¿Qué hacer después de un ataque de ransomware como el de WannaCry?

Desde su descubrimiento el viernes 12 de mayo, el ataque de ransomware de WannaCry ha seguido propagándose. Según las autoridades europeas, ha afectado a más de 10.000 organizaciones y 200.000 personas en más de 150 países. Y aunque se hayan tomado medidas para frenar su propagación, continúan surgiendo nuevas variaciones. Precisamente, Jonathan Care, director de investigación de Gartner, recomienda, en primer lugar, aplicar el parche MS17-010 de Microsoft, puesto que, en caso de no tenerlo y encontrarse abierto el puerto TCP 445, cualquier equipo puede ser golpeado por el ransomware.

Más sobre Ciberseguridad... Ataques con exploits: de las amenazas diarias a las campañas dirigidas Informe Symantec sobre la seguridad de Internet (ISTR 2017) Informe sobre la responsabilidad de las entidades financieras ante el fraude electrónico Informe global sobre Seguridad de la Información 2016-2017 de EY La paradoja tras la experiencia del usuario con el cripto-ransomware

A partir de ahí, el analista de la consultora aconseja poner en marcha tres tipos de acciones. La primera es dejar de culpar a los responsables y centrarse en las causas fundamentales. En este sentido, Microsoft Windows XP, un sistema operativo que ha sido golpeado duramente por WannaCry, puede ser integrado en sistemas clave como parte de los paquetes de control. Esto significa que el firmware vulnerable no puede ser ni accesible ni estar bajo control. En los sistemas embebidos, como terminales de punto de venta, equipos de imágenes médicas, sistemas de telecomunicaciones e incluso de producción industrial, hay que asegurarse de que el proveedor puede proporcionar una ruta de actualización. Y es imprescindible hacer esto, incluso si se usan otros sistemas operativos embebidos, como Linux u otras variantes de Unix, ya que es seguro asumir que todo el software complejo es vulnerable al malware.

En segundo lugar, hay que aislar los sistemas vulnerables. Habrá algunos que, aunque todavía no están afectados por el malware, siguen siéndolo. Es importante darse cuenta de que éstos son a menudo de los que más se depende. Una solución temporal útil es limitar la conectividad de red; es decir, identificar los servicios que puede desactivar, especialmente los vulnerables, como el intercambio de archivos de red.

Finamente, hay que mantenerse a la expectativa, asegurándose de que las herramientas de detección de malware están actualizadas, totalmente operativas y examinando el tráfico. Por otro lado, es aconsejable confirmar que los sistemas de análisis de comportamiento de los usuarios y de la entidad, análisis de tráfico de red e información de seguridad y administración de eventos no están teniendo un comportamiento inusual, y que los manejadores de incidentes responden. Asimismo, Care aconseja mantener al personal técnico enfocado en resolver asuntos claves y permitir que alguien responda preguntas externas.

Después de la crisis, añade el directivo, “habrá tiempo para aprender lecciones. En ese momento, las organizaciones deben revisar los planes de gestión de vulnerabilidad, reexaminar enfoques no sólo de medidas de protección, sino también de capacidades clave de detección, poner en marcha modelos de amenazas adicionales, y considerar cuidadosamente qué riesgos son tolerables, así como evaluar la seguridad en la nube”, concluye.