51 / 106
Segundo cuatrimestre 2017
51
artículo técnico
Ciberseguridad
permitían identificar aquellos elemen-
tos que no se encontrasen debida-
mente parcheados y fuesen suscepti-
bles de ser atacados. De este modo se
confirmó que los sistemas estaban co-
rrectamente protegidos.
Paralelamente, se informó a los clien-
tes de las medidas preventivas adop-
tadas y de la situación de la compañía,
confirmando que everis no estaba entre
los afectados y que no se habían com-
prometido los sistemas propios ni los de
los clientes.
La sombra de WannaCry aún no ha
desaparecido. De hecho, ya existe una
nueva versión denominada WannaCry
2.0 que utiliza otros
exploits
y en la que
se ha eliminado la opción de
killswitch
,
por lo que, en este caso, la compra de un
simple dominio no sería suficiente. Ade-
más, han aparecido otras variantes como
UIWIX, con la característica de autodes-
trucción en caso de verse descubierto, o
Adylkuzz, una
botnet
que es capaz de ro-
bar dinero virtual de manera sigilosa sin
que los dueños de los ordenadores in-
fectados se den cuenta.
correctamente instalados, cerrando el
vector de infección.
Simulación del ataque:
con el objetivo
de verificar que los
endpoints
y ser-
vidores estaban correctamente pro-
tegidos se realizaron pruebas con el
ransomware
en vivo y en entornos
controlados (
sandboxes
) para evaluar
cómo se comportaba dentro de sis-
temas corporativos iguales a los de
everis. Esto permitió definir reglas de
comportamiento preventivas para de-
tectar y mitigar la amenaza.
Implementación de reglas propias
en el antivirus:
adicionalmente a las
reglas desplegadas por el fabricante
del antivirus, se definieron y desple-
garon normas propias para reforzar la
protección.
Seguimiento del estado de la actua-
lización del antivirus:
a través de la
consola central se verificó que los anti-
virus corporativos habían recibido co-
rrectamente las medidas de seguridad
desplegadas.
Identificación de equipos vulnera-
bles:
desde el laboratorio del eSOC se
desarrollaron una serie de
scripts
que
Es una evolución ya observada en los
últimos años. Por ejemplo, a principios
de 2016 un hospital californiano reco-
noció haber pagado 40
bitcoins
, alrede-
dor de 17.000 dólares, al ser víctima de
un ataque de este tipo. Acciones contra
objetivos sensibles como el anterior son
cada vez más frecuentes, a pesar de que
todavía son pocos los que las víctimas
deciden compartir abiertamente con la
opinión pública.
Medidas preventivas:
caso práctico
¿Cómo debería proceder una organi-
zación ante una crisis como la reciente,
en la que se alerta de que se está pro-
duciendo un incidente masivo y la in-
formación es confusa? Para profundizar
en este tema se presenta a continua-
ción un repaso de las actuaciones pre-
ventivas desarrolladas por everis en el
marco del ciberataque global vivido re-
cientemente.
Tras conocerse las primeras informa-
ciones, la compañía procedió a la apli-
cación de medidas mitigatorias y de
contención para evitar que la infección
pudiese afectarla. Además, de cara a te-
ner una visión más detallada de la si-
tuación y poder colaborar, se estuvo en
contacto constante con el NTTDATA-
CERT, intercambiando información so-
bre el incidente.
Siguiendo los protocolos de actuación
definidos internamente, se optó por la
aplicación de las siguientes acciones:
Restricción de acceso a las carpetas
corporativas:
se limitó el acceso de los
usuarios a las carpetas compartidas de
proyectos y servicios de cara a prote-
gerlas y evitar que el ciberataque pu-
diese utilizarlas como vía de expansión.
Deshabilitar servicios/dominios de
everis expuestos a Internet:
se proce-
dió a la desconexión preventiva de la
VPN con clientes y del acceso corpora-
tivo a Internet.
Apagado temporal de equipos
con el
objetivo de evaluar la situación y tomar
las medidas oportunas.
Distribución de los parches oficiales
de Microsoft
para asegurar que todos
los equipos y servidores los tuvieran
El ‘ransomware’ es una amenaza cuya aparición se
produjo a finales de la década de los años ochenta
del siglo pasado y que ha venido evolucionando
desde entonces