Como decía el militar prusiano y uno de los más influyentes historiadores y teóricos de la ciencia militar moderna, Karl Von Clausewitz, “la guerra es la continuación de la política por otros medios”.
Lo dejó escrito en su obra más famosa, «De la guerra», que es un tratado militar, pero también una reflexión acerca de la razón, la moral y el devenir de la guerra. Y dado el contexto actual en que vivimos, estos medios son también los cibernéticos. De hecho, los hemos sufrido a raíz del ciberataque, en nuestro país a las infraestructuras del SEPE, el pasado día 9 de marzo, a través de un ransomware tristemente conocido: Ryuk.
Ahora estamos viviendo una guerra que se libra en otros campos de batalla, cibernéticos, virtuales, y cuyos soldados ni se identifican ni llevan bandera. En el caso de Ryuk, según algunos medios, habría sido utilizado por cibercriminales independientes ligados a Rusia, en venganza por la interceptación de cazas rusos en el mar Negro por parte de aviones Eurofighter españoles, bajo mandato de la OTAN. Aparentemente una manifestación más del conocido y juguetón efecto mariposa. Pero, independientemente de ello, lo cierto es que lo acontecido al SEPE no es más que la «crónica de una desactualización anunciada», como aquella novela del gran Gabo.
El desencadenante del ransomware pudo estar «en espera», sin ser detectado, instalado en los sistemas del SEPE desde tiempo atrás, hasta que pudo ser activado por los cibercriminales cuando fue necesario. No es extraño, y algunas fuentes coinciden en que el medio por el que se produjo la afectación de los sistemas pudo ser la desactualización de elementos clave como el servidor web, el IIS de Microsoft en su versión 5.0.
De hecho, según la propia Microsoft, el sistema que incorpora Internet Information Server v.5.0, que es Windows 2000 Server, alcanzó el final de su ciclo de vida el día 13 de julio de 2010, y no ha recibido nuevas actualizaciones ni correcciones desde entonces. Poco antes de esta, se publicaba la información de que “una brecha no parcheada podría permitir asaltar servidores IIS de Microsoft” en su versión 5.0. Aunque los sistemas CVE (Common Vulnerabilities and Exposures) sólo registran una vulnerabilidad a partir de la fecha de expiración del soporte, no hay que olvidar que, como en todos los productos, la proliferación de vulnerabilidades 0-Day (no conocidas aún) no cesa.
La importancia de estar actualizado… y chequearlo
Hay que decir que, desde el punto de vista de LEET Security, como agencia de calificación de ciberseguridad, no nos avergüenza ser “cansinos” e insistir una y otra vez a nuestros clientes sobre la necesidad de contar con normativas y procedimientos que implementen la actualización y parcheo de los sistemas, y que éstos, en ningún caso sean versiones “no soportadas”, con toda la problemática que ello acarrea, como ha sido el caso del SEPE. Pero para que sea conocido y compartido con la organización, el proceso tiene que estar integrado con la gestión de cambios de la empresa, para que sea entendido y asimilado internamente.
En LEET Security también insistimos en que el proceso de parcheo no sea sólo un automatismo que confía en los proveedores ciegamente a la hora de actualizar los sistemas y recomendamos que estas actualizaciones sean comprobadas, chequeadas y revisadas, tanto en lo funcional como en su contenido, para no encontrarnos con sorpresas, como las que recientemente ha dado a sus clientes SolarWinds, cuyas actualizaciones fueron vector de entrada de un gran ciberataque que ha puesto en jaque al Gobierno estadounidense. Y es que el malware venía con el parche.
Todo con el objetivo de que las empresas no se encuentren que, de un día para otro, se han convertido en vectores de ataque a otros sistemas, u objetivo de ciberespionaje y/o robo de datos, porque hayan caído bajo el control de software dañino del que no son conscientes.
No estamos solos en esta pelea. A nivel institucional se hacen también esfuerzos para concienciar a las empresas y profesionales de estos riesgos.
Finalmente, y como dirían los antiguos romanos “si vis pacem, para bellum” o, traducido libremente al lenguaje actual, si queremos mantener el estado del bienestar, no lo soportemos sobre aplicaciones “vintage”: prepárate y actualizalas !!!
Rogelio Saavedra, Auditor de seguridad de LEET Security