Ryuk y el SEPE: Crónica de una desactualización anunciada

Como decía el militar prusiano y uno de los más influyentes historiadores y teóricos de la ciencia militar moderna, Karl Von Clausewitz, “la guerra es la continuación de la política por otros medios”.

Lo dejó escrito en su obra más famosa, «De la guerra», que es un tratado militar, pero también una reflexión acerca de la razón, la moral y el devenir de la guerra. Y dado el contexto actual en que vivimos, estos medios son también los cibernéticos. De hecho, los hemos sufrido a raíz del ciberataque, en nuestro país a las infraestructuras del SEPE, el pasado día 9 de marzo, a través de un ransomware tristemente conocido: Ryuk.

Ahora estamos viviendo una guerra que se libra en otros campos de batalla, cibernéticos, virtuales, y cuyos soldados ni se identifican ni llevan bandera. En el caso de Ryuk, según algunos medios, habría sido utilizado por cibercriminales independientes ligados a Rusia, en venganza por la interceptación de cazas rusos en el mar Negro por parte de aviones Eurofighter españoles, bajo mandato de la OTAN. Aparentemente una manifestación más del conocido y juguetón efecto mariposa. Pero, independientemente de ello, lo cierto es que lo acontecido al SEPE no es más que la «crónica de una desactualización anunciada», como aquella novela del gran Gabo.

El desencadenante del ransomware pudo estar «en espera», sin ser detectado, instalado en los sistemas del SEPE desde tiempo atrás, hasta que pudo ser activado por los cibercriminales cuando fue necesario. No es extraño, y algunas fuentes coinciden en que el medio por el que se produjo la afectación de los sistemas pudo ser la desactualización de elementos clave como el servidor web, el IIS de Microsoft en su versión 5.0. 

De hecho, según la propia Microsoft, el sistema que incorpora Internet Information Server v.5.0, que es Windows 2000 Server, alcanzó el final de su ciclo de vida el día 13 de julio de 2010, y no ha recibido nuevas actualizaciones ni correcciones desde entonces. Poco antes de esta, se publicaba la información de que “una brecha no parcheada podría permitir asaltar servidores IIS de Microsoft” en su versión 5.0. Aunque los sistemas CVE (Common Vulnerabilities and Exposures) sólo registran una vulnerabilidad a partir de la fecha de expiración del soporte, no hay que olvidar que, como en todos los productos, la proliferación de vulnerabilidades 0-Day (no conocidas aún) no cesa.

La importancia de estar actualizado… y chequearlo

Hay que decir que, desde el punto de vista de LEET Security, como agencia de calificación de ciberseguridad, no nos avergüenza ser “cansinos” e insistir una y otra vez a nuestros clientes sobre la necesidad de contar con normativas y procedimientos que implementen la actualización y parcheo de los sistemas, y que éstos, en ningún caso sean versiones “no soportadas”, con toda la problemática que ello acarrea, como ha sido el caso del SEPE. Pero para que sea conocido y compartido con la organización, el proceso tiene que estar integrado con la gestión de cambios de la empresa, para que sea entendido y asimilado internamente.

En LEET Security también insistimos en que el proceso de parcheo no sea sólo un automatismo que confía en los proveedores ciegamente a la hora de actualizar los sistemas y recomendamos que estas actualizaciones sean comprobadas, chequeadas y revisadas, tanto en lo funcional como en su contenido, para no encontrarnos con sorpresas, como las que recientemente ha dado a sus clientes SolarWinds, cuyas actualizaciones fueron vector de entrada de un gran ciberataque que ha puesto en jaque al Gobierno estadounidense. Y es que el malware venía con el parche.

Todo con el objetivo de que las empresas no se encuentren que, de un día para otro, se han convertido en vectores de ataque a otros sistemas, u objetivo de ciberespionaje y/o robo de datos, porque hayan caído bajo el control de software dañino del que no son conscientes.

No estamos solos en esta pelea. A nivel institucional se hacen también esfuerzos para concienciar a las empresas y profesionales de estos riesgos. 

Finalmente, y como dirían los antiguos romanos “si vis pacem, para bellum” o, traducido libremente al lenguaje actual, si queremos mantener el estado del bienestar, no lo soportemos sobre aplicaciones “vintage”: prepárate y actualizalas !!! 

Rogelio Saavedra, Auditor de seguridad de LEET Security

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.