¿Cuál ha sido el impacto real de WannaCry?

WannaCry ha sido, sin duda, uno de los fenómenos informativos de la semana. Ningún ciberataque había logrado tanta repercusión mediática ni tener un impacto global como el que ha logrado este ransomware. De hecho, es probable que muchas personas hayan descubierto ahora la existencia de un malware de este tipo, que pide un rescate tras el secuestro de sus datos.

Lo cierto es que la trascendencia de WannaCry está justificada, puesto que ha afectado a empresas e instituciones de todo el mundo, como se puede apreciar en el mapa elaborado por Check Point. Los expertos de esta compañía de seguridad han detectado 34.300 intentos de infección en 97 países.

Echando un vistazo al mapa se puede observar rápidamente que India, Estados Unidos y Rusia, en este orden, han sido los países más afectados. Aunque también tiene una importante presencia en China, Ucrania, Francia o Alemania. En nuestro país, el impacto no ha sido tan significativa (130 infecciones), pero su repercusión ha sido muy grande, debido al ataque sufrido por Telefónica, una de las empresas españolas con mayor proyección internacional.

Como es sabido, el objetivo de una ataque ransomware es conseguir dinero a cambio de la contraseña para recuperar los datos encriptados. Como explica Radware, el rescate fijado inicialmente fue de 300 dólares por equipo, que debían pagarse en bitcoins, aunque el precio aumentó a 600 dólares tres días después de la infección. Transcurrido un plazo de siete días, los infectados perdían la oportunidad de pagar y obtener la clave para desencriptar sus archivos.

Según los datos recopilados por Check Point hace unos días, las tres cuentas de bitcoin asociadas a WannaCry han recaudado alrededor de 77.000 dólares. Ayer, la suma total de las cuentas superaba los 90.000 dólares. Sin embargo, pagar no garantiza la recuperación de la información perdida. De hecho, Check Point asegura que ninguna empresa ha recuperado sus datos tras pagar. Y Radware cuenta con la misma información, por lo que parece que pagar no sería una decisión muy acertada.

¿Y qué se puede hacer para evitar este tipo de ataques? En el caso de WannaCry, valía con tener actualizados los equipos, ya que explota una brecha del sistema operativo Windows para la que existe un parche de seguridad disponible desde el 14 de marzo. Además, Radware recomienda considerar el bloqueo del puerto 445 para comunicación externa, desactivar las comunicaciones Tor desde y hacia la organización, prohibir o configurar la seguridad del protocolo de compartición de datos SMB de Windows o segmentar redes y VLAN con IPS entre ellos que puedan generar firmas en tiempo real,

Por otra parte, David Sanz, EMEA Solutions Principal de Commvault, remarca que las invasiones de ransomware se originan con frecuencia en puestos de usuario, como ordenadores portátiles o de sobremesa, smartphones o tablets,. En este dispositivos se suelen descuidar más las políticas de seguridad que sí que existen para otras infraestructuras de las organizaciones.  Por eso, aconseja informar a los empleados sobre los peligros del ransomware y otros ciberriesgos y educar acerca de cómo proteger los puestos de trabajo. Además, hace hincapié en la realización de procesos de backup. Y remarca que “se necesita una plataforma de datos que no sólo cubra el núcleo de la empresa o los entornos de nube pública o privada, sino también los puestos de trabajo”.

S21sec insiste en que el impacto de este ataque se basa en tres factores. En primer lugar, por problemas de concienciación y formación del personal para que no abran ficheros que vienen en emails sospechosos. Pero también por una deficiente velocidad de respuesta de las empresas en la aplicación de los parches de Windows y por la escasa capacidad de las organizaciones para detectar que están sufriendo un ataque y desplegar los mecanismos de respuesta.