La red corporativa de Telefónica sufre un ciberataque: ¿sabe qué es el ransomware?
- Ver original
- diciembre 5º, 2017
La red coporativa de Teléfonica ha sido corrompida esta mañana a través de un ciberataque de ransomware.
La compañía de telecomunicaciones ha explicado a el Economista que la vulnerabilidad ya se encuentra controlada y que ha afectado a una parte puntual de sus trabajadores pero no a toda la compañía.
Un ataque de ransomware es un tipo de ciberamenaza que bloquea los archivos y ordenadores de los usuarios.
Para desbloquearlo los ciberatacantes exigen el pago de una cantidad económica, normalmente en bitcoins, dentro de un periodo corto de tiempo.
Por su parte, un proveedor que trabaja con BBVA ha confirmado a este medio que se les ha avisado que se desconecten de los servicios comunes para evitar la propagación.
Por su parte, fuentes del oficiales del banco han aclarado que están trabajando "con total normalidad y que nuestra red no se ha visto afectada".
En cualquiera de los casos, este ciberataque no ha afectado a los clientes de la compañía ni a los servicios que prestan siguen funcionando con total normalidad.
Como medida de protección y de contención de la propagación del virus, la teleco ha pedido a sus trabajadores que apaguen los ordenadores y se desconecten del WiFi corporativo para que no se infecten otros equipos.
Desde Telefónica aseguran que ya están trabajando en solucionar el problema de los equipos de sus empleados.
¿Qué es el ransomware?
El ransomware es un tipo de ciberataque que en cuanto accede al sistema, se hace con todos los datos del equipo y bloquea cualquier acceso a esa información.
A partir de ese momento, los piratas extorsionan y amenazan a la empresa a cambio de recuperar su material.
De este modo, el ataque que han recibido algunos de los trabajadores han bloqueado los ordenadores por completo.
Para poder desbloquearlos, los ciberdelincuentes reclaman el pago en bitcoins antes de un estrecho plazo de tiempo.
Lo cierto es que los ataques de ransomware no son una excepción en las empresas, sino que es un método de actuar por parte de los ciberdelicuentes cada vez más habitual.
En concreto, en 2016, este tipo de ciberamenazas creció más que nunca con un ataque a empresas cada cuarenta segundos en todo el mundo.
Ransomware: esta palabra se va a hacer cada vez más popular.
Con ella nos referimos a un ataque informático que consiste en el secuestro y cifrado de toda la información de un dispositivo o de una empresa.
Su funcionamiento es muy sencillo: el director financiero o el contable puede recibir un correo electrónico con un archivo de una supuesta factura.
Tan pronto pincha en ella para ver de qué se trata, el pirata que la envía accede al sistema, se hace con todos los datos y bloquea cualquier acceso a esa información.
A partir de ese momento, los piratas extorsionan y amenazan a la empresa a cambio de recuperar su material.
"Recientemente, una compañía andaluza de mediano tamaño del sector de la alimentación sufrió uno de estos ataques y les exigieron un rescate inicial de un millón de euros, que finamente, tras negociar, se quedó en 40.000 euros", explica Alberto Ruíz Rodas, sales engineer de Sophos Iberia.
En el modus operandi de estas bandas, el bitcoin es la moneda internacional que permite realizar estas operaciones sin dejar rastro en el sistema financiero tradicional.
Lamentablemente, el caso de esta empresa no es aislado y las firmas de seguridad informática coinciden en que en los próximos meses estos ataques van a ser el pan nuestro de cada día.
"Son tan baratos y sencillos de ejecutar que se están extendiendo a una velocidad de vértigo, se lanzan en plan masivo y siempre hay alguien que cae. La pyme va a ser la gran víctima, que va a llegar un momento que van a tener que contar con un presupuesto para hacer frente a estos abusos", adelanta Antonio Ramos, profesor universitario de Hacking.
Con ocasión de la celebración de Mundo Hacker Day días atrás, que reunió en Madrid en su cuarta edición a más de 2.500 profesionales de la seguridad informática, quisimos organizar un debate en elEconomista en torno a este tema de creciente preocupación.
En él participaron,
aparte de Ruíz Rodas y Ramos, Adolfo Pérez Coronado, cybersecurity strategy y Technical advisor de S21sec; Rafael del Cerro, System engineer de HPE Aruba en España, y Eusebio Nieva, director técnico de Check Point Iberia.
Este último explicaba que
"el proveedor del ransomware lo vende como un servicio e incluso deja claro los términos del negocio: tú te quedas con el 60% de todo lo que infectes y consigas mediante la extorsión y el otro 40% es para mí".
No hay que olvidar que el cifrado de la información es algo legal que fue desarrollado para que cualquiera pudiera adquirirlo y encriptar sus propios archivos. Como en tantas otras ocasiones anteriores, no estamos ante una mala tecnología, sino ante un uso indebido de esa aplicación.
"Esta es una de las tendencias en ciberseguridad que más veremos en los próximos meses. Asistiremos a una evolución de las amenazas que hemos tenido hasta ahora y los casos van a seguir multiplicándose. Curiosamente, en los últimos dos años los ataques más vistos han sido con virus que tenían años, incluso había uno con más de una década de vida.
Eso significa que hay que estar preparado para lo que había y también para todo lo que va a venir", explica Eusebio Nieva, director técnico de Check Point España y Portugal.
Ya no vale, pues, pensar que a los piratas informáticos solo les interesa atacar grandes corporaciones o instituciones, que también. Por la facilidad con la que se realiza este tipo de ataques, nadie queda al margen. Solo varía la cantidad a desembolsar según el volumen de facturación de la empresa.
Y, como hemos podido ver, en muchos casos puede comprometer la propia existencia y supervivencia de la compañía.
A juicio de los expertos reunidos, en el caso de las pymes, el mismo proveedor de servicios de comunicaciones -las telecos- deben de ofrecer esa seguridad con distintos filtros...
También en el momento en el que se contratan servicios de cloud computing, ese proveedor es el responsable de una parte importante de la seguridad.
"Seguiremos conociendo casos y seguiremos sin aprender. Solo con sentido común y concienciación se puede prevenir y hay que estar alerta", indica Adolfo Pérez Coronado, Cybersecurity strategy & Technical advisor S21sec.
"Todavía hay grandes organizaciones que ni siquiera tienen planes de contingencia.
Les ha pillado a contrapié", añade.
Tampoco las Administraciones Públicas están mentalizadas, hasta el punto de que ni siquiera en los pliegos de condiciones de los concursos de tecnologías de TI exigen que éstas cuenten con determinados protocolos de seguridad", añade este mismo experto.
¿Qué esperar entonces de una pyme tradicional, que no sospecha para nada que pueda estar en el punto de mira de los hackers?
Uno de los primeros errores está en la falta de configuración de las herramientas de seguridad.
Nos hemos aficionado al plug and play, a que nada más encender cualquier dispositivo este empiece a funcionar sin más y, en cambio, estos expertos nos recomiendan que dediquemos tiempo a configurar las herramientas de seguridad a nuestras propias necesidades.
"La opción de seguridad más intuitiva, por defecto, suele ser la más fácil y también la más insegura.
El fabricante establece unas pautas generales y así evita al usuario que tenga que pasar por diez pantallas, algo que le frustra. ¿Qué sucede entonces? Que todo el mundo tiene las opciones generales y así es mucho más fácil lanzar un ataque, porque es sencillo presuponer el camino que hay que recorrer", explica Eusebio Nieva, director técnico de Check Point Iberia.
Lo ideal sería que estas herramientas vinieran configuradas al revés, con todo cerrado y que a medida que se fueran viendo las necesidades se fueran concediendo más y más permisos de accesos. Eso llevaría su tiempo, pero también nos mantendría mucho más a salvo de posibles amenazas.
Rafael del Cerro, System engineer de HPE Aruba en España, recordaba en este debate en elEconomista el caso de una cámara frigorífica industrial que estaba conectada a Internet y a través de la cual estaban robando información de la empresa.
"Se detectó que estaba moviendo teras de información a diario. Era un problema que tenía que haberse solucionado desde su configuración, porque esa máquina no tenía por qué acceder a tanta información".
Esto nos lleva a hablar de todo lo relacionado con el Internet de las cosas (Internet of Things, IoT), donde la preocupación es máxima. Con tantos objetos conectados a la red, se multiplican también los puntos de acceso a nuestros datos, lo que nos vuelve también más vulnerables si no sabemos administrar los permisos que damos a cada uno de esos dispositivos.
El espionaje que llevaba a cabo la CIA a través de smart-tvs es uno de los más recientes, conocido por WikiLeaks.
También es hackeable un muñeco o robot que se conecte a Internet y que dejamos en manos de nuestros hijos...
Y es que la hiperconectividad y la imparable digitalización también tiene sus riesgos.
"La automoción es lo que más me preocupa de todo el IoT, porque en ese caso voy a estar dentro de un objeto que, por estar conectado, también es manipulable desde cualquier parte.
Puedo ir a 120 kilómetros por hora y que me desactiven el freno o la dirección... Ahí, obligatoriamente tendría que haber normas, pero la Administración siempre se ha movido detrás de la industria y muchas veces no se deja aconsejar", advierte Eusebio Nieva, de Check Point.
El problema del acceso no suele ser muy sofisticado. Y eso nos obliga a hablar una vez más de la necesidad de mantener bien a salvo las claves y que no sean ni 12345, ni password...
"Levantas un teclado en cualquier empresa y ¿cuántos post-it te encuentras con las claves de las diferentes cuentas?", se preguntaba Rafael del Cerro, de HPE Aruba.
"Los trabajadores también tienen que ser conscientes de que no pueden usar nunca una clave corporativa para otras cuentas externas de gmail, outlook...", añade.
Para encontrar las soluciones, es necesario descubrir los errores.
"Otro de los problemas radica en que en cualquier empresa el financiero siempre tiene más poder que el técnico en seguridad y se suele exigir el desarrollo más barato, que a menudo es también el que menos seguridad tiene", explica Pérez Coronado, de S21sec.
Para Alberto Ruíz Rodas, de Sophos,
"en España solo invierte en seguridad la empresa que ya ha sufrido algún ataque".
Antonio Ramos iba más allá:
"Falta cultura y compromiso en la industria, que solo va a tomar medidas cuando se le obligue. Al mismo tiempo, en los políticos vemos un gap generacional y a eso se suma que el 90% son abogados, les falta formación en este campo.
Recuerdo una vez en un Ministerio que estaba siendo víctima de un ataque cómo el ministro no hizo caso de las recomendaciones y conectó el ordenador a la red cuando estaba todo infectado porque decía que el virus podía esperar pero su trabajo no.
Eso prueba hasta qué punto desconocen el alcance de estas operaciones".
Todos los expertos en seguridad informática reunidos con ocasión de Mundo Hacker Day por elEconomista coincidían en que falta concienciación.
"¿Cuántas veces hemos pedido cita para renovar el DNI y te dicen que hay error informático?
Estamos acostumbrados a que estos desarrollos y plataformas se construyan como chabolas. Un edificio se cae y el arquitecto es el responsable. En cambio, si se cae un desarrollo, todo el mundo se va de rositas", comentaba otro de los participantes.
¿Hemos empezado la casa por el tejado entonces?, les preguntamos. "No, porque hay muchas veces en las que lo importante es moverse y hacer cosas.
Lo primero es activarse y tener el servicio, y después ya nos protegemos o vemos esos riesgos y vamos poniendo parches sobre parches", responde Eusebio Nieva, de Check Point.
En esa evolución imparable hacia lo digital, el profesor universitario en Hacking Antonio Ramos descubría todas las cartas sobre la mesa:
"Hemos puesto servicios vitales para el desarrollo de la raza humana en Internet y no hay un plan B para el día en que esto pueda ser comprometido o se caiga.
El día que eso llegue involucionaremos. Hay que cuidar y saber construir el mundo digital porque, si no, iremos para atrás. No hay un plan B, ni para sacar el DNI cuando aparece que se ha producido un error informático", concluye.
El centro criptológico nacional confirma un ciberataque masivo de ransomware a multitud de empresas
- Ver original
- diciembre 5º, 2017
El centro criptológico nacional (CCN-CERT) ha confirmado un "ataque masivo de ransomware que afecta a un elevado número de organizaciones españolas" cuyo nivel de alerta está catalogado como "muy alto".
Este ataque ha afectado especialmente a Telefónica, así como se han tomado una serie de medidas de protección en otras compañías como Iberdrola, Gas Natural o BBVA.
El CCN-CERT apunta que "el ataque masivo de ransomware a varias organizaciones afecta a sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red".
La vulnerabilidad parece estar originada en un agujero del sistema operativo de Microsft, ya que la compañía publicó la vulnerabilidad el día 14 de marzo en su boletín y hace unos días se hizo pública una prueba de concepto que parece que ha sido el desencadenante de la campaña.
El tipo de ransomware es una versión de WannaCry que "infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota a través de SMB, se distribuye al resto de máquinas Windows que haya en esa misma red".
Los sistemas afectados son: Microsoft Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7, Windows 8.1, Windows RT 8.1, Windows Server 2012 and R2, Windows 10 y Windows Server 2016.
Para estar seguro, se recomienda actualizar los sistemas a su última versión o parchear según informa el fabricante en su web.
Para los sistemas sin soporte o parche, como Windows 7, se recomienda aislar de la red o apagar según sea el caso.
¿Qué significa "Muy alto"?
El CCN-CERT ha catalogado el nivel de alerta por esta ciberamenaza como "muy alto" pero, ¿qué significa esta calificación?
El nivel "Muy alto" es el penúltimo nivel en cuanto alerta de riesgo, y significa que se trata de "una amenaza importante afecta a las instituciones por lo que se requiere una acción inmediata. La probabilidad de afectar y dañar a los sistemas de información es alta.
Además de todas las medidas señaladas en los niveles anteriores, los responsables de seguridad deberán coordinar los esfuerzos necesarios con los Equipos de Respuesta, tomar precauciones adicionales en sus políticas de seguridad y prepararse para ejecutar planes de contingencia".
No hay comentarios:
Publicar un comentario