¿Las operadoras deberían preocuparse por el ransomware?

El ataque del WannaCry, que empezó el 12 de mayo, ha afectado a unas 300.000 máquinas en más de 100 países. Ejemplo paradigmático de ransomware, bloqueaba ficheros en los ordenadores y se comprometía a desbloquearlos a cambio de un pago, si bien parecía improbable que se recobraran los datos al abonar el rescate.

La operadora española Telefónica fue una de las víctimas más prominentes del ataque. Según informaciones no confirmadas, el 85% de sus ordenadores quedó bloqueado y los hackers les exigieron el pago de 550.000 dólares (unos 490.000 euros) en forma de Bitcoin. Otras empresas españolas, como la filial de Vodafone, ordenaron a sus empleados que cortaran los accesos a Internet, por si se habían visto afectados.

Al otro lado de la frontera, se dijo que Portugal Telecom también había sufrido el ataque.

Telefónica afirma que solo resultaron afectados los ordenadores de su red interna y que el ataque no ha tenido consecuencias para los clientes. Chema Alonso, principal responsable de datos, ha afirmado en Twitter que los medios de comunicación han “exagerado” la importancia del ataque.

Concienciar de los peligros

Sin embargo, Christoph Steck, director de políticas públicas e Internet de Telefónica, ha expresado un punto de vista distinto. Con ocasión del congreso M360 sobre Privacidad y Seguridad organizado por GSMA a finales del mes de mayo en La Haya, ha afirmado que la gran atención suscitada por el ataque ha concienciado a los medios de comunicación y al público en general de la importancia de la ciberseguridad.

Se mire como se mire, no cabe duda de que las operadoras están muy atentas a los peligros que pueden surgir de un ataque con ransomware. Prácticamente todas las empresas del mundo provistas de algún tipo de sistema informático se hallan en peligro y el sector de telecomunicaciones no es una excepción.

Vittorio Colao, consejero delegado del Grupo Vodafone, afirma que las preocupaciones de seguridad “no le dejan dormir bien”, aunque su empresa no se viera afectada por el ataque.

Y con buen motivo. Robert Winters, director de seguridad de las comunicaciones de Cobham Wireless, declara que las operadoras tienen que estar alerta, porque las redes son vulnerables y un ataque podría afectar a millones de clientes. Mats Granryd, director general de GSMA, explica que el ataque “subraya el pernicioso impacto de las denominadas vulnerabilidades del día cero”.

Por su parte, Steve Buck, director de operaciones de Evolved Intelligence, opina que “las operadoras tienen que luchar en varios frentes, en una guerra de alto nivel para protegerse de los ataques contra sus sistemas de TI, contra los dispositivos de sus redes, contra las propias redes y contra los usuarios de estas”. El ransomware no es más que un ejemplo de dichos peligros.

En resumen, la pregunta que nos planteábamos al inicio de este artículo debe responderse con un rotundo .

Vijay Michalik, analista de Frost & Sullivan, ha explicado a Mobile World Live que algunos de los factores que pueden conducirnos a un “punto crítico” son la proliferación del ransomware como servicio, la filtración de los exploits ocultos en la caja de herramientas de espionaje de la NSA (Agencia Nacional de Seguridad) estadounidense y una inversión claramente insuficiente en prácticas de ciberseguridad.

El reciente ataque ha sido vinculado con el exploit EternalBlue desarrollado por la NSA y filtrado en la red por un grupo de hackers conocido como The Shadow Brokers.

Las empresas afectadas se juegan mucho en ello. Los datos de los clientes se vuelven vulnerables y todos los departamentos, desde el financiero hasta el de atención al cliente, se ven afectados, por no hablar del menoscabo en la reputación de la firma.

En palabras de la Comisión de Comunicaciones Nigeriana, “esta situación exige que todas las partes implicadas en el ecosistema de telecomunicaciones adopten medidas preventivas para adelantarse a los peligros de pérdida grave de datos, pérdidas financieras y, en último término, interrupción de las actividades de la red, o del negocio”.

¿Qué pueden hacer las operadoras?

Al mismo tiempo que Colao solicita la colaboración de todos los sectores en Europa para conjurar la amenaza de los cibercriminales, Winters, de Cobham Wireless, insiste en la necesidad de priorizar la seguridad de las redes.

Afirma que “las operadoras tienen que emprender acciones preventivas con el fin de detectar defectos en sus redes que pudieran permitir la infiltración. Pueden hacerlo, si llevan a cabo en sus redes simulaciones de amenazas basadas en las del mundo real y prueban los millares de ejemplos de ransomware y malware que pueden causar daños en sus servicios de comunicaciones y en su reputación.”

Michalik recomienda la “implantación preventiva” de parches de seguridad creados por las firmas productoras de software. Entiende que el éxito de WannaCry se debió, precisamente, a que no se había dado una tal implantación, pese a que Microsoft había publicado un parche que habría podido solucionar la vulnerabilidad de la que se aprovechó el reciente ransomware.

El problema radica en el hecho de que las empresas no reaccionan con agilidad en situaciones de este tipo, porque no son plenamente conscientes de lo que arriesgan.

Así llegamos a la siguiente recomendación de Michalik, que consiste en formar en ciberseguridad a todos los miembros de la plantilla. Afirma que se trata de una “posibilidad que a menudo no se aprovecha”. Así, por ejemplo, las operadoras no deberían presuponer que sus empleados saben que no deben abrir documentos adjuntos ni enlaces que les hayan llegado en correos electrónicos de origen desconocido, ni hacer clics sobre pop-ups de sitios web desconocidos.

Michalik también opina que las firmas más previsoras utilizarán sistemas avanzados de protección contra las amenazas, y que usarán inteligencia artificial y tecnologías de cadena de bloques para garantizar la seguridad y la integridad de los datos.

Las operadoras tienen que precaverse como nunca, porque, en palabras de Granryd, “el nivel de la amenaza seguirá creciendo a medida que se generalice el smartphone, se consolide Internet de las Cosas y se incremente el uso de la informática en la nube”.