El ataque se desplegó de forma simultánea y a nivel global, afectando a multitud de países y corporaciones en todo el mundo.

El gusano explotaba una vulnerabilidad del sistema operativo Windows para “infectar” otros ordenadores vulnerables que estuvieran en la misma red local que la máquina afectada, consiguiendo una velocidad de propagación muy alta. El punto de entrada de este malware se cree que fue a través de un email que incluía un fichero adjunto, por lo que en todos los casos era necesaria la actuación de un usuario poco informado que abriera por error el mail y el archivo en cuestión, produciéndose a continuación una propagación muy rápida en toda la red de la empresa afectada.

Siendo conscientes de que, a día de hoy, no hay nadie que tenga la certeza y los detalles exactos de cómo se produjo este ataque, sí tenemos bien claro que todos estos tipos de ataques y amenazas comparten denominadores comunes contra los que se puede y debe estar preparado en todo momento. Lo ideal sería que todas las empresas implementaran un proceso de ciberseguridad y que promovieran dentro de sus organizaciones la anticipación, la prevención, la detección, el análisis y la (re)acción, minimizando la probabilidad de incidentes, en lugar de tener que abordarlos, con graves impactos reputacionales y operativos, como el de hace unas semanas.

A continuación, se dan a conocer las recomendaciones que sugirieron desde S21sec para estar preparado ante estos incidentes.

Anticipación

Es una necesidad crítica abordar tanto escaneos de vulnerabilidades periódicos (internos y externos) como realizar una consultoría de seguridad que lleve a cabo un análisis de los sistemas de seguridad y del diseño de la red.

Desgraciadamente, no es suficiente con que mantengamos nuestros sistemas actualizados. Una mala configuración, un mal diseño o implementación son suficientes para permitir que un atacante se cuele en nuestros sistemas. Para prevenir este tipo de brechas, debemos analizar y escanear las vulnerabilidades de nuestros sistemas, en especial lo que está más expuesto al exterior. Los servicios de hacking ético o el servicio de monitorización de la integridad de las páginas web son plenamente recomendables. Asimismo, desde S21Sec recomendamos realizar periódicamente consultorías sobre los diferentes elementos y entornos, arquitecturas de red, configuración de dispositivos, etc.

En esta fase de anticipación también es aconsejable la vigilancia temprana (alerta), porque para lograr un cierto grado de anticipación ante las amenazas es necesario tener acceso a información que se genera fuera de nuestros dominios IT (Information Technology). Esto se puede conseguir a través de equipos de analistas expertos, sin olvidarnos también de la necesidad primordial de la compartición de información, fomentando el acercamiento y la colaboración entre compañías con herramientas como la plataforma MISP.

Prevención

En este apartado la necesidad crítica se halla en la política de backups, el primer paso para la protección de los activos digitales. En el caso de un ataque por ransomware que cifre y secuestre nuestros dispositivos, podremos reinstalar y recuperar la información salvada en los backups. Asimismo, es crítica también la implementación de una política de parcheo de los diferentes sistemas, ya que como hemos visto en el caso de Wannacry todos los expertos coinciden en que la causa principal del éxito de esta campaña se halla en una vulnerabilidad en los sistemas. Mantenerlos al día con las actualizaciones recomendadas por los fabricantes es vital, o al menos es esencial ser consciente del nivel de parcheo, en caso de no poder aplicar parches por compatibilidad con otras soluciones y configurar los sistemas de defensa para paliar y defenderse contra estas vulnerabilidades abiertas.

Otro punto importante a nivel de prevención es la gestión continua de las vulnerabilidades. Una herramienta de este tipo nos ayudará a conocer en todo momento el nivel de exposición de nuestros activos digitales, asignar la resolución a los diferentes responsables, realizar un seguimiento continuo y, de este modo, tener siempre toda la información para tomar las decisiones correctas.

Por último, mencionar otras dos tareas críticas a nivel de prevención: la concienciación y los ciberejercicios (usuarios y equipo CISO). Se trata de una frase muy manida en el sector. “El usuario es el eslabón más débil”, pero ¿de qué sirve tener las mejoras soluciones de seguridad y los mejores profesionales si al final es un usuario corporativo el que pincha o abre un documento malicioso? Por ello, formar y concienciar debe formar parte de la estrategia corporativa.

Asimismo, también es clave el despliegue de sistemas de protección contra el malware (ERP, EPR). En el mercado existen multitud de soluciones de seguridad para la protección de los dispositivos de usuarios, portátiles, sobremesa, tabletas o móviles. La mayoría de los fabricantes de seguridad han desarrollado solucio-nes que son capaces de analizar el comportamiento anómalo en las redes o los dispositivos, lo que nos protege ante ataques no conocidos, la principal amenaza a día de hoy.

Detección

Aquí es imprescindible hablar de la monitorización de la seguridad. Para comprender cómo los atacantes intentan comprometer nuestros activos, es necesaria una monitorización continua de los eventos que se generan en los diferentes entornos, haciendo especial hincapié en los de seguridad, que, si están correctamente configurados, nos proporcionarán una información muy valiosa si se pone en manos de los expertos analistas adecuados. Soluciones SIEM y soluciones o servicios de monitorización y protección ante amenazas avanzadas (antiAPT) han de ser clave en la seguridad de nuestra empresa.

Análisis

Las dos tareas centrales serán el análisis del malware y el análisis forense. Poder analizar en profundidad y con detalle la herramienta utilizada por los atacantes nos proporciona la información esencial para entender nuestras vulnerabilidades y tomar las medidas necesarias para la protección en futuros incidentes. Y en el caso de que las medidas implantadas fallen y suframos un incidente de seguridad, es importante detectarlo y analizarlo lo antes posible, con un buen equipo de auditores que realicen un correcto análisis forense. Así se obtendrá la información que necesitamos para medir la envergadura de lo comprometido de cara a paliar las vulnerabilidades y generar un informe para reportar a las fuerzas de seguridad. No olvidemos que el nuevo Reglamento General de Protección de Datos impuesto por la Unión Europea entra en vigor en mayo 2018.

Reacción

Los dos elementos imprescindibles en este punto serán, de modo crítico, el de disponer de un equipo de gestión de la seguridad capacitado y bien dimensionado (por muchas soluciones que incorporemos a nuestra infraestructura de seguridad y por mucho presupuesto que dediquemos a la compra de las mejores soluciones del mercado, si no se dispone del equipo técnico adecuado, tanto en cantidad como en conocimiento, todas esas herramientas no tendrán utilidad). Además, será importante también un equipo de respuesta ante incidentes, multidisciplinar, que pueda ponerse en marcha ante cualquier incidente.

Todas las capacidades descritas pueden ser suministradas, como en el caso de S21sec, de forma combinada y flexible adaptándose a las necesidades de cada compañía. Lo esencial a día de hoy es que las corporaciones entiendan que es necesario abordar estos servicios de seguridad y que WannaCry nos deja una lectura clara: la no adopción de las medidas adecuadas pone en riesgo la supervivencia de nuestro propio negocio.