Wannacry y lo difícil que es combatir los mercados negros de los ‘hackers’

A mediados de mayo, la Casa Blanca lanzó su tan esperada orden ejecutiva Fortalecimiento de la Ciberseguridad de las Redes Federales y la Infraestructura Crítica, y resulta bastante irónico que fuera durante la misma semana en que experimentamos el mayor ataque de ransomware que, según algunas estimaciones, afectó a más de 200.000 ordenadores en 150 países. Mi intención aquí es comentar algunos de sus méritos, al mismo tiempo que sus insuficiencias, concretamente en relación a su imposibilidad para hacer frente a la creciente capacidad de los mercados negros de la ciberdelincuencia y a los criminales que operan dentro de ellos. El ataque de Wannacry por sí solo consiguió transmitir y dejar patente esto en tan sólo 48 horas y ha tenido un impacto mayor del que se podría haber tenido con miles de blogs.

Después de una actividad tan visible y objeto de debate en torno al ciberespionaje y la ciberpropaganda de Pawn Storm y su impacto político, este nuevo ataque de ransomware pone de manifiesto cuál es la mayor amenaza a la ciberseguridad global: los cibercriminales transnacionales. La monetización de las brechas de datos tradicionales han sido sustituidas por las campañas de extorsión online, que son más lucrativas. Los ataques de ransomware, por su propia naturaleza, están diseñados en torno a la velocidad y al impacto. Los ciberdelincuentes pueden monetizar sus ataques en horas y días. El ataque de Wannacry se llevó a cabo a un nuevo nivel, pues se produjo a escala global mediante el uso de una vulnerabilidad pública (MS17-010) y el exploit "EternalBlue", junto con el número increíblemente grande de sistemas operativos Windows sin parchear y obsoletos en todo el mundo, lo que permitió que se extendiera como la pólvora. Mientras, la mayoría de nuestro mercado, y con razón, se centra en hablar de los síntomas. Concretamente, de la necesidad de la gestión de la vulnerabilidad y de tener una buena ciberhigiene y de los problemas de los exploits de los Estados-nación. Pero el enfoque real debe abordar el cáncer que está representado por el número de cibercriminales transnacionales que operan en refugios virtuales y físicos a nivel mundial.

Al mirar y observar este ataque a través de la lente de esta orden ejecutiva hay algunas órdenes prometedoras que ayudarán a los gobiernos a evaluar adecuadamente el riesgo cibernético de sus departamentos y agencias y, lo que es más importante, vincular la responsabilidad y el presupuesto para administrar estos riesgos a las secretarias y directores. Los directores de seguridad de la información (CISO) del sector público han avanzado —y lo seguirán haciendo— para mejorar su perfil de ciberseguridad, pero solo si se les dan los recursos necesarios. Y ahí radica la cuestión: ¿Se les proporcionarán a los CISO los recursos suficientes para hacer frente al cambiante panorama de las amenazas? Esta cuestión plantea uno de mis mayores problemas con la orden ejecutiva: solo se ocupa de los síntomas. No aborda adecuadamente el increíble poder de la colaboración. Los cibercriminales que trabajan en el mercado clandestino ruso han ascendido y ganado la confianza hasta un nivel evidente por estos ataques.

En los últimos 17 años se ha creado un mercado donde ciberdelincuentes de diferentes grados de competencia se han unido para planificar, atacar y obtener ganancias económicas de las organizaciones públicas y privadas. Y mientras, nosotros todavía nos enfrentamos al reto de aprovechar la confianza para protegernos a un nivel muy básico.

Sin embargo, hay buenas noticias en torno a este incidente. Los Centros de Análisis de Intercambio de Información (ISAC) y las Organizaciones de Análisis de Intercambio de Información (ISAO) han estado trabajando a destajo con sus miembros y socios en el sector de la seguridad para proporcionar inteligencia accionable. Me gustaría felicitar específicamente a HITRUST por difundir de forma temprana la información sobre la identificación e intercambio de indicadores, pero también por el impacto de la medición. Esta colaboración nos permite aprovechar nuestros recursos no solo para proteger a nuestros clientes directamente, sino que también nos ayuda a impactar de forma colectiva en la protección de sectores enteros.

Hasta el momento en que podamos abordar el riesgo global que plantean los ciberdelincuentes transnacionales con un enfoque integral, holístico, para eliminar su libertad de movimiento y su capacidad de monetizar los ataques, nos seguiremos enfrentando este tipo de escenarios. Mientras tanto, debemos seguir trabajando juntos para construir la confianza necesaria a través este tipo de incidentes para mejorar, en última instancia, nuestra defensa colectiva.

Ed Cabrera es director de ciberseguridad de Trend Micro.