El hackeo a nivel mundial se llevó a cabo a través de un ransomware.
España, el primero, Rusia, el más afectado, Reino Unido, Estados Unidos, Canadá… Así hasta un centenar de países y 57.000 incidencias. El ciberataque que este viernes se inició en la operadora Telefónica por una brecha de Microsoft, detectada y ‘parcheada’, y se fue extendiendo como la espuma a centenares de empresas todavía no tiene autor reconocido, pero sí se sabe cómo se produjo, por qué se produjo y si se podía haber evitado.
El hackeo a nivel mundial se llevó a cabo a través de un ransomware, cuyo objetivo es cifrar los archivos del equipo infectado para pedir un rescate por BitCoins distribuyéndose por los equipos con un ‘dropper’ (programa diseñado para instalar algún tipo de malware) enlazado a un correo electrónico que era imposible de detectar por muchos motores de antimalware. ¿Realmente no se podía detectar? ¿Se pudo haber evitado?
Según una nota remitida este viernes por el Centro de Respuesta a Incidentes de Seguridad e Industria (CERTSI), la oleada de ransomware que ha afectado a multitud de equipos se produjo por una infección masiva de equipos con el virus ‘Wannacry’ denominado «tanto personales como en organizaciones» que una vez instalada bloqueó el acceso a los ficheros del ordenador afectado.
«Se recomienda aplicar los últimos parches de seguridad publicados por Microsoft», informaba el comunicado. Y aquí está la clave. El pasado 14 de marzo Microsoft publicó en sus actualizaciones mensuales de seguridad el boletín MS17-010 en el que advertía hasta 56 vulnerabilidades, 41 clasificadas como importantes y 15 de ellas críticas que afectaban a productos como .NET, DirectX, Edge, Internet Explorer, Office, Sharepoint y Windows.
Ha sido una de estas vulnerabilidades de las que ya avisó Microsoft la que ha permitido el ciberataque a nivel mundial. El error en su sistema fue corregido, pero la publicación de una prueba de concepto del agujero de seguridad desencadenó la campaña. Tras extenderse el ataque, la compañía advirtió en un comunicado de que se proporcionó la protección contra este tipo de malware, que no afecta a los ordenadores «que utilizan el software antivirus gratuito de Microsoft y tienen su sistema operativo actualizado».
Según ha explicado en su blog el jefe de seguridad de Telefónica, el ex hacker Chema Alonso, el esquema del ataque era el siguiente: la fase de infección, «spam masivo a direcciones de correo electrónico de todo el mundo con un enlace que descarga el dropper»; tras la descarga «el dropper se infecta con el ransomware la máquina»; y, por último, «desde la máquina infectada se escanea la LAN en busca de equipos vulnerables a MS17-10» para infectar a ese equipo y continuar la infección.
El Centro Criptológico Nacional (CCN-CERT) lo anunció a las pocas horas de que comenzara el hackeo: «La especial criticidad de esta campaña viene provocada por la explotación de la vulnerabilidad descrita en el boletín MS17-010 utilizando EternalBlue/DoublePulsar, que puede infectar al resto de sistemas Windows conectados en esa misma red que no estén debidamente actualizados.
La infección de un solo equipo puede llegar a comprometer a toda la red corporativa».El CERTSI, el Instituto Nacional de Ciberseguridad (INCIBE), el CCN-CERT y otros institutos de ciberseguridad no dudaron en informar de que la única manera de que la máquina o máquinas no resultaran infectadas era «tener los sistemas actualizados a su última versión o parchear según recomienda el fabricante». Es decir, el parche del que Microsoft advirtió el pasado 14 de marzo.
Con información de El Mundo
