3 jul 2017

¿Por qué no van a cesar amenazas como WannaCry y Petrwrap?

Muy buenas a todos, en las últimas semanas hemos sido testigos de 2 grandes ciberataques que han dado el salto de nuestros blogs y foros habituales, a los telediarios y periodicos generalistas de índole nacional e internacional.

Cuando esto ocurre, además de salir en los medios grandes profesionales del mundo de la ciberseguridad, para dar su opinión técnica para que el resto de ciudadanos entiendan la envergadura de la amenaza, y recomendar si deben tomar alguna medida de seguridad especial para estar alerta y prevenir una posible intrusión, también saltan a la palestra los tecnicoless y XXXX (sustituya las XXXX por la palabra que desee), que no han tocado un PC más que para instalarse el μTorrent, e intentan a base de esfuerzo ver quien dice la mayor tontería en un medio que verán millones de espectadores, provocando la máxima alarma social por su falta de conocimiento sobre lo que hablan.

Hable quien hable en los medios sobre este tipo de ciberataques, hay una cosa muy clara, y es que si salta a la prensa generalista, es que el hecho ha sido grave.

Por resumir brevemente el último ataque acontecido, fue un ciberataque masivo, con foco en Ucrania, acontecido el pasado 27 de Junio y que afectó a numerosas infraestructuras críticas, como el Banco Central de Ucrania, el Consejo de Ministros y el Aeropuerto de Boryspil de Kiev. 

Entre el debate de si Petya, #NotPetya, Petrwap, Loki-Bot o cómo lo acabemos denominando en unas semanas..., la Policía Cibernética Ucraniana confirmó que supuestamente uno de los focos partió de un mecanismo de actualización de un software integrado en M.E.Doc (programa de contabilidad), muy utilizado por diversas entidades, y entre ellas, el gobierno ucraniano. 

No estamos ante ataques nuevos, "ramongüares", exploits... son nuestro pan de cada día. El problema viene cuando se unen a 0 days, y a la falta de medidas de seguridad en organizaciones que proveen de servicios a millones de clientes.

Al final el problema está en las personas. La tecnología es tecnología, mejor o peor, pero de alguna o de otra manera puede ser protegida, parcheada, configurada, aislada y apagada para evitar un ataque, pero si no hay concienciación, si la junta directiva pasa de apoyar a sus equipos de IT, si se carecen de equipos de seguridad, si no se ve el ROI en la seguridad y se reducen o anulan las partidas presupuestarias, si no se forma al personal, si no actualizan los sistemas, si no se diseñan, aplican y prueban planes de contingencia y respuesta a incidentes, si no hay conciencia de backups, si el personal de IT y seguridad va y viene, si no hay un verdadero plan director de seguridad que marque una guía, etc. etc. estos ataques van a seguir teniendo éxito. Y mientras haya víctimas que sigan pagando los "rescates" de los ransomware, seguirán nutriendo económicamente a los atacantes, animándoles a seguir causando daño a cambio de unos míseros euros (recordemos que en las primeras horas apenas recuperaron a nivel mundial 3,6405 BTC~8.000 €)

De nada sirve que un experto en ciberseguridad recomiende parchear los sistemas con MS17-010 (mañana será otro), inhabilitar SMBv1 (SSLv2, o el que toque la semana que viene), aplicar tecnologías como LAPS para que no tengan sentido los ataques de impersonalización con PSExec y otras herramientas históricas, ..., si todas ellas únicamente frenan un pequeño porcentaje de las miles de amenazas a las que nos enfrentamos diariamente.

Las organizaciones tienen que tender a una palabra, <<RESILIENCIA>>. Sino son capaces de remar de forma conjunta con el apoyo de su dirección hasta ser una organización ciberresiliente, seguirán siendo el punto de mira de los bad guys ;), y esto solo tiene una solución, "voluntad de querer arreglar las cosas"

Saludos!

No hay comentarios:

Publicar un comentario