Publicidad
Publicidad

¿Cómo recuperar el tiempo tras WannaCry?

Cada hora de servicio de informática forense tiene un costo de 250 dólares, y para desencriptar una computadora, se requieren mínimo cuatro horas.
lun 22 mayo 2017 06:00 AM
Sin protección
Sin protección 45% de las empresas mexicanas no cuentan con monitoreo de sistemas, según PWC.

Había que recuperar el tiempo con urgencia.

Para las empresas cuya operación se paralizó a causa de WannaCry, más que el gasto por el pago de rescate de su información, lo más grave fue el tiempo que no pudieron operar y lo que esto representa en millones de dólares.

¿Cuántos millones de paquetes de FedEx no se enviaron? o ¿A cuántos pacientes no pudieron atender los hospitales londineses? Estos son los efectos que causaron los mayores daños operativos en firmas de todos tamaños. Con cada minuto más fuera de servicio se perdía más dinero, el caos escalaba y la urgencia por recuperar el tiempo hizo que varias víctimas cayeran en la trampa de pagar el rescate que los hackers exigían por la información.

Este ciberataque, de tipo ransomware encripta los archivos y no permite que los usuarios ingresen a sus equipos o sistemas a menos de que paguen un rescate, 300 dólares en bitcoin, del cual el resultado es casi siempre fallido.

“Digamos que estás hablando con un secuestrador que no está buscando el rescate, solo crear caos”, explicó Rodrigo Sámano, hacker y director general de Intelligence Center Latin America, una de las empresas de informática forense que se ocupó de regresar a la vida a cientos empresas tocadas por WannaCry en México.

Si bien no es la generalidad, Sámano detalla que muchas de las empresas que llegaron a su despacho, ya habían pagado el rescate sin suerte de recuperar sus datos y fue entonces cuando optaron por un proceso forense para desencriptar sus datos, los posibles, para poder volver así a operar.

Publicidad

“En un ransomware no recomiendo pagar. No he visto a nadie que pague y que le regresen la información, a nadie, pero muchos de los que se han acercado conmigo es porque ya pagaron tres veces, no pasó nada y quieren ver si podemos romper la llave”, dijo.

Tras la explosión de WannaCry, el viernes 12 de mayo, la infección fue levantándose como oleaje. Europa reportó los primeros casos en España y Reino Unido- donde las empresas están obligadas por ley a reportar incidentes de este tipo- Estados Unidos y América Latina se sumaron a la lista hasta rebasar los 100 países y más de 200,000 equipos.

El viernes, al cierre del día, México se ubicó como el tercer país en América Latina en cantidad de incidencias, y para el lunes se coronó en el primer lugar. Sin embargo, aunque la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) indica que las empresas sí deben dar a conocer si son víctimas de hackeo, ésta no contempla el ransomware y no hay sanciones si no lo hacen.

“No hay incentivo para que las empresas lo digan, por eso parece que no pasa nada”, explicó Fernando Román, gerente de la práctica de ciberseguridad y privacidad de PWC tras el ataque.

Bajo esta lógica, el viernes 12 de mayo por noche, el Consejo Nacional de Seguridad, dio a conocer que en México solo se registraron cuatro incidentes; sin embargo, a la puerta de la oficina de Sámano llegaron por cientos.

“Ha sido muy complicado también porque aparentemente los afectados somos demasiados, ahorita llevamos yo creo que unas 400 solicitudes, y es una locura no nos damos abasto”, contabilizó el también hacker el lunes, tres días después de la masificación del ciberataque.

Llegado el lunes, algunos de los clientes de Sámano, no pudieron operar. Ya fuera por la complejidad de la llave, la cantidad de equipos infectados o cortos recursos. Para la mayoría, que no contaba con respaldo de la información, fue aún más complejo.

250 dólares la hora

Una vez que las firmas solicitan un servicio de informática forense para salir de un ataque de ransomware se deben considerar varios factores, enlista Sámano, por un lado hay que ver cuántos equipos fueron tocados el malware y priorizar cuántos vale la pena intentar desencriptar, para medir de qué tamaño será la inversión, pues el tiempo es dinero.

En promedio, una hora de trabajo de un informático forense es de 250 dólares, alrededor de 4,700 pesos, y de acuerdo con Sámano, en cada equipo, un experto invierte mínimo cuatro horas para evaluar y desencriptar. Por un equipo, se pagarían 18,800 pesos, aproximadamente.

“Las infecciones de ransomware anteriores pudimos resolverlas en tal vez cuatro horas y en WannaCry tenemos que empezar desde cero, en algunos nos tardamos ya una semana”, dijo.

Algo que agrava el proceso para desencriptar las máquinas es que un ransomware afecta la red de computadoras una empresa, pero para acceder a cada equipo, se requiere una llave distinta. El proceso informático debe hacerse en cada computadora por separado, indicó información de la firma de ciberseguridad ESET.

Otras cosas a considerar para desencriptar un equipo van desde saber si las empresas tienen información de respaldo de su software, si es así, será más simple el trabajo de reconstrucción de lo perdido y menor el tiempo que pasará en las empresas puedan operar con normalidad, aunque en México, eso se ve poco.

“Es muy extraño que no se tengan respaldo si trabajan en un área de TI, pero en este país, es muy común que la gente sea reactiva y no proactiva. Este caos ha pasado ya dos veces en un año. En diciembre y enero, algo más chico y como no se le dio importancia o seguimiento, la gente no se prepara”, dijo el ingeniero.

Sin reglas

Kaspersky dio a conocer, en retrospectiva, que incluso una semana antes del estallido de WannaCry se detectaron picos en casos de ransomware anómalos , pero no se prestó atención, además, este ataque en específico es derivado de las filtraciones del grupo de hackers Shadow Brokers de herramientas que robaron de la Agencia de Seguridad Nacional de Estados Unidos, ante la que además Microsoft, lanzó un parche de seguridad en marzo.

Las empresas hicieron caso omiso, como lo hacen con las actualizaciones de software, inversiones en privacidad de datos y ciberseguridad, además de omitir la necesidad de pruebas de monitoreo a sus sistemas.

En México 45% de las empresas no tiene sistemas de monitoreo de redes y 29% tarda más de un año en darse cuenta si le robaron información, y aún así, no cuenta con acciones claras posteriores, indicó un estudio de privacidad de PWC.

“Si hubieran aplicado el parche de Microsoft cuando salió en marzo, hoy no WannaCry, no hubiera pasado nada”, dijo Juan Carlos Carrillo, socio director de ciberseguridad de PWC y agregó, “las acciones que tenían que hacer para protegerte eran básicas pero las empresas no tienen un plan de respuesta de incidentes”.

Sin revelar nombres, Carrillo dijo que en el país, a pesar de las cifras, sí hubo ataques.

“Tenemos conocidos, amigos y clientes que se pasaron el fin de semana trabajando o no operaron el lunes porque estaban infectados” , dijo.

A lo largo de la semana, firmas como Telmex, aceptaron haber registrado “poquitos” ataques a sus clientes, mientras que Banxico y Telefónica México dijeron que habían salido avantes del mismo.

Hacia las próximas semanas, Sámano, estimó que si bien tal vez ya no se hable del tema de forma masiva, los ataques seguirán y se pueden intensificar, pues esta es apenas una de las herramientas que se ha explotado de las robadas a la NSA.

“Creo que esto se va a intensificar porque la gente no está reaccionando aún con todo lo que ha pasado y con la difusión, no te hablan para protegerse, si no cuando ya los infectaron”, dijo.

Newsletter

Únete a nuestra comunidad. Te mandaremos una selección de nuestras historias.

Publicidad

Publicidad