Todas las máquinas infectadas permitían a un intruso obtener el control
total sobre ellas, desde la posibilidad de sustraer datos sensibles como
documentos privados o las claves de la banca electrónica del usuario,
hasta borrar todo el sistema local y unidades de red.
A nadie
escapa los quebraderos de cabeza que Sasser está ocasionando tanto en
sistemas domésticos como, especialmente, en redes corporativas. Si bien,
afortunadamente, el gusano sólo estaba programado para reproducirse, sin
llevar a cabo ninguna acción adicional.
Si el creador del gusano
hubiera introducido una simple línea más de código con algunas
instrucciones dañinas, algo que no requiere ningún esfuerzo técnico
especial, podríamos estar en estos momentos en una catástrofe sin
precedentes que probablemente traspasaría la barrera de lo estrictamente
informático, por la cantidad y sensibilidad de los procesos y datos a
los que habría podido afectar. Pensemos por un momento que simplemente
hubiera borrado todas las unidades a las que tenía acceso en cada uno de
los ordenadores infectados.
En ningún caso pretendo minimizar el
daño causado por el autor del gusano, de proporciones incalculables y
que no tiene justificación alguna. En estos momentos ya hay varias
investigaciones en paralelo para localizar el origen y llevar al autor
ante la justicia. Si bien, es necesario llevar a cabo un ejercicio de
autocrítica más allá de culpar exclusivamente al creador del mismo y ser
conscientes del riesgo real que entraña no instalar puntualmente los
parches, no en vano está en juego la seguridad de todos los datos y
procesos dependientes de nuestros sistemas. ¿Podemos permitirnos
arriesgarlos de nuevo?
La historia se vuelve a repetir, una y otra vez.
Code Red y Nimda en el 2001, o SQL/Slammer en el 2003, han sido claros
exponentes de gusanos de propagación masiva que aprovechaban
vulnerabilidades en los productos de Microsoft para propagarse de forma
automática. Mucho más peligrosos que los típicos gusanos que se propagan
por el correo electrónico, que requieren que el usuario los abra y
ejecute para poder activarse.
Sin ir más lejos, en agosto de 2003
asistimos a la epidemia global causada por el gusano Blaster, que
aprovechaba una vulnerabilidad en un servicio estándar de Windows,
prácticamente un calco a lo que está ocurriendo con Sasser.
El
patrón se repite. Gusanos de red que aprovechan vulnerabilidades, cuyos
parches para corregirlas y prevenir la infección estaban disponibles con
antelación. En todos los casos, desde Hispasec advertimos por este mismo
medio del riesgo potencial que entrañaba no instalar dichos partes,
incluso pronosticando la aparición de gusanos.
Llegados a este se
puede discutir el grado de responsabilidad de Microsoft en el origen de
las vulnerabilidades, su política de distribución de parches, esperar a
que incorpore y active por defecto un firewall personal, barajar la
posibilidad de migrar a otro sistema operativo con menos índices de
virus y gusanos, o la necesidad de que los antivirus cambien su modelo
reactivo que a todas luces es más que insuficiente contra este tipo de
gusanos, capaces de infectar miles de sistemas en cuestión de minutos.
Otra opción, que no excluye todo lo anterior y a muchos más factores, es
empezar por hacer autocrítica constructiva, y que los afectados asuman
su buena parte de responsabilidad de cara a prevenir futuros incidentes.
Actualizar los sistemas, tan simple como efectivo
Dejando al margen comparaciones sobre el número de vulnerabilidades
críticas que periódicamente afectan a Microsoft, los usuarios de Windows
deben ser conscientes de que se trata de un producto que debe ser
actualizado regular y puntualmente, como todos los sistemas operativos,
en mayor o menor medida.
Es necesario realizar una campaña de
concienciación/educación sobre la necesidad de mantener actualizados los
sistemas, de las herramientas y servicios automáticos que existen para
facilitar esta tarea, y de los riesgos que entraña no seguir esta
práctica.
Ya no sólo para evitar infecciones de gusanos como
Sasser, o de efectos peores. Sino que los usuarios deben ser conscientes
de que, cada vez que no instalan un parche crítico, están dejando una
puerta abierta para que un intruso pueda controlar totalmente su
sistema, sustraer su información más sensible, borrar sus discos duros,
o espiar todo lo que hacen con su ordenador. Y esto ocurre con mucha más
frecuencia de la que se cree, con el agravante de que suele pasar
desapercibido, al contrario de lo que ocurre con los gusanos.
En
el ámbito corporativo todo lo anterior es aplicable. En Hispasec
observamos, durante las auditorías de seguridad a sistemas corporativos,
como suele existir una atención especial en la protección perimetral y
de los servidores con servicios en Internet, dejando en un segundo
plano, a veces olvidado, al resto de servidores internos, y
especialmente a los PCs que actúan como estaciones de trabajo.
Es
un grave error, de hecho toda la información sensible pasa por las
estaciones de trabajo, que en la mayoría de las ocasiones podría estar
bajo el control de un atacante gracias a las vulnerabilidades que poseen.
Otro talón de Aquiles típico en las políticas de seguridad son el control de
los dispositivos móviles de uso personal, como portátiles, o usuarios de
acceso remoto. En la mayoría de los casos se tratan de sistemas que se
encuentran más expuestos a los riesgos de seguridad, ya que no siempre
están bajo el paraguas de las protecciones corporativas. Sin embargo
estos sistemas pueden llegar a tener una estrecha relación con la red
interna, siendo en muchos casos el origen de las infecciones.
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…