El pasado viernes 12 de mayo de 2017 se ha producido uno de los mayores eventos a escala mundial en seguridad informática. Personalmente no recordaba una situación similar por su nivel de propagación desde los tiempos del Blaster ( https://es.wikipedia.org/wiki/Blaster ) en 2003.
Si bien tanto WannaCry como Blaster aprovechaban una vulnerabilidad conocida de Windows, la diferencia reside en la motivación económica, ausente en el caso del Blaster. WannaCry nos recuerda a los anteriores casos conocidos como Virus de la Policía ( http://unaaldia.hispasec.com/2012/02/vuelve-el-troyano-que-se-hace-pasar-por.html ), mediante el cual nuestros sistemas eran secuestrados a cambio del pago de una recompensa para poder ser desencriptados.
Sin querer entrar en cuestiones puramente técnicas, pretendemos utilizar un punto de vista práctico para enfrentarnos a situaciones similares en un futuro, de la mano del nuevo Reglamento Europeo de Protección de Datos 679/2016, con lo que se ha llamado en su artículo 25 ‘Protección de datos desde el diseño y por defecto’:
Prevención desde la técnica (Artículo 32 del RGPD: Seguridad del tratamiento):
– Habilitemos la actualización automática de nuestros sistemas operativos, con lo que siempre evitaremos fallos de seguridad mediante vulnerabilidades conocidas
– Utilicemos sistemas operativos que dispongan de soporte por parte de su fabricante. Por ejemplo, Windows XP ha dejado de tener soporte desde hace unos años, aunque su cuota de implantación sigue siendo muy alta. Microsoft no proporciona parches de seguridad periódicos para estos sistemas operativos, por lo que deberíamos actualizarlos a versiones más recientes.
– En los casos en los que nos encontremos limitados por nuestro software (conozco casos de laboratorios de análisis en los que los dispositivos no son compatibles con sistemas operativos modernos), siempre podremos implantar máquinas virtuales que ejecuten estas aplicaciones desde sistemas operativos modernos.
– Por descontado, deberemos implantar sistemas cortafuegos y antivirus para evitar intrusiones y archivos maliciosos.
– Las copias de seguridad de nuestros sistemas de información deberán almacenarse periódicamente desconectadas de la red. Utilizar un disco duro USB o NAS conectado permanentemente no será suficiente, pues sus archivos podrían también ser bloqueados.
Prevención desde el usuario: El usuario de sistemas informáticos debe reconocer sus propias limitaciones, entendiendo estas como errores humanos, pero errores al fin y al cabo. Por ello debemos evitar el deseo de satisfacer nuestra curiosidad a la hora de abrir archivos o emails de los que desconozcamos el remitente o cuyo contenido no sea esperado. No hace falta ser ingeniero de sistemas para reconocer enlaces o archivos adjuntos sospechosos. Y, ante la duda, nuestra respuesta debe ser siempre negativa.
Prevención desde la Auditoría (Artículo 35 del RGPD: Evaluación de impacto relativa a la protección de datos): Con el nuevo RGPD las compañías de auditoría informática cobran especial importancia para poder comprobar y certificar la capacidad de defensa de nuestras redes. En la actualidad, el acceso a los sistemas de información de las empresas mediante extranets, políticas BYOD, etc. hacen necesaria la implantación de políticas de seguridad que bloqueen vías de acceso no autorizadas. Ya no pensemos en el bloqueo de los datos, sino en posibles fugas de información. Dichas políticas de seguridad se deberán aplicar también a la hora del registro de acceso y movimiento de datos. Y dado el ritmo de evolución de los avances técnicos, las auditorías técnicas de seguridad deberán realizarse con la misma frecuencia con la que se implante nuevos modelos de aplicaciones, conectividad o dispositivos.
Función reactiva:
– La reacción ante ataques de este tipo deberían seguir estrategias de aislamiento, desconectando de la red aquellos dispositivos infectados para evitar su propagación.
– A continuación, debemos identificar la amenaza para poder utilizar las medidas de desinfección necesarias.
– Realizaremos una copia de la información contenida en el dispositivo para aislarla temporalmente y poder recuperarla una vez asegurados nuestros sistemas
– Comunicar la incidencia al órgano de control pertinente e incluso a los afectados si fuera necesario en el plazo establecido por el RGPD (Artículos 33 y 34 del RGPD)
Información de Interés:
