Ignorar los acontecimientos del 12 de mayo sería, en realidad, un ejercicio muy difícil. Y como ya han pasado 2 semanas -que en el mundo tecnológico es una eternidad- y mucha gente ya se ha secado las lágrimas, volveré al tema de la seguridad informática, concretamente el ransomware , del que ya había advertido en febrero de este año. ¿Recuerdas?

En mi artículo Ayuda, ¡mi hotel fue secuestrado! , a partir de un caso concreto, definí la amenaza, las medidas de prevención y sobre todo el riesgo al que están sometidas las empresas cuando reina la “(in)seguridad informática” en las unidades hoteleras – expresión 'robada' de mi querido amigo João Pronto, que También ya ha investigado el tema .

La mayoría de las empresas de seguridad, y especialmente las de antivirus, han estado advirtiendo sobre la mayor prevalencia del ransomware en los últimos años. A todos se nos ha advertido que es un desastre a punto de suceder, y todos somos conscientes de algunos que ya han ocurrido, pero que no han sido noticia.

Fuente: Symantec

Así es. Así que intentemos ahora, con un poco de calma, entender lo que pasó y sobre todo darnos cuenta de que lo que me asombra es ¡tanto asombro!

QUÉ SUCEDIÓ

• El viernes 12 de mayo de 2017, varias organizaciones en todo el mundo se vieron afectadas por una nueva cepa de ransomware .
• El éxito del ramsomware se debió principalmente al aprovechamiento de una vulnerabilidad que le permitía propagarse por las redes.
• La vulnerabilidad utilizada ya había sido reparada en marzo por Microsoft para las versiones de Windows.
• La vulnerabilidad explotada, conocida como ETERNALBLUE , forma parte del proyecto Vault 7: CIA Hacking Tools Revealed , hecho público en marzo de 2017 por WikiLeaks y que, durante las semanas siguientes, puso a disposición un conjunto de herramientas utilizadas por la agencia de seguridad nacional de Estados Unidos. Estados Unidos de América (NSA).
• Sin embargo, se detectaron nuevas variantes que se propagarían la semana siguiente.

CÓMO SE INFECTARON Y LAS CONSECUENCIAS

• Correo electrónico: las 'infecciones' se originaban a partir de archivos adjuntos que llegaban vía correo electrónico y que los usuarios abrían.
• Pymes: las organizaciones afectadas tenían sistemas vulnerables (no actualizados), exponiendo así la red y facilitando la propagación.
• Se cifraron archivos con extensiones específicas.
• En la pantalla se mostró una demanda de rescate, por un valor equivalente a $300 USD en Bitcoins, que aumentó a $600 USD después de 3 días y afirmaba que al final de 7 días los archivos ya no se podían recuperar.
• El ransomware instala una "puerta trasera" que permite el acceso remoto y puede usarse para comprometer el sistema más adelante.

En resumen, las consecuencias en términos de los tres aspectos de la seguridad son:

Confidencialidad : al instalar la “puerta trasera” antes mencionada, el malware hace que los datos del sistema estén sujetos a acceso y robo en el futuro, aunque el malware en sí no es responsable de este proceso.

Integridad : además del cifrado de datos, el malware no provoca cambios en los mismos; sin embargo, la “puerta trasera” instalada puede volver a usarse para causar daños adicionales.

Disponibilidad : las organizaciones pierden el acceso a los archivos cifrados, lo que hace que la recuperación sea incierta, incluso si se paga el rescate .

Radiografía de la víctima

A partir de la figura siguiente y de la información disponible en línea, rápidamente nos damos cuenta de que no deberíamos sorprendernos.

Fuente: Symantec

La escala y el perfil del ataque, amplificado en los medios de comunicación, es lo que ya era una realidad antes del 12 de mayo. En este caso, las organizaciones afectadas eran muchas y de variado tamaño: financieras, compañías de seguros, telecomunicaciones, organismos públicos, sanidad, hoteles (sí, hoteles), comercio minorista, pequeñas y medianas empresas,... mundo, nadie es libre.

Para ser justos, incluso el término “ataque” me parece inapropiado ya que no había un objetivo específico ni una relación obvia entre las organizaciones afectadas. Quizás “ciberasalto” sería el mejor nombre para lo ocurrido.

En mi opinión, esto fue el resultado de una creciente ola de cibercrimen, sobre la cual muchos expertos ya habían advertido cuando se lanzaron las herramientas de la NSA, que se basaba en estas mismas herramientas, y utilizando una lista de distribución con direcciones de correo electrónico, disponible en Internet. (fruto de algunos fallos de seguridad como el de Yahoo ), enviaban correos electrónicos con sus respectivos archivos adjuntos esperando que algún desprevenido los abriera y se lucrara.

Este comportamiento del crimen organizado se parece mucho más a un “rastreo” que a un ataque en sí, y, por lo tanto, la mayoría de las veces estamos siendo atrapados por defecto y no siendo un objetivo específico. Sin embargo, también puede indicar una prueba para nuevos intentos de mayor magnitud. Es importante tener en cuenta que, en este como en otros casos, existe un efecto de vacancia, muchas veces asociado a husos horarios y horas punta de trabajo y que sólo porque tu hotel no se haya visto afectado inmediatamente no debes bajar la guardia porque en una segunda o tercera vacante puede que ya lo esté.

La recuperación fue más o menos lenta, dependiendo de la madurez en seguridad de la información de cada organización, pero una semana después todavía había quienes no tenían sus sistemas y negocio al 100%. Por eso es importante reforzar las ideas del artículo ¡ Ayuda, mi hotel fue secuestrado! : PREVENIR , DETECTAR , REACCIONAR .

Porque esto no es responsabilidad exclusiva de los profesionales TI, es una política que aplican bajo la responsabilidad, autoridad y presupuesto proporcionado por las administraciones. ¡Y sin presupuesto no hay seguridad!

Por último, y porque en este secuestro de negocio de lo que realmente hablamos es de evaluación de riesgos, me gustaría dejar aquí otra línea de preocupación no tan digital: el fraude puede llegar a tu hotel utilizando herramientas legales. Actualmente existe en España una preocupación, que tarde o temprano puede aparecer aquí, con un sistema basado en las normas de protección al consumidor en Inglaterra, que permite a unos pocos 'artistas' organizarse para conseguir vacaciones sin pagar. Para ello basta con utilizar los mecanismos legales existentes de denuncia e indemnización, presentando denuncias falsas y obteniendo así una indemnización. La 'broma', durante 2016, en España, se estimó en 60 millones de euros. Así que, si tu 'portunhol' está a la altura, aquí tienes Cómo volar un hotel español . Lee, reflexiona y como ante cualquier riesgo que pueda afectar a tu hotel, prepárate.

‍