Ransomware WannaCry: Séptimo aniversario del secuestro de datos más grande del mundo que puso en estado crítico a varias organizaciones.
Wannacry es un ransomware que resonó en muchas organizaciones públicas y privadas de todo el mundo el 12 mayo de 2017. Este ransomware explotó una vulnerabilidad en Windows conocida como EternalBlue, se propagó a una velocidad sin precedentes afectando a más de 200,000 computadoras en 150 países en cuestión de horas. Hoy, a siete años de este evento, es crucial generar concientización sobre el impacto y reforzar las lecciones aprendidas para mejorar las estrategias de seguridad informática.
¿Qué es WannaCry?
WannaCry es el ransomware más mediático y es un tipo de malware que cifra los archivos y sus objetivos fueron los equipos con sistema operativo Microsoft Windows. Los hackers malintencionados responsables de este ataque aprovecharon una debilidad de dicho sistema a través de un exploit conocido como EternalBlue.
Microsoft publicó aproximadamente dos meses antes un parche de seguridad que protegía los sistemas de los usuarios contra este exploit, no obstante, una mala práctica que existe a nivel personal e institucional es no actualizar los sistemas, en consecuencia se vieron expuestos al ataque.
En los inicios de la propagación de este ransomware se infirió que fue por phishing, sin embargo, EternalBlue fue la vulnerabilidad que permitió a WannaCry propagarse a través de un backdoor: DoublePulsar.
A las víctimas se les solicitó un rescate en Bitcoin a cambio de la clave de descifrado. Exigieron inicialmente una cifra de 300 dólares y, a medida que aumentaba el número de víctimas, elevaron su cifra de rescate hasta 600 dólares. Cabe mencionar que no se recomienda pagar un rescate ya que no hay una garantía de que se devuelvan los archivos robados y, además, los atacantes no tenían forma de asociar el pago con la computadora de una víctima específica.
El impacto de WannaCry fue notable y no se siguió esparciendo gracias a Marcus Hutchins, conocido como MalwareTech, quien encontró un “botón de apagado” que estaba en el código del ransomware.Gracias a su descubrimiento logró detener temporalmente el malware.
Lecciones aprendidas y recomendaciones.
1. Actualización y Mantenimiento de Sistemas
El vector de ataque de Wannacry podría haberse mitigado si más sistemas hubieran estado actualizados. Microsoft había lanzado un parche para la vulnerabilidad explotada dos meses antes del ataque. Este evento destaca la necesidad de mantener los sistemas operativos y el software actualizados con los últimos parches de seguridad.
2. Educación y Capacitación en Conciencia de Seguridad
Capacitar a los colaboradores para que reconozcan las señales de ataques de phishing y otras tácticas comunes de engaño, de esta manera reducir los riesgos de infección de malware.
3. Respaldo de Datos
Una estrategia de respaldo efectiva puede hacer la diferencia entre una recuperación rápida y la pérdida total de datos valiosos. Los respaldos deben realizarse regularmente y almacenarse de manera segura, preferiblemente desconectados de la red principal. Además, otro punto a tomar en cuenta es tener dichos respaldos situados en otra ubicación (como puede ser en otro país) por si ocurre una catástrofe natural.
4. Implementación de Soluciones de Seguridad Avanzadas
Hablar de una única solución para combatir el ransomware es mucho atrevimiento. Sin embargo, existieron diferentes soluciones que se pudieron haber implementado como soluciones basadas en modelos de zero-trust, soluciones con sandboxing que hubiese analizado las llamadas a sistema que ejecutaba Wannacry; aunque lo más simple habría sido una detección proactiva del fallo mediante soluciones de análisis de vulnerabilidades o gestores de activos; que hubiese advertido a tiempo la falta de la actualización en los equipos.
5. Respuesta a Incidentes y Recuperación.
Desarrollar y probar planes de respuesta a incidentes de ciberseguridad es crucial. Estos planes deben incluir procedimientos claros para la contención, erradicación y recuperación de un ataque.
Los ataques de ransomware continúan siendo la mayor amenaza para grandes, medianas y pequeñas empresas. Un informe de IT Security Risks Survey 2024 indica que las PyMEs deben de estar atentas ante los ciberataques, ya que hay un aumento del 71% según el reporte de IBM Security X-Force Threat Intelligence Index 2024, además cuando eres víctima de ransomware la recuperación no es inmediata y no llega ser al 100%.
La inversión en ciberseguridad no es solo una necesidad operativa; es una inversión en la continuidad y resiliencia del negocio. Con la adecuada preparación y enfoque proactivo, se logran fortalecer las defensas y asegurar un futuro más seguro para los datos y sistemas de las organizaciones.
