Apuntes sobre seguridad

/ noviembre 15, 2017
Seguridad informática

Seguridad informática

En los últimos meses la mayoría de los medios de comunicación se han hecho eco de dos incidentes de seguridad relacionados con la propagación masiva de virus.

La primera de las incidencias, conocida como virus WannaCry, ha ocurrido durante el mes de mayo. Grandes empresas, como operadores de telefonía o bancos se han visto afectados.

La segunda de estas incidencias, con un ataque similar al anterior, golpeó en un principio a Ucrania a finales de Junio, y se propagó por todo el mundo.

La medida inicial que tomaron muchas de las compañías afectadas fue la de dar orden a los empleados para que apagasen los equipos mientras se evaluaba la situación. Esta decisión, en sí misma, supuso una enorme pérdida para algunas compañías por el hecho de tener a cientos o miles de empleados prácticamente paralizados al no poder hacer uso de la herramienta de trabajo más necesaria en su día a día (el ordenador) y por los costes indirectos de la mala prensa provocada, pues todos esperamos de estas grandes empresas un alto grado de protección (aunque como comentamos en otros artículos la seguridad 100% no existe).

Sin entrar en detalles técnicos, los ataques mencionados conseguían cifrar los archivos de los equipos infectados, con la imposibilidad de acceder a los mismos. Las infecciones se propagaban por la red, infectando no solo a otros equipos, sino a unidades de red u otros medios compartidos.

Los creadores de estos ataques piden un pago por facilitar una contraseña que permita recuperar nuestros archivos. Para dificultar la posibilidad de rastrear los pagos se obliga a realizarlos mediante cryptomonedas.

¿Qué debemos hacer ante una infección de este estilo?

En primer lugar, debemos saber que es importante presentar la correspondiente denuncia y no pagar. Si tenemos una buena política de seguridad establecida, recuperaremos nuestros datos a partir de nuestras copias de seguridad. Pagar no garantiza que recuperemos nuestra información y además podemos estar cometiendo un delito.

En segundo lugar, debemos establecer las medidas adecuadas para minimizar el riesgo de que nos vuelva a pasar en el futuro. Medidas que rápidamente podemos resumir en:

  • Instalar sólo software legal en nuestros equipos, y tenerlo constantemente actualizado. Los ataques mencionados utilizaron fallos conocidos del sistema operativo para los que Microsoft ya había publicado los correspondientes parches, luego los equipos actualizados no se vieron afectados
  • Instalar y tener correctamente actualizado un antivirus. Nosotros recomendamos las soluciones de ESET (familia de soluciones NOD32). Este antivirus detectó correctamente la amenaza y evitó la infección en aquellos equipos que tenían el software instalado y actualizado. Es importante destacar que al igual que ocurre con el sistema operativo, el antivirus debe estar correctamente actualizado. La mayoría de las infecciones son causadas por las amenazas más recientes, por lo que no suele servir de nada tener un antivirus que no hemos actualizado desde hace semanas (por ejemplo, porque se nos ha olvidado renovar la licencia)
  • Instaurar una correcta política de copias de seguridad, que deberá ser personalizada en función de nuestras necesidades. En muchas organizaciones es suficiente con una copia semanal, pero en otras, dependiendo del volumen de datos, deberemos realizar una copia diaria o incluso varias copias al día. También es importante, en función de las características de la red a proteger, tener varias copias, alguna de las cuales debería estar físicamente en otra dependencia (bien una copia online o bien una copia en dispositivos externos tales como cintas o discos de backup que podamos llevarnos a casa). La casuística es muy amplia.

Con el paso del tiempo a veces aparecen herramientas para recuperar los archivos encriptados, bien porque se ha encontrado un fallo en la propia programación de la infección, o porque se ha descubierto una contraseña maestra de desencriptado. En cualquier caso, para muchas organizaciones ya es tarde, puesto que no pueden estar semanas o meses sin poder acceder a sus archivos, y, sobre todo, sin la garantía de que pasado un tiempo se publique esa solución. Incluso en ocasiones son los propios creadores de la amenaza los que publican una clave maestra válida para recuperar todos los archivos cuando consideran que ya no van a obtener más beneficios económicos de la misma.

Como se suele decir, más vale prevenir que lamentar.

Artículos relacionados