Fernando Arnay, Gerente de Tecnología de E-Money.
¿En qué consiste este virus y por qué generó tanta incertidumbre?
Wanna Cry es un virus masivo del tipo ransomware, que se descarga e instala en un computador determinado y se auto propaga utilizando un exploit (ETERNALBLUE) supuestamente desarrollado por la NSA. Fue filtrado por el grupo de hackers llamado Shadow Brokers. Este ransomware tiene la capacidad de cifrar hasta 176 tipos de archivos y su objetivo es exigir a los dueños una suma de dinero para rescatar la información, mediante el sistema de pago electrónico bitcoin. La principal diferencia con otras amenazas es su auto propagación, ya que después de instalarse, escanea la red y busca equipos sin el parche de seguridad de Microsoft y protocolo SMB y puerto 445 activo, expandiéndose rápidamente.
¿Cuáles son las principales deficiencias de las empresas afectadas por Wanna Cry?
La primera deficiencia pasa por un incorrecto proceso de actualización permanente y auditable para parches y patrones de seguridad, ya que la mayoría de las empresas atacadas no contaba con la actualización de Microsoft MS17-010, que es un parche de seguridad crítico para hacer frente a este tipo de amenazas. En segundo lugar, no habían tomado las medidas pertinentes en relación a su antivirus, ya que no se trata solo de tener uno, sino que también de actualizarlo y “customizarlo” para este tipo de ataques. En nuestro caso trabajamos con Trend Micro, fabricante que cuenta con módulos que previenen los ataques de ransomware y, por lo tanto, nuestros clientes estuvieron altamente protegidos durante el episodio. La última deficiencia apunta a una falta de tecnología, como Sandbox, de entornos de seguridad que revisan los archivos que entran a la red.
¿Cómo ayudó E-Money a sus clientes a resguardarse de este ataque?
Nosotros enviamos un comunicado a los clientes a primera hora del día 12 de mayo, para que bajaran el acceso a Internet, puesto que una vez que los equipos se infectan, el virus busca en la web una llave pública (red de comando y control “C&C”) que cifra finalmente los archivos. Es una medida bastante drástica, pero muy efectiva en este caso, ya que solamente el trabajo de parchado podía demorar entre 2 y 4 días, lo cual quita mucho tiempo. Posteriormente, enviamos recomendaciones sobre cómo actualizar los parches de Microsoft, algunas IP y URL para bloquear el acceso en el firewall y los incitamos a realizar cambios en el método de escaneo de las plataformas de antivirus, particularmente con Trend Micro.
¿Cuál fue la clave para enfrentar adecuadamente esta contingencia?
Primero, entender muy bien cómo opera esta variante de ransomware; y segundo, la estrecha comunicación que tenemos con gran parte de los fabricantes de seguridad nos permite recibir alertas tempranas de lo que sucede y, por tanto, podemos identificar y tomar las acciones preventivas hacia nuestros clientes.
¿Qué mejores prácticas y lecciones genera esta experiencia?
Trabajar con un partner tecnológico especializado en seguridad, a fin de que pueda contener la amenaza sobre cualquier tipo de ataque y asesorar a sus clientes durante la contingencia. Segundo, mantener un conjunto de políticas, procesos y procedimientos que garanticen la trazabilidad, ejecución y aplicación de controles de seguridad periódicos. Tercero, mantener los computadores con antivirus y parches de seguridad al día y, cuarto, llevar un exhaustivo control de los sitios de navegación. Asimismo, se debe contar con tecnología que apoye el escaneo preventivo de ataques de día cero, como Trend Micro o Fortinet, que pueden escanear y bloquear este tipo de amenazas.