Amenaza de ataque informático global persiste en Uruguay

Hasta el momento no se registraron incidentes en Uruguay pero experto entiende que algún caso podría aparecer en los próximos días.

En la tarde de este sábado no se había reportado en Uruguay casos que se pudieran clasificar como parte del ciberataque que afectó el viernes 12 a los equipos informáticos de entidades de 99 países. Sin embargo, el director regional de Security Advisor, Leonardo Berro, dijo a Cromo que aún existe la posibilidad de que aparezca algún caso el lunes, cuando se retomen las actividades.

"Puede pasar que alguna empresa no haya tomado las precauciones del caso y que un usuario abra un correo y haga click en un link que no debe", dijo el especialista. Por eso es que los diferentes actores públicos y privados que trabajan en seguridad informática siguen monitoreando el estado de la situación.

"Seguro que en algún momento (este ataque) va a traer cola en Uruguay", dijo Berro. Mientras que no hay reportes, el experto en seguridad pidió no reaccionar ante mensajes que hablen de "cajeros automáticos inaccesibles" u "hospitales que no atienden a sus pacientes" y que pueden propagarse por las redes sociales para "crear pánico".

Entre las víctimas del ataque de este viernes se encuentran diversos hospitales y centros médicos de Inglaterra y la empresa española de telecomunicaciones Telefónica.

"Hasta ahora hemos detectado más de 75.000 ataques en 99 países", dijo Jakub Kroustek, de la empresa de seguridad Avast.

Anteriormente, el investigador de Kaspersky Lab, Costin Raiu, había mencionado 45.000 ataques en 74 países, y señalado que el virus, en forma de "gusano", "se extiende rápidamente".

Los laboratorios de seguridad Forcepoint indicaron en un comunicado que "una campaña altamente maliciosa" había sido lanzada a través del correo electrónico, consistente en el envío de unos 5 millones de correos por hora.

Embed

Según informó a Cromo Graciela Martínez, directora del Centro para el Manejo de Respuesta a Incidentes en seguridad informática en toda América Latina (WARP LACNIC), en la región hay reportes de que el virus ha afectado a organizaciones de Argentina y Chile.

El virus que ha afectado a los equipos de los institutos es de tipo ransomware, lo que significa que cifra la información de las computadoras a cambio de un rescate (normalmente en bitcoins para que no puedan ser rastreados).

Qué pasó

El incidente sufrido por Telefónica obligó a la compañía a pedir el apagado de las computadoras de sus funcionarios de la sede central en Madrid en el Distrito C, así como de otras dependencias del grupo. También se pidió que se desconectaran los celulares de la red wifi. Este problema no afecta a los clientes de la compañía, solo a los empleados. En este caso, trascendió que el pago exigido es de US$ 1 millón.

Berro indicó que Telefónica Uruguay no fue afectada por el malware porque se tomaron precauciones de seguridad apenas se conoció la noticia.

Fuentes afirman que esta versión del ransomware está conectada con algunas herramientas de la NSA que han sido robadas por el grupo Shadow Broke que lleva tiempo intentando vender con mayor o menos éxito las herramientas de hacking del gobierno estadounidense.

El ataque sufrido por Telefónica "es significativo, pero no sorprende, no es ni será el último caso" señaló el experto en ciberseguridad y colaborador de EFE Deepak Daswani, quien ha recordado otros casos relevantes como el ataque a Yahoo en 2015 con robo masivo de correos o a Sony en 2014.

"Todos somos vulnerables, la realidad supera a la ficción", enfatizó Daswani, quien coincide con el resto de expertos en que si una empresa que sufre este tipo de ataques y no tiene copias de seguridad bien gestionadas, suelen acabar aceptando la extorsión.

"Se trata de un ataque coordinado que explota una vulnerabilidad de Windows que apareció el fin de semana y para lo que Microsoft lanzó un parche hace pocas horas", comentó Gabriel Zurdo, CEO de BTR Consulting, empresa especialista en seguridad informática.

ataque ransomware.JPG

Esta modalidad de ransomware atacó a las estaciones de trabajo y no a los servidores y se piden US$ 300 de "rescate" por máquina. Este"rescate" va aumentando a medida que pasan los días y con el tiempo van a borrar la información", explicó el especialista a Infotechnology.

Los análisis del Instituto Nacional de Ciberseguridad de España (Incibe) reveló que el software malicioso que provocó el ciberataque a nivel global es un WanaCrypt0r, una variante de WCry/WannaCry. Este virus bloquea el acceso a los ficheros del equipo y puede infectar al resto de ordenadores vulnerables de la red.

Por otra parte, al menos 16 centros médicos de Londres, Blackpool, Nottingham, Cumbria y Hertfordshire, entre otras áreas del Reino Unido, han resultado afectados, viéndose también obligados a apagar sus equipos informáticos. Toda la información que poseen sobre pacientes, con direcciones, teléfonos e historiales médicos es ahora inaccesible.

Embed

El servicio de salud británico alertó de que el ataque no ha estado "específicamente dirigido" contra el sistema público, sino que "está afectando a organizaciones en todos los sectores".

Según Motherboard, los hospitales del Reino Unido seguían usando miles de computadoras con Windows XP, un sistema que tiene 16 años. Windows 7, que sigue siendo el sistema más popular, no tiene parche contra el virus.

Los técnicos del sistema sanitario están trabajando junto con el Centro Nacional de Ciberseguridad británico -adscrito a los servicios de inteligencia- para tratar de solventar la incidencia.

Cómo cuidarse

Lo importante ante esta situación es seguir las recomendaciones de las empresas de seguridad informática ESET y WARP LACNIC:

  • Actualizar los sistemas operativos y aplicaciones a la última versión disponible. En caso de contar con una red, asegurarse de que todos los equipos cuenten con los parches de seguridad aplicados.
  • No ejecutar archivos de dudosa procedencia que podrían llegar como adjuntos en correos electrónicos. Esta recomendación también aplica en caso de recibir un correo sospechoso por parte de un contacto conocido.
  • Mantener actualizadas las soluciones de seguridad para poder optimizar la detección de estas amenazas.
  • Realizar backups periódicos de la información relevante.
  • En caso de que se trate de una empresa, también es recomendable dar aviso a los empleados de que estén alertas frente a esta amenaza y que no ejecuten archivos de procedencia sospechosa.

En peligro

Las versiones de Windows que están en peligro son las siguientes:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016