CiberataqueCiberataque: los expertos en ciberseguridad alertan que las amenazas no pararán

Lorenzo Martínez: «El ‘malware’ no avisa cuándo va a producirse»

1. ¿Es WannaCry el inicio de algo más grande a lo que se conoce habitualmente como «ransomware»?

El «ransomware» ocupa el Top 5 de plagas informáticas, desde hace varios años. La diferencia fundamental con esta variante de Wannacry es que los creadores del «malware» aprovecharon la publicación de una de las vulnerabilidades utilizadas por la NSA. Realmente es el mismo animal al que le han salido alas y que ahora se despliega más rápido.

2. ¿Qué lecciones, tanto usuarios, como empresas o gobiernos, deben sacar de este hecho?

La más importante: hay que tener el sistema operativo actualizado. Asimismo, disponer de sistemas de copias de seguridad es imprescindible. Para empresas, además, incorporaría un buen diseño y segmentación de red, y exponer a internet sólo los servicios imprescindibles, controlándolo desde un cortafuegos, evitando que los servidores tengan las direcciones IP públicas. Esto no evitaría completamente el problema, pero acotaría su impacto.

3. Este ciberataque, ¿se podía haber evitado?

La respuesta es rotunda: no. Hay demasiadas variables en la ecuación: desde que es necesario aplicar el parche y reiniciar la máquina; que ese parche puede hacer que otro servicio crítico deje de funcionar si no se prueba correctamente y que el ser humano sea consciente del riesgo que corre una máquina expuesta a Internet. El «malware» y los desastres no avisan cuándo van a venir.

4. ¿Se da ya por finalizado WannaCry?

Wannacry o cualquier otro que utilice la vulnerabilidad para propagarse, dejará de ser efectivo en cuanto todos los sistemas operativos Windows queden parcheados.

5. Microsoft quiere que sea requisito gubernamental «informar de las vulnerabilidades a los proveedores, en lugar de almacenarlas, venderlas o aprovecharlas». ¿Debe ser así?

La custodia de un arma tan potente como esa, supone una gran responsabilidad. Hay que recordar que la NSA fue «hackeada» en agosto de 2016, por The Shadow Brokers. Fue entonces cuando la NSA debió informar de los detalles de las vulnerabilidades. Hacerlo por obligación sólo es efectivo para ciudadanos. No aplica a gobiernos, políticos ni agencias de inteligencia.

Yago Jesús: «Hay que fomentar en los usuarios la autodefensa»

1. ¿Es WannaCry el inicio de algo más grande a lo que se conoce habitualmente como «ransomware»?

[ Lecciones y reflexiones sobre el mayor ciberataque]

2. ¿Qué lecciones, tanto usuarios, como empresas o gobiernos, deben sacar de este hecho?

La principal conclusión es que los fallos se pagan. Cada vez más las amenazas están supervitaminadas para castigar el mínimo descuido. Por eso, la única forma de tener una oportunidad es fomentar la autodefensa, es decir, que los usuarios de una organización no deleguen plenamente la seguridad a personal o equipo concreto, sino que se han de involucrar y ser la primera barrera de defensa. ¿Recuerdan la película «Origen»?

3. Este ciberataque, ¿se podía haber evitado?

A toro pasado, casi todas las desgracias parecen evitables, pero la realidad es que, cuando aparece un espécimen que añade algo novedoso, el ratio de éxito que obtiene suele ser elevado.

4. ¿Se da ya por finalizado WannaCry?

Claramente, el efecto sorpresa ya ha quedado desactivado. Pero habrá repuntes, sobre todo en organizaciones menos acostumbradas a lidiar con amenazas, como las pymes, sitios gubernamentales y en general sitios que carezcan de personal de seguridad.

5. Microsoft quiere que sea requisito gubernamental «informar de las vulnerabilidades a los proveedores, en lugar de almacenarlas, venderlas o aprovecharlas». ¿Debe ser así?

Poner el grito en el cielo porque los gobiernos manejen un «arsenal» de vulnerabilidades ocultas al público es como quejarse de que haga frío en invierno: ni sirve de nada ni va a desaparecer. Tenemos que aprender a vivir con ello. Personalmente, creo que una estrategia de seguridad basada, no en lo conocido, sino en analizar patrones de comportamiento, es el camino a seguir.

Maite Moreno: «Nos van a poner en jaque otras amenazas»

1. ¿Es WannaCry el inicio de algo más grande a lo que se conoce habitualmente como «ransomware»?

2. ¿Qué lecciones, tanto usuarios, como empresas o gobiernos, deben sacar de este hecho?

Aplicar las actualizaciones, hacer copias de seguridad periódicas y hacer, en empresas y gobiernos, que la ciberseguridad sea algo primordial.

3. Este ciberataque, ¿se podía haber evitado?

En una situación utópica en la que absolutamente el 100% de los sistemas hubieran estado actualizados, sí. Pero es una situación que está muy lejos de la realidad. La solución a la vulnerabilidad principal que explota Wannacry está disponible desde marzo, pero a veces su aplicación no es tan inmediata como se deseara. En algunos casos, los parches pueden no ser aplicados inmediatamente porque antes se prueban para que no supongan problema alguno, sobre todo en entornos críticos. En otros casos, simplemente un usuario no tiene conocimiento de la importancia.

4. ¿Se da ya por finalizado WannaCry?

Absolutamente no. Es algo que acaba de empezar. Todavía hay muchas organizaciones (y usuarios) que no están actualizados y están expuestos. Además, es probable que surjan variantes que causen algún brote nuevo de infección. Tampoco hay que olvidar que -sobre todo en los últimos meses- se están publicando muchas vulnerabilidades y «exploits» que los delincuentes pueden aprovechar. De hecho, Shadow Brokers ha anunciado ya la publicación de nuevos «exploits» y herramientas en junio. Así que si no es el WannaCry será otra amenaza la que nos intente poner en jaque de nuevo.

5. Microsoft quiere que sea requisito gubernamental «informar de las vulnerabilidades a los proveedores, en lugar de almacenarlas, venderlas o aprovecharlas». ¿Debe ser así?

Es un tema muy complejo. ¿Deben los gobiernos utilizar «exploits», «0 day» (brecha de seguridad en un software de la que se aprovechan los ciberdelincuentes) o vulnerabilidades como ventaja competitiva para la defensa del Estado? Si se roba uno de esos exploits o «0 day» -como ha ocurrido- provoca un impacto masivo.

Josep Albors: «Hay que controlar el robo y filtración de ‘bugs’»

1. ¿Es WannaCry el inicio de algo más grande a lo que se conoce habitualmente como «ransomware»?

2. ¿Qué lecciones, tanto usuarios, como empresas o gobiernos, deben sacar de este hecho?

La principal lección es la necesidad de parchear sistemas vulnerables lo antes posible. Esto es más fácil decirlo que hacerlo, porquee muchas empresas y administraciones públicas tienen que evaluar cada actualización que van a aplicar para evitar incompatibilidades. También hemos aprendido la importancia del robo y filtración de este tipo de información, algo que debería estar monitorizado para evitar que se trafique y se ponga en peligro la seguridad de millones de sistemas.

3. Este ciberataque, ¿se podía haber evitado?

No vivimos en un mundo ideal. Es vital recordar la importancia de saber gestionar estas vulnerabilidades («bugs») y solucionarlas lo antes posible, contar con una copia de seguridad de todo lo importante y cumplir con las medidas y soluciones de seguridad capaces de identificar estas amenazas y los vectores de ataque para bloquearlas.

4. ¿Se da ya por finalizado WannaCry?

Parece que al menos las variantes que hemos estado observando durante estos últimos días ya no tienen más recorrido, pero hemos de recordar que el peligro no está en el «ransomware» en sí, si no en la capacidad de propagación del tipo gusano que le quieran otorgar los delincuentes a cualquier otro «malware».

5. Microsoft quiere que sea requisito gubernamental «informar de las vulnerabilidades a los proveedores, en lugar de almacenarlas, venderlas o aprovecharlas». ¿Debe ser así?

Muchas vulnerabilidades se descubren gracias al trabajo de los investigadores que buscan estos agujeros de seguridad. El remedio de Microsoft puede no ser la mejor solución si los investigadores dejan de revisar el código y solo se dedican a hacerlo los delincuentes en beneficio propio.

Yago Hansen, de Mundo Hacker «El ciberataque ha sido un ensayo de ciberguerra»

1. ¿Es WannaCry el inicio de algo más grande a lo que se conoce habitualmente como «ransomware»?

2. ¿Qué lecciones, tanto usuarios, como empresas o gobiernos, deben sacar de este hecho?

El usuario tiene que proteger sus dispositivos con actualizaciones de sistema y software y mediante antivirus, además de disponer de copias de seguridad de los datos personales. Con respecto a la empresa, se ha demostrado la necesidad de unas políticas más eficaces y rápidas de actualización de seguridad en sus sistemas. A nivel de gobiernos, se necesita mayor concienciación sobre este nuevo fenómeno, que se va a sufrir cada vez de forma más frecuente en los próximos años. Los países deben invertir en reforzar sus defensas cibernéticas.

3. Este ciberataque, ¿se podía haber evitado?

Habría sido muy difícil evitarlo. Pero se podría haber mitigado rápidamente si los sistemas afectados hubieran estado parcheados y actualizados, como debería haber sido.

4. ¿Se da ya por finalizado WannaCry?

No lo creo. Es un experimento y probará nuevas variantes. En breve, otras versiones privadas comenzarán a afectar a usuarios domésticos y de pequeñas empresas.

5. Microsoft quiere que sea requisito gubernamental «informar de las vulnerabilidades a los proveedores, en lugar de almacenarlas, venderlas o aprovecharlas». ¿Debe ser así?

Microsoft, como otras grandes corporaciones, colabora con algunos gobiernos para facilitarles datos de usuarios y acceso a sistemas. Por otro lado, los gobiernos necesitan adquirir herramientas de acceso a sistemas para luchar contra el terrorismo y otros delitos. No existe un criterio común. Es un debate abierto.