A medida que el mundo se recupera de lo que se ha reportado como el ciberataque más serio del mundo, hay muchas preguntas que se hacen sobre WannaCry. Las juntas directivas, los comités ejecutivos y de riesgo, los CISO y los CIO están buscando respuestas y aprendizajes del evento.
Hay tantas preguntas sin respuesta con WannaCry que algo parece estar mal. Cuando los CISOs o CIOs se dirigen a sus comités o juntas de riesgo, incluso en esta etapa tardía no pueden responder a la simple pregunta, «¿Cómo llegó el malware a estas organizaciones?» Algunos dicen que fue el correo electrónico, ya sea archivos adjuntos maliciosos o enlaces de phishing en los que los usuarios hicieron clic. Otros están seguros de que fueron puertos SMB abiertos a Internet. ¿Qué está claro? Nada, excepto una interrupción generalizada.
Es normal que el análisis técnico sea muy exhaustivo y definitivo en esta etapa, pero aunque todavía hay preguntas sin respuesta, echemos un vistazo a lo que sabemos y a las lecciones que podemos aprender de ello.
Lo que sabemos
En primer lugar, el rescate de rutina causó el daño. Los archivos de los PC de los usuarios son encriptados por el malware, y se exige un pago financiero (el rescate) a cambio de la clave de desencriptación. El criptograma de rescate existe desde 1989, cuando se distribuyó el troyano del SIDA en un disquete[1]
En segundo lugar, la distribución de WannaCry fue causada por un gusano de Internet, por el cual los ordenadores infectados buscaban otros ordenadores que pudieran infectar, y el malware se propagaba de servidor a servidor, dentro y fuera del cortafuegos. Cualquiera que recuerde Conflicker, Code Red o incluso Slammer sabrá que los gusanos de Internet aparecen cada pocos años.
Por último, una vulnerabilidad en el sistema operativo Windows hizo posible la distribución. Todos los sistemas operativos tienen fallos, algunos más graves cuando se explotan que otros. Pero esto no es nada nuevo.
El cóctel letal
Lo que es nuevo en este caso es la agregación de los tres elementos que describo arriba. Los trabajadores de respuesta a incidentes han estado trabajando duro para asegurar que todos los parches estén en su lugar para reducir la superficie de ataque desde que se dio la noticia.
Organizaciones de múltiples industrias, como la de la salud, la fabricación de automóviles, el transporte público, la educación y el transporte, se vieron gravemente afectadas por WannaCry. Sólo en el Reino Unido, docenas de hospitales fueron cerrados como resultado y tuvieron que rechazar a los pacientes. Al menos una planta de fabricación de automóviles se cerró debido al gusano de rescate.
Entonces, ¿qué puedes aprender del brote de WannaCry para ayudar a fortalecer la seguridad cibernética en tu organización?
1. La ciberseguridad es firmemente un asunto de negocios
Cerrar hospitales y plantas de fabricación tiene consecuencias que van más allá de los departamentos de seguridad informática o de información. Estas acciones afectan a las verdaderas operaciones de las organizaciones. Y ya hemos estado aquí antes. ¿Recuerda cuando una empresa de telecomunicaciones con sede en el Reino Unido sufrió un ataque de inyección SQL, con el resultado de pérdidas de millones de dólares? Y más recientemente, cuando el acuerdo comercial de Yahoo fue descontado por varios millones de dólares tras la revelación de una brecha de seguridad? WannaCry ha forzado el asunto más allá del departamento de IT y en el piso de operaciones. Toda organización se beneficiará enormemente si mantiene viva la conversación con el liderazgo operativo, incluso hasta el punto de poner la responsabilidad de asegurar que los equipos operativos son conscientes y aceptan formalmente los riesgos de ejecutar sistemas operativos sin soporte. La TI ya no puede ser responsable de todos los aspectos de la seguridad.
2. Aburrido, las actividades mundanas importan
Durante mucho tiempo, los parches y las actualizaciones del sistema han sido responsabilidad del departamento de informática. Si bien esto no es incorrecto, lo que debe valorarse más es el nivel de cumplimiento en este sentido, ya sea que la tarea la realice su departamento de TI interno o el proveedor de servicios gestionados o de la nube. Esta es una de las tareas más importantes para mantener una línea de defensa sólida. Necesitamos valorar los altos niveles de cumplimiento más de lo que podíamos haber hecho hasta ahora.
3. El tiempo importa
A través de muchas organizaciones se escuchan historias heroicas, sobre la cantidad de tiempo que se pasa parcheando todos los sistemas de Windows. Sin embargo, la velocidad de la aplicación de parches o de la puesta en conformidad de los sistemas es un factor clave para responder a un ataque de este tipo. Hay que hacer inversiones sólidas en la automatización y asegurar que los sistemas estén estandarizados en cuanto a la notificación del cumplimiento con respecto a los niveles de parches. Una cosa es segura: tendrá que volver a parchear urgentemente los sistemas en el futuro, y tener la confianza de hacerlo rápidamente hará que cualquier CISO o CIO duerma mejor. Recuerda que WannaCry no es un ataque de día cero que nadie podría haber previsto. Es una vulnerabilidad conocida con un parche disponible (al menos para los sistemas operativos de apoyo) durante al menos 30 días. Las empresas que se apresuraron a parchear los sistemas operativos de apoyo deben entender por qué este parche no se implementó después de dos meses.
4. Debes pagar por la seguridad, así que por qué no hacerlo en tus términos
Todos los remiendos exigidos por WannaCry se están pagando, ya sea en facturas de horas extras o en costos de oportunidades perdidas debido a que otros trabajos están siendo aplazados. No hay escasez de presupuesto una vez que se conoce el riesgo operativo, pero ¿no sería mucho mejor gastar en base a un plan de inversión controlable en lugar de una reacción a un evento no planificado? Seguramente los departamentos operativos verán la lógica de este argumento, y les animo a que reúnan el apoyo de los equipos operativos para esas ventanas de tiempo de inactividad para el parcheo, y otras tareas de mantenimiento, para que puedan llevarse a cabo de forma planificada y controlable.
5. El juego ha cambiado.
Estamos en un nuevo territorio cuando se trata de proteger nuestras redes. WannaCry presentó varias características que serían útiles para un atacante que buscara causar una interrupción masiva. Cuando ahora hablamos de controlar las redes, necesitamos incluir qué control tenemos para responder a tal evento. Tenemos que aceptar que estos eventos ocurrirán de vez en cuando, y estar listos y claros en cuanto a los pasos a seguir y las acciones a priorizar. Desarrollar libros de juego fuertes y ensayar escenarios, ya sea como un paseo por el escritorio o simulaciones reales, ayudará a responder al cambio de entorno.
Acontecimientos como WannaCry volverán a ocurrir, y es mejor aprovechar esta oportunidad para asegurar que los departamentos operativos asuman parte de la responsabilidad o al menos apoyen a los CIOs y CISOs en la protección de las redes y activos críticos de sus organizaciones.
Aprende más: Amenazas a la seguridad cibernética: Ransomware