El ransomware y la seguridad en infraestructuras críticas

electricity-623x432

Cuando decimos que el ransomware es una de las peores amenazas de la actualidad no lo decimos únicamente por las molestias que causa a miles de usuarios y empresas en todo el mundo. Hace ya algún tiempo que esta amenaza también ha empezado a afectar a sistemas encargados de gestionar algunas infraestructuras que se suelen catalogar como críticas.

Precisamente, la semana pasada hablábamos de la seguridad en estas infraestructuras y de como una de las mayores amenazas a las que se enfrentan actualmente son los ataques indirectos que sufren por parte de malware convencional. Es decir, malware que no persigue dañar estas infraestructura concretamente pero que, por su manera de actuar, puede ocasionar incidentes graves.

Central eléctrica afectada en Michigan

Un caso reciente lo tenemos en la central eléctrica BWL, encargada también de proporcionar agua potable a parte de los vecinos de Michigan. Aparentemente, la semana pasada uno de los empleados de esta central abrió un email con un adjunto infectado con una de las muchas variantes de ransomware que pululan actualmente por Internet.

Como viene siendo habitual, el ransomware no se limitó a infectar el equipo de este empleado sino que se dedicó a esparcirse por la red infectando otros sistemas y obligando a apagar su sistema de contabilidad, el correo electrónico de los 250 empleados y las líneas de teléfono (incluyendo las dedicadas a ofrecer soporte técnico a los usuarios).

Ante este escenario, no es de extrañar que los responsables de la central describieran al ransomware como “muy novedoso” y “un ataque sofisticado que consiguió evadir sus numerosos sistemas de seguridad». Sin embargo, el ransomware tiene poco de novedoso y sofisticado y, muy probablemente, el ataque tuvo éxito debido a una serie de fallos en las políticas de usuarios y en políticas de seguridad básica que cualquier empresa del tamaño que sea debería tener.

Sobre la eficacia de los antivirus ante el ransomware

El propio director general de la central afirmó que su antivirus no fue capaz de detectar la amenaza y que solo tres motores eran capaces de detectar esta variante en el momento del ataque. No obstante, estamos prácticamente seguros que esta afirmación se hizo a la ligera enviando las muestras a un servicio como VirusTotal, que analiza las tasas de detección de varios motores antivirus pero que, tal y como sus creadores avisan, solo lo hace teniendo en cuenta las bases de firmas de los antivirus.

Y ahí es donde reside uno de los problemas actuales a la hora de enfrentarse a este tipo de amenazas. Las bases de firmas son un mecanismo que solo permite detectar una amenaza cuando esta ya se ha producido (a veces bastante tiempo después). Para mejorar esta detección hace años que los antivirus incorporaron otros mecanismos como la heurística avanzada, la reputación en la nube (como el sistema Live Grid de ESET), el bloqueo de exploits, el análisis en una  sandbox o incluso en la memoria del sistema para bloquear el malware en el caso de que este llegue a ejecutarse.

El problema viene cuando el usuario responsable de configurar su solución antivirus desconoce todas estas opciones y no las activa. Es más, existen módulos dentro de muchos antivirus que permiten generar reglas que son capaces de detectar y detener la ejecución de un ransomware. Pero claro, para conocer todas estas opciones se ha de investigar, consultar con el servicio técnico y probarlas a fondo, algo que, lamentablemente no suele producirse.

Lo mismo sucede con la correcta configuración del sistema. La gran mayoría de ordenadores afectados por ransomware contaban con una versión de Windows donde el usuario disponía de permisos de administrador y se le permitía acceder y modificar archivos en otros sistemas de la red, por no mencionar los parches de seguridad sin aplicar o las aplicaciones como Flash o Java desactualizadas y con múltiples agujeros de seguridad.

Conclusión

Si de verdad queremos hacer frente al ransomware en cualquiera de los escenarios en los que puede estar presente (doméstico, corporativo o incluso en infraestructuras críticas) debemos tener en cuentas todas las herramientas de las que disponemos y saber cómo funcionan para poder configurarlas correctamente.

De nada sirve echarle la culpa al antivirus, cortafuegos, filtro antispam o sistemas de defensa perimetral si, como usuarios, no hemos sabido configurarlos para explotar al máximo la protección que tanto estas herramientas como el propio sistema nos ofrece, sin olvidarnos de la educación de los propios usuarios, un factor fundamental para evitar muchos ataques actuales que se aprovechan de una mala formación en materia de ciberseguridad.

Josep Albors

Millones de cuentas de correo comprometidas. Buen momento para cambiar tu contraseña