El ataque WannaCry de 2017

La importancia de disponer de sistemas de seguridad actualizados.

El viernes 12 de mayo de 2017, el ransomware WannaCry se identificó inicialmente en algunos hospitales del Reino Unido. En solo cinco días explotó en todo el mundo, infectando decenas de miles de dispositivos en más de 150 países. En este artículo explicaremos los detalles del ataque WannaCry, también demostraremos cómo el ransomware representa uno de los tipos de ciberataques más difundidos y explicaremos cómo FlashStart puede ayudarte a mantener tu seguridad contra este tipo de ataques.

1. El ataque WannaCry: ransomware ultrarrápido

1.1 ¿Qué es un ataque ransomware?

El ataque WannaCry fue de tipo ransomware: en estos ataques, un software malicioso cifra algunos datos de un dispositivo y bloquea el acceso haciendo que el dispositivo quede inservible.
A continuación, los autores del ataque «mantienen secuestrados» los datos y piden un rescate al propietario del dispositivo. Si el propietario decide no pagar, el acceso a los datos permanece bloqueado. Hoy en día es muy frecuente que, junto a la petición de rescate, se añade la amenaza de hacer públicos los datos y documentos, destruirlos por completo o incluso ponerlos a la venta en la dark web a cualquiera que pueda estar interesado.

1.2 El ataque de 2017

El ataque WannaCry, cuyo nombre completo es WannaCryptor, se inició el viernes 12 de mayo de 2017 y apuntó a dispositivos que utilizaban el sistema Windows. Casi dos meses antes, Microsoft distribuyó un parche para EternalBlue, nombre que se dio a una debilidad de Windows de la que un grupo llamado TSB – The Shadow Brokers – hizo pública al mundo.

Incluso con el parche de Microsoft, muchos usuarios se encontraron desprevenidos ante la explosión del ataque en la medida en que habían ignorado la actualización o incluso utilizaban versiones antiguas de Windows, convirtiéndose así en sujetos muy vulnerables para este ataque a gran escala. EternalBlue no solo fue explotado por WannaCry, sino también por otro ransomware llamado NotPetya.

WannaCry se propagó muy rápidamente. El importe inicial del rescate era de 300 dólares en Bitcoin, pero pronto subió a 600 dólares en Bitcoin. Como suele ocurrir en los casos de ransomware, el rescate se pidió en moneda electrónica, ya que cualquier rastro sería mucho más difícil respecto a transferencias bancarias u otro tipo de transacciones.

Se estima que el malware infectó unos 230.000 ordenadores en 150 países. Tras la rápida difusión inicial, se descubrió un mecanismo de desactivación que ralentizó el ataque de WannaCry, pero no lo detuvo por completo.


>> FlashStart el filtro de Internet contra malware, ransomware y otros contenidos peligrosos ? Comience su prueba gratuita o solicite una cotizaciòn


1.3 ¿Qué contribuyó al éxito del ataque WannaCry?

Con respecto a otros tipos de ataques de ransomware, WannaCry fue un ataque a gran escala que no tenía un objetivo preciso. Primero fue captado por sistemas informáticos de hospitales británicos, pero entre las víctimas también se encontraban empresas y organizaciones de sectores variados en muchos países diferentes, incluso de los tradicionalmente considerados enemigos.

El ataque no se contuvo ante nadie y golpeó por igual a Europa, Rusia y Estados Unidos. Algunas víctimas destacadas son: El Ministerio del Interior ruso, las compañías ferroviarias rusas, la aerolínea Indiana Shaheen Airlines, las oficinas de seguridad pública de las regiones chinas, Renault en Francia, las compañías telefónicas españolas y la Universidad Bicocca de Milán.

Lo que hizo tan poderoso al ataque WannaCry fue su estructura. De hecho, el malware incluía un gusano, una característica que permite al ataque anular archivos, consumir ancho de banda y, sobre todo, propagarse rápidamente sin necesidad de un host de archivos. De hecho, el gusano se autopropaga y por lo tanto, a diferencia de un virus, no necesita ninguna acción humana para iniciar su actividad dañina.

No sólo, el malware explotaba el parche EternalBlue mencionado anteriormente, una brecha en el sistema SMB de Windows, el protocolo que permite a los nodos de red comunicarse. Esta brecha sigue siendo explotada hoy en día por algunos ataques de tal manera que muchos usuarios de Windows no descargan e instalan las actualizaciones de seguridad necesarias para el buen uso de sus programas.

1.4 ¿Quién creó el ataque WannaCry?

En diciembre de 2017, Estados Unidos atribuyó oficialmente la autoría del ataque WannaCry a Corea del Norte, en concreto, a una conocida organización llamada Lazarus Group. Aun así, la NSA -la Agencia de Seguridad Nacional de Estados Unidos- podría haber tenido un papel involuntario en el propio ataque.


>> FlashStart te protege de una amplia gama de amenazas y bloquea el acceso a sitios dañinos ? Comience su prueba gratuita o solicite una cotizaciòn


2. La intensidad de los ataques actuales de ransomware

Los ataques de ransomware se encuentran entre los ciberataques más comunes, ya que permiten a sus autores obtener beneficios económicos. Según el «Internet Crime Report 2021» del FBI IC3 -el centro de denuncias cibernéticas del FBI-, en 2021 recibieron 3.729 denuncias de ataques de ransomware identificados que causaron unas pérdidas estimadas de 49,2 millones de dólares. De ellas, 649 denuncias se referían a ataques a infraestructuras de 16 sectores gubernamentales considerados críticos en Estados Unidos.

El FBI subraya cómo las tácticas y técnicas del ransomware siguen evolucionando, una prueba más de la creciente sofisticación tecnológica de los hackers y de las amenazas que se derivan para empresas y organizaciones de todo el mundo. Las tres formas principales en que se realizan los ataques son:

» Phishing correos electrónicos que pretenden atraer al receptor, unas veces con objetivos determinados y otras con ataques que te adentran en la trampa del ataque.
» Explotación del protocolo remoto de los ordenadores de sobremesa, cada vez más habitual por la difusión del trabajo y el aprendizaje a distancia.
» Explotación de software vulnerable, como de hecho desde el ejemplo de ataque WannaCry que se está analizando en este artículo con la explotación EternalBlue.


>> ¿Es usted fabricante de dispositivos? Es posible integrar FlashStart de forma nativa ? Comience su prueba gratuita o solicite una cotizaciòn


3. ¿Cómo protegerse del ransomware?

El Informe sobre Delitos en Internet de 2021 del FBI enumera cuatro acciones que todos los usuarios de Internet pueden poner en práctica hoy en día para protegerse mejor de los ataques de ransomware. Son las siguientes:

» Actualiza los sistemas operativos y el software: demostrado con el ataque WannaCry, este aspecto es fundamental para garantizar la seguridad de tus dispositivos. Cuando la empresa fabricante se da cuenta de que tiene una vulnerabilidad en el sistema, trabaja para ofrecer parches que resuelvan el problema a sus usuarios. Aunque descargar e instalar dichas actualizaciones lleva su tiempo, éstas pueden marcar una gran diferencia a la hora de sufrir ataques.
» Enseñe a sus compañeros a reconocer los ataques de phishing mediante formación específica y ejercicios reales de phishing para aumentar los conocimientos sobre los enlaces que se reciben cada vez más en los mensajes de correo electrónico y que podrían resultar sospechosos o incluso perjudiciales.
» Supervise los protocolos de control remoto del ordenador y haga que estos medios sean seguros aplicando medidas especiales específicas.
» Conservar copias de seguridad de datos y documentos en soportes externos, no conectados a Internet y, por tanto, disponibles en modo offline.

Entre las medidas destinadas a mejorar la protección de las redes y los dispositivos conectados a ellas se encuentra un filtro de contenidos como el que ofrece FlashStart, un software que crea un punto de control, por tanto de verificación, de todos los accesos a la red de Internet y de las solicitudes de los usuarios que desean visitar sitios deseados.


>> FlashStart es el filtro web que protege a más de 25 millones de usuarios ? Comience su prueba gratuita o solicite una cotizaciòn


4. FlashStart: la protección ultrarrápida y constantemente actualizada contra los ciberataques

FlashStart ofrece una solución de filtro de Internet ultrarrápida, constantemente actualizada y personalizable.

4.1 FlashStart: protección ultrarrápida

FlashStart dispone de una red global estable Anycast con un tiempo de actividad del 99,87%, entre las 5 mejores del mundo. A través de la red Anycast, la misma dirección IP corresponde a más hosts, por lo que la solicitud del usuario se envía a una sola dirección en función del coste y la ubicación del servidor. Esto garantiza una altísima prestación no sólo en velocidad de respuesta del sistema -cuando el usuario teclea un sitio web que quiere visitar ni siquiera se da cuenta de todos los controles que hay detrás de su petición-, sino también en términos de redundancia del sistema para protección y servicio continuo.

4.2 FlashStart: inteligencia artificial para garantizar una protección actualizada

La protección FlashStart, además, explota una mezcla de algoritmos de Inteligencia Artificial (IA) y Aprendizaje Automático (ML) que cada día analizan hasta 200 mil nuevos sitios web en 24 idiomas diferentes y los cataloga automáticamente en 90 grupos distintos en función de su contenido. Cuando identifican nuevas amenazas, el sistema FlashStart Cloud, donde se encuentran todas las listas negras que contienen los sitios cuyo acceso no está consentido, se actualiza automáticamente. De este modo, el usuario puede beneficiarse directamente de una protección actualizada sin necesidad de descargar ningún tipo de actualización que luego requiere reiniciar su sistema.

4.3 FlashStart: protección granular personalizable

Por último, la protección FlashStart es totalmente personalizable y permite al administrador de la red crear varios perfiles de seguridad para usuarios individuales o grupos, importando incluso la lógica de Active Directory cuando esté presente. Aparte de los contenidos peligrosos, bloqueados directamente por el sistema, el administrador puede optar por bloquear contenidos no deseados o inadecuados -cómo porno, violencia o juegos de azar en línea-, así como los que crean distracción, incluidas las redes sociales, las plataformas de audio y streaming y los sitios de compras en línea.


>> FlashStart es la protección granular contra las ciberamenazas y los ataques de phishing ? Comience su prueba gratuita o solicite una cotizaciòn


En cualquier Router y Firewall puede activar la protección FlashStart® Cloud para asegurar dispositivos de escritorio y móviles y dispositivos IdC en las redes locales.

Reading time 3 min
Elena DeolaEnglish Interpreter and Blogger
Como intérprete de inglés y bloguera, me dedico a compartir conocimientos a través de mi blog. Apasionada de la comunicación, me esfuerzo por hacer accesibles conceptos complejos a los lectores, fomentando la comprensión y la conexión en un mundo cada vez más globalizado.

Ver todas las entradas de Elena Deola

Como intérprete de inglés y bloguera, me dedico a compartir conocimientos a través de mi blog. Apasionada de la comunicación, me esfuerzo por hacer accesibles conceptos complejos a los lectores, fomentando la comprensión y la conexión en un mundo cada vez más globalizado.
Compartir:  
For information
click here
For a free trial
click here
For prices
click here
Follow us on
Linkedin | YouTube