1

Telefonica Ransomware, la cruda realidad de Internet vs BigData, Cloud, el marketing del humo

Ransomware wannacry telefonica

Hoy, la noticia salto como la pólvora: Telefónica secuestrada, problemas en Iberdrola, Gas Natural Fenosa, y al final se extendió a hospitales públicos del Reino Unido. La palabra mágica: ransonware. (Telefonica Ransomware) La realidad, es que se le ha dado una difusión impresionante, a un problema que no es nuevo y que ya afectado en los últimos años, a grandes corporaciones, PYMES, grandes empresas, autónomos, e incluso (sic) el pasado 25 de abril de 2016 caía en sus garras el Ministerio del Interior de España.

Mientras la prensa especializada (por llamarlo de alguna manera) y por añadidura los especialistas en vender humo, se les llena la boca de BigData y Cloud, cuando en realidad, en este país, España, es más necesario concienciar a empresarios, autónomos y usuarios, de la necesidad de tener un buen sistema backup, cuando menos, y en el ámbito empresarial, tener un plan de continuidad de negocio (BCP [Business Continuity Plan]).

Telefónica y el secuestro con ransomware WannaCry

Bueno en el plano técnico de seguridad, el ataque no sólo afecto a Telefónica, sino a varias organizaciones, afectando a algunos de sus sistemas Windows (Gracias Bill Gates por tu herencia), cifrando todos los archivos y los de las unidades de red conectadas y otros equipos Windows de la misma red.

Es lo que se lleva sufriendo en Windows desde hace unos dos años, cada vez con más intensidad. Esta vez, la variante de WannaCry que hace lo mismo que casi todos los ransomware de los dos últimos años: cifrar los archivos del ordenador infectado, las unidades de red montadas y por añadidura, los equipos conectados a su red (Windows)

Porque ahora?

El motivo es claro, existe una vulnerabilidad que afecta a:

Los sistemas afectados son:

  • Microsoft Windows Vista SP2
  • Windows Server 2008 SP2 and R2 SP1
  • Windows 7
  • Windows 8.1
  • Windows RT 8.1
  • Windows Server 2012 and R2
  • Windows 10
  • Windows Server 2016

Microsoft publicó el 14 de marzo en el boletín de seguridad una vulnerabilidad que afecta al Server Message Block (SMBv1), lo que muchos conocemos como SAMBA, en el que se recomendaba actualizar a la última versión o parchear, excepto en el caso de Windows 7, que se recomienda aislar o apagar. (¿todavía hay usuarios de Windows7?). La explosión, o el desencadenante fue la publicación de una prueba de concepto.

La actualización no es suficiente
Algunos medios, ha escrito que si los sistemas windows están parcheados, no estarán afectados por el ransomware. INCORRECTO. El parche solo soluciona el que el ransomware no se extienda sobre la red SMB de Windows. El virus sin embargo podrá afectar al equipo y los discos fisicamente conectados a él.

¿Y que fallo?

Bueno, no es por meter el dedo el ojo, pero alguno, que forma parte de la cultura nacional, la de vender humo, no ha hecho su trabajo, en esto y en otras cosas. Esta claro que ha día de hoy, los equipos, pese al boletín de seguridad, no estaban parcheados o actualizados. Ya hace unos meses, Telefonica se vio envuelta en un ataque DoS (Denial of Service) de mas de 150Gbps a OVH. Pero claro, parece ser que el cargo de Chief Data Office no incluyen competencias en esta ni en la otra, pero si quitar hierro al asunto, cuando esta incidencia ha llevado a enviar a casa a los miles de trabajadores de centro de todo el mundo. ¿Entenderá de costes laborales y de marca?

Una cadena es tan fuerte como su eslabón más débilThomas Reid
De todas formas, el asunto es muy complejo y afecta a la incultura informática que en general vive el país. Por un lado, los clientes tecnológicos demandan mayor seguridad, pero luego son incapaces de trabajar con las herramientas que se les ofrece, y como norma general, se acaban relajando las normas de seguridad impuestas en los distintos elementos que componen la seguridad de una empresa o de un usuario. Esto es debido a la imposibilidad de luchar contra la desidia y la falta de entendimiento entre los agentes encargados de la seguridad y los usuarios.

Internet vs BigData, Cloud, el marketing del humo

En los 5 últimos años, se ha instalado la cultura del BigData, el Cloud, la nube, etc. Palabras que resuenan en las conversaciones profesionales, en los eventos del sector, y que se propagan como la peste gracias a la necesidad de muchos de vender humo. La realidad es que el 90% de las PyMES, no usaran el BigData para nada, pues su capacidad económica y la preparación de sus directivos, no la hará factible, salvo comprar paquetes a empresas del sector que les venderán humo, a un buen precio, que se repartirán entre el vendedor y el directivo que permitió que les vendieran la moto. En cuanto al Cloud, bueno aquí ya hay algo mas de formación, pero el tema sigue estando lejos de la realidad de muchos.

Sin embargo, la prensa especializada, se ha olvidado formar a la gente en la cultura del backup. Del backup bien entendido oiga. No de lo que la gran mayoría de las empresas tiene por backup.

Experiencias
A lo largo de mis 20 años en el sector, he visto de todo. Desde 10 años de información contable y administrativa perdida porque el Director de Informática, no tenía backups, y porque este había confiado en una reputada empresa del sector para la instalación de un super equipo con RAID 1, que al postre ni siquiera estaba montado, pasando por una empresa de hosting que no tenia ni siquiera copias de seguridad, hasta clientes que tenían su negocio en empresas del sector que ni siquiera habían configurado los backups. Lo último, fue alguien que tenia un disco de backup en su red, y CryptoLocker paso por su oficina. En todos los caso he visto muchas, muchísimas lagrimas y mucho dinero perdido

Conceptos equivocados, inexistencia de políticas de seguridad, falta de un plan de continuidad de negocio, y un sin fin de elementos que hacen que la mayoría de las empresas, este en la nube, pero no la del Cloud.

Mitos y leyendas de los sistemas de backup

Uno de los conceptos más equivocados de las copias de seguridad es tener solo una copia de seguridad, que se guarda en nuestra casa, en nuestra oficina. Algunos incluso en el bunker de la empresa que tiene en el sótano del edificio. ¿Se acuerdan del incendio de la Torre Windsor en el 2005? Abogados Garrigues y la consultora Deloitte, pusieron un claro ejemplo del problema. Deloitte estuvo operativo a las 12 horas del desastre, con la recuperación de sus sistemas de copias de seguridad, que se encontraba fuera del edificio. El Despacho de Garrigues, tenia todos sus sistemas incluidos los backups en el sótano del edificio, perdiendo con el incendio toda la documentación y expedientes.

Debe existir siempre un sistema de seguridad externo a las oficinas centrales de una empresa o del hogar del usuario. Comprarse una Synology y tenerlas enchufada a la red, sin que exista una copia alternativa fuera, es como tener una caja fuerte sin cerrar.
Al hilo de los vendedores de humo, uno de los vocablos de moda, es este: snapshot o instantánea de volumen, que si bien es un elemento muy útil, muchas veces no es lo que dice ser. Si la instantánea se guarda en el propio sistema de ficheros como hace la gran mayoría de las empresas del sector, entonces es como dejar las llave puestas en el coche. La realidad es que esas copias tienen una utilidad, muy grande, pero no son copias de seguridad.
Si no tienes otro sistema de copias de seguridad entonces tu si que estas en la nube, y te han vendido la moto.
Otro de los grandes olvidados en el protocolo de las copias de seguridad de las empresas y usuarios, es el de organizar comprobaciones regulares de la validez de sus copias de seguridad, testing así como de la revisión de los logs de los sistemas de seguridad. Este fallo es muy común en los sistemas de backup para bases de datos. Unas veces porque el sistema de copias de seguridad no emite informes de los problemas surgidos, otras porque no leemos los mensajes de esos sistemas.
He visto como empresas han confiado en los backups automatizados de Cpanel, en los de Plesk, Virtualmin o ISPConfig, y un buen día cuando lo han necesitado han descubierto que no tenían ninguna copia valida de tal o cual base de datos, porque estaba averiada una tabla, y el sistema de backup no estaba bien diseñado como para continuar y avisar, o en su defecto aviso pero no se leyó el aviso.
El plan de copias de seguridad, debe estar estructurado de forma que la recuperación de la operativa de la empresa, sea rápida y lo menor traumática posible. Es lo que se conoce como Rollback.
Un buen plan, es el recuperar primero los sistemas, y después los datos. Aquí si entran en juego el uso de tecnologías del Cloud, el snapshot ubicado externamente, para levantar sistemas, y las copia de datos para la puesta a punto de los datos.
Imagínate reinstalar un sistema complejo de Windows, con el Service Directory, o un sistema UNIX con el LDAP. Horroroso cuando puedes hacerlo desde un snapshot completo, y después actualiza los últimos cambios.
Es más eficiente, en costes y en operativa, que mantener una replica completa del modelo operativo principal, para ponerse en marcha en caso de fallo, aunque esta sin duda, es la mejor opción.
Mundo hosting y el backup
A día de hoy cientos de miles de usuarios de servicios web, no cuentan con servicios de backup propios, confiando en el de las empresas de hosting, que solo poseen copias de seguridad en maquina local, o conectadas via NFS. Pide a tu empresa de hosting que te explique como gestiona tus backups, y ten tu propio sistema alternativo por si acaso.

Artículos externos:


Imagen original descargada de Freepik diseñada por Asier Romero y retocada por Abdelkarim Mateos

Comparte este artículo

Comments 1

  1. Hola.

    ¿Cuantos equipos infectados por el ransomware, estaban desactualizados por no tener licencia y no como dice Chema Alonso, por la dificulta de actualizar sistemas en producción?
    La verdad es que Microsoft ha puesto el dedo en la llaga:

    El WannaCrypt salió de la NSA (se lo robaron [sic])
    ¿Cuantas copias ilegales hay por el mundo en organismo públicos, grandes corporaciones, etc…?

    Aquí la gente tira la pelota fuera, o la cosa no fue tan gorda, o …

    Saludos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax