Llegamos a ustedes gracias a:



Reportajes y análisis

Qué hacer si está infectado con el WannaCry

O, si no lo está

[15/05/2017] Probablemente el día de hoy sea doloroso para muchas organizaciones de todo el mundo que descansaron el fin de semana y están volviendo a la semana laboral para encontrar que cientos o miles de computadoras en su red se encuentran encriptadas por el ransomware WannaCry, el cual surgió el viernes y desde entonces se ha estado propagando.

Las estimaciones de la agencia policial Europol señalaron ayer que se infectó a más de 200.000 computadoras en 150 países, pero ya que el gusano continúa propagándose en equipos Windows vulnerables, esa cifra seguramente aumentará.

Para aquellos cuyas máquinas no han sido infectadas, aquí está lo que tienen que hacer inmediatamente:

  • Aplique el parche de Microsoft que frustrará el ataque. Éste se encuentra disponible aquí.
  • Si no puede hacerlo porque no ha probado si el parche va a afectar a su versión de software, deshabilite el uso compartido de archivos de red de Server Message Block 1 (SMB1). Ahí es donde ataca la falla.
  • Considere cerrar el puerto de firewall 139 o 445 o ambos, porque estos son los puertos que utiliza el SMB.

En el largo plazo, para protegerse contra ataques similares en el futuro debe:

  • Considerar la segmentación de las redes de tal forma que, si una infección llega a entrar, su propagación se pueda restringir.
  • Establecer programas para parchar tan pronto como sea posible.

Para los ya infectados:

  • Vaya a sus copias de seguridad, borre los equipos afectados y reconstrúyalos, asegurándose de parcharlos antes de ponerlos en línea.
  • Considere la posibilidad de pagar el rescate, dependiendo de cuán importantes son los datos cifrados. Es una decisión a conciencia.

[No pague rescates: Pero si debe hacerlo, aquí encontrará dónde comprar los Bitcoins]

A continuación, algunas preguntas y respuestas sobre WannaCry:

¿Quién está haciendo esto?

Hasta ahora nadie sabe, pero podría ser cualquiera que haya aprovechado las vulnerabilidades descubiertas por la ANS y lanzadas públicamente junto con un ataque que las explota conocido como ETERNALBLUE.

¿Qué es lo que quieren?

Dinero, o más precisamente, 300 dólares en Bitcoins.

¿Qué tanto éxito ha tenido?

Si se les mide por la cantidad de máquinas infectadas y la distribución geográfica, bastante exitosos: 200 mil máquinas en 150 países. Si se les mide por los rescates conseguidos, no tan exitosos: 26 mil dólares en total.

¿Por qué es tan exitoso?

En lugar de confiar únicamente en que los usuarios van a hacer clic en los enlaces o archivos adjuntos maliciosos, WannaCry puede introducirse sin necesidad de alguna acción del usuario, luego usa la máquina infectada para difundir aún más el ransomware. Esto ha llevado a algunos a llamarlo un ransomworm. También hay informes de ataques de phishing para hacer que se inicie.

¿Hay una manera de detenerlo?

WannaCry tiene un botón de apagado para que la gente detrás de él pueda detener su propagación, si así lo desean. El botón es un dominio no registrado y mientras se mantenga sin registrar, la infección seguirá tratando de diseminarse. Si el gusano se conecta exitosamente al dominio, lo que significa que se ha registrado, entonces deja de tratar de diseminarse.

¡Genial! ¿Por qué no registrar el dominio?

Un investigador ya lo ha hecho, pero los atacantes crearon una nueva versión de WannaCry que utiliza un dominio diferente para el botón de apagado. Por lo que el malware está siendo activamente monitoreado y mantenido.

¿Así que seguirá funcionando por siempre?

Sí, probablemente, pero disminuirá su eficacia. "Persistirá por algún tiempo porque hay miles de sistemas vulnerables y conectados a Internet, según un portavoz de Splunk. "Además, puede haber ataques que lo imiten que conozcan el proxy o no dependan de comprobaciones de nombre de dominio de código fuerte.

¿Qué máquinas son vulnerables?

Varios equipos cliente de Windows desde Windows Vista hasta Windows 10 y Windows Server 2008, 2012 y 2016. La lista completa para los que hay parches de Microsoft está aquí.

¿Qué pasa con la NSA, porque guardó una vulnerabilidad como ésta?

Ellos hacen esto regularmente y utilizan las vulnerabilidades y exploits que crean para entrar en sistemas informáticos para fines de inteligencia. La agencia quedó comprometida de alguna manera y un grupo llamado Shadow Brokers ha estado publicando los exploits en línea. Éste fue publicado después de que Microsoft emitiera un parche para él.

¿Qué piensa Microsoft sobre esto?

No está contenta. "Este ataque representa otro ejemplo de por qué el almacenamiento de las vulnerabilidades por parte de los gobiernos es un problema, afirmó el presidente de Microsoft, Brad Smith.