esa parte del trabajo no se ha hecho bien: el personal trata el ordenador y los mails del trabajo como si fueran los suyos propios, sin pensar en las consecuencias de lo que puede pasar si abren algo que no deben sin pensar dos veces.

Y creo que esto también debe reiterarse: lo que ha sucedido no es sino una demostración evidente de que ciertas empresas no hacen lo suficiente por entrenar y/o explicar a sus empleados la importancia de no abrir correos electrónicos o hacer clic en cosas de dudosa procedencia.

Ha sido un fin de semana muy interesante: mi experto de infraestructuras de cabecera hablaba también de otros problemas (como la sub-sub-sub contratación de servicios hace a esas empresas muy vulnerables, pero esto es, aunque muy relacionado, otro tema del que podríamos hablar en otra ocasión), mientras mi equipo de seguridad, que sabe que soy español y tengo según qué contactos, le encantaría saber qué pasó y por qué (por aquello de ver si sus procesos son adecuados o no: de momento, les he dicho, creo que lo hacen muy bien).

Nada más: no olvidéis actualizar vuestro ordenador lo antes posible y de forma frecuente.

Seguiremos informando.

Actualización: El Doctor Chan ha escrito también un post sobre el asunto, con mejores ilustraciones que las mías y, sobre todo, con un punto mucho menos neutro que el mío.

Te invito a que leas su post: https://celebrandoloslunes.wordpress.com/2017/05/18/verguenza-ajena/


Paquito
sugerenciasapaquito (arroba) yahoo (punto) es

Comentarios

  1. Buenos días,

    Está claro que al final el más letal de los virus suele suele ser o bien la estupidez humana o el exceso de confianza... (Ya sabes: Esto les pasa a los demás que son unos pringaos... pero no a mí que soy el puto amo).

    Y los mejores antivirus, obviamente, en opinión de este humilde aporreateclados, son los de la prudencia y la desconfianza.

    Pero claro, como tu bien has mencionado, el eslabón mas débil de la cadena es el ser humano, Et errare humanum est

    Por lo demás, estupenda entrada.

    Antxon.

    ResponderEliminar
    Respuestas
    1. Buenas,

      Mil gracias por pasarte por aquí: un honor, como siempre.

      El problema es siempre el eslabón más débil: el software, una vez que se arregla, no vuelve a dar problemas, mientras que los humanos tienen una memoria frágil, así que, un día, a pesar de que te lo hayan dicho 40 veces, al final vuelves a cometer el mismo error.

      Este caso es paradigmático porque ha enseñado las vergüenzas de algunas grandes organizaciones, con respecto a la gestión interna de sistemas, así como el modelo de seguridad o los protocolos para los empleados.

      No hay más, sólo un espectáculo bochornoso con algo que, honestamente, se podría haber evitado con, tan solo, hacer el trabajo bien (ni más ni menos).

      Un saludo y mil gracias por la visita.

      Eliminar
  2. En Holanda, se te ocurre filtrar nada, y se te cae el pelo. En mi anterior empresa tuve que dar demasiadas explicaciones por tener un blog (y casi me obligan a cerrarlo) En esta no saben que tengo uno....

    ResponderEliminar
    Respuestas
    1. Se me pasó responderte de alguna forma (te digo yo que la edad no perdona).

      Como bien sabes, en mi empresa tenemos filtrados de web bastante agresivos (tu blog y en el Antxon me dan problemas: reporté el tuyo y se arregló, pero el del vasco sigue siendo bloqueado).

      Es más: mi propio blog a veces es bloqueado (hay empresas que se toman la seguridad muy en serio y, con poquito que algo sea remotamente sospechoso, ya la tenemos liada).

      Lo de los blogs es mejor no hacer disclosure: en mi caso, habló de cosas incidentales o que me suceden gracias a estar en mi empresa.

      Jamás hablaría de mi organización ni de sus cosas (soy extremadamente cauto con las cosas del comer).

      En fin: te debía una respuesta y aquí la tienes :-))

      Como siempre, mil gracias por la visita y el comentario.

      Eliminar
  3. Buenas, esta tarde publico un artículo con el mismo tema, pero con un enfoque un poco más visceral. Cuando he terminado de escribir, y dado que no he tenido tiempo de leerte, he pensado: "Seguro que paquito ya ha abordado el tema".

    Dicho y hecho. Me ha gustado el enfoque aunque lo he visto un poco... higiénico. Tengo la sensación de que no te has mojado mucho. Igual estoy guerrillero, ya sabes, antorchas y rastrillos.

    P.D.- Ahora te leo en el lector de wordpress, donde yo controlo la fuente, así me ahorro el estrabismo que amenaza con provocarme la monospace.

    P.P.D.- Vaya, me ha quedado un comentario un tanto arisco. No lo modifico por honestidad, pero que conste que te sigo queriendo.

    ResponderEliminar
    Respuestas
    1. Buenas a ti también:

      Así así: Dame mi dosis, que si no me pongo mustio :-))

      He tenido que ser higiénico por varios motivos:

      1. Ceñirme estrictamente a los hechos (un ejercicio de abstracción necesario para no dejar que las vísceras hablen: si hubiera sido testigo de las conversaciones que tuve por teléfono, habrías alucinado con el soez lenguaje que utilizamos unos y otros).

      2. "Mi otra vida" me pide contenerme: hay cosas que no puedo contar y que darían salseo para regar media península ibérica... Y es una lástima (un detalle: en un blog, donde puse un comentario muy moderado, pero no favorable a según qué cosa y persona, fue censurado).

      3. Siempre queda la parte del "PERO...": ahí intento entrar, mantiendo el punto 1 y 2 vigente.

      Nada nada: no eres nada arisco, créeme (estoy curado de espanto :-)).

      Mil gracias una vez más por tus visitas (y por tus comentarios).

      Paquito.

      Eliminar

Publicar un comentario

Todo comentario, siempre y cuando sea educado, es bienvenido.

Quizás te pueda interesar...

Es cuestión de organizarse

Cuando sí puedes soportar la verdad

Tener un coche en Holanda

Cuando Holanda fue productor de cocaína más grande del mundo

El banco colonial de Amsterdam