PC
Seguridad
Espionaje
Ciberseguridad
Hacker
ransomware
malware
cibercrimen

Javier Candau (CCN): "Ante un 'ransomware' no hay que efectuar el pago del rescate"

Javier Candau, jefe de Ciberseguridad del Centro Criptológico Nacional (CCN), desvela cómo ha vivido su organismo el ciberataque de tipo 'ransomware' que se produjo el pasado 12 de mayo, más conocido como WannaCry.

Javier Candau, jefe de Ciberseguridad del Centro Criptológico Nacional
Javier Candau, jefe de Ciberseguridad del Centro Criptológico Nacional

El Centro Criptológico Nacional (CCN) se creó en el año 2004. Adscrito al Centro Nacional de Inteligencia (CNI), es el organismo responsable de velar por la seguridad de las comunicaciones de la Administración, así como de analizar y dar respuesta a los incidentes cibernéticos como WannaCry, que ocurrió el pasado 12 de mayo y que afectó a un elevado número de organizaciones españolas. El jefe de Ciberseguridad del Centro Criptológico Nacional es Javier Candau, explica en esta entrevista las claves de este ciberataque.

 

¿Cómo vivieron los primeros días del ciberataque en la organización?

Han sido días muy intensos, en los que todo nuestro equipo ha estado de guardia y en contacto directo con los principales equipos de respuesta a incidentes (CERT/CSIRT), nacionales e internacionales, así como con nuestros colaboradores habituales. Desde que a primeras horas del viernes 12 de mayo nuestro Sistema de Alerta Temprana (SAT) comenzara a detectar los primeros incidentes relacionados con el ransomware WannaCry, se redobló el trabajo para, en primer lugar, detectar y detener la propagación del código dañino en los sistemas del sector público español y en las empresas de interés estratégico para el país. Ya esa misma mañana se ofrecían las primeras informaciones sobre las características del malware, la explotación de la vulnerabilidad de Microsoft y las medidas de prevención y mitigación. Mientras los teléfonos no dejaban de sonar –al igual que la bandeja de entrada del correo no dejaba de recibir mensajes solicitando información–, nuestro equipo se esforzó en buscar una vacuna que pudiera prevenir la infección. Finalmente, se consiguió el sábado por la mañana; una vacuna que viene actualizándose desde entonces. Además, intentamos informar a través de distintos canales (boletines de alerta, comunicados en el portal web, redes sociales, etc.) de nuestros avances y pesquisas, sabedores del gran interés despertado tanto en España como en el resto del mundo.

 

¿Cómo fue el proceso de creación de la vacuna? ¿Cuánta gente ha estado involucrada?

Ha sido el Equipo de Respuesta a Incidentes Complejos del CCN-CERT, en colaboración con algunos colaboradores externos, los que han conseguido desarrollar la vacuna que denominamos NoMoreCry. La herramienta, creada ad hoc el sábado día 13 por la mañana, desarrolla un mutex (algoritmo de exclusión mutual) en el equipo que previene la ejecución del código dañino WannaCry 2.0.

En un primer momento, sólo se consiguió sacar para los sistemas Windows XP y superiores. Sin embargo, el domingo día 14 ya teníamos una nueva versión de NoMoreCry, para todos los sistemas incluidos Windows 2000. Junto a ella está disponible el script que evita la ejecución del código dañino en equipos Windows en inglés y en español.

Han sido numerosas las peticiones que hemos recibido de la herramienta, tanto de nuestros homólogos europeos y de otros organismos internacionales, como de organismos españoles.

 

¿Se puede cuantificar las pérdidas de las organizaciones españolas afectadas? ¿Qué empresas se han visto afectadas además de Telefónica? ¿Alguna infraestructura crítica?

Según nuestras primeras investigaciones, las pérdidas de las organizaciones estarán más ligadas a la bajada de la productividad y al esfuerzo realizado por sus equipos de seguridad y sistemas que al pago del rescate. Fueron numerosas las organizaciones que, o bien por estar infectadas o bien como medida de precaución, cortaron cualquier conexión a la red de todos sus sistemas y decidieron solicitar a sus empleados que se fueran a casa, precisamente para analizar los equipos y evitar la propagación por la red. Me consta que han sido numerosos los responsables de seguridad, tanto de la Administración como de empresas estratégicas, quienes han trabajado todo el fin de semana –el lunes además era fiesta en Madrid– para analizar todos los equipos de su red y actualizar todos los que no lo estuvieran. En este sentido, y aunque el parche apareció el 14 de marzo y hemos tenido casi dos meses para actualizar todos los sistemas, conviene reconocer que los parques informáticos del sector público son muy variados con numerosas tecnologías, y su actualización no es tan sencillo como parece.

En cuanto al posible pago del rescate, creemos que no ha sido muy elevado el porcentaje de usuarios que lo han hecho. Hay que tener en cuenta que, tanto en la Administración como en las grandes empresas suele haber servidores de ficheros en donde todos los usuarios tienen copia de respaldo. Costará mucho esfuerzo y trabajo reestablecerlos pero no es necesario pagar el rescate. Otra cosa distinta será entre los usuarios finales.

 

Parece que fue un joven quien paralizó el ciberataque mundial con el virus WannaCry: Marcus Hutchins. ¿Hasta qué punto fue decisiva su actuación?

Efectivamente, este joven británico que trabajaba para una empresa estadounidense se encontraba analizando una muestra del código dañino de WanaCry 2.0 y se percató de que estaba vinculado a una dirección web no registrada. Decidió registrar este dominio para continuar con las pruebas y, de este modo, impidió que una de las versiones de malware se propagara. Así es que, efectivamente, consiguió detener parcialmente el ataque.

 

¿Cree que esto va a marcar un antes y un después para las empresas españolas en cuanto a su concienciación sobre el cibercrimen?

Creo que sí. La repercusión que ha tenido este ataque a nivel mundial ha sido de tal envergadura que no creo que haya nadie que no sea consciente de la importancia de la ciberseguridad en todos los ámbitos. El que todos los medios de comunicación lleven días hablando de términos como ransomware, malware, copias de seguridad o actualización de sistemas es algo que debe llevar a la reflexión a todo el mundo. Lo único que esperamos es que esta reflexión no sea transitoria y que desde todas las organizaciones se apueste por una política de seguridad adecuada y se destinen los recursos para ello.

 

Una de las medidas recomendadas es no pagar el rescate. ¿En qué casos puede haber excepciones y por qué?

Desde el CCN-CERT siempre recomendamos no efectuar el pago del rescate. En primer lugar porque no existen garantías de que los atacantes envíen la utilidad y/o contraseña de descifrado de los equipos. En segundo lugar porque se premia su campaña y se les motiva a seguir distribuyendo masivamente este tipo de código dañino. Se recomienda, además, conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.

 

Después de este suceso, ¿se podría decir que España está preparada ante los ciberataques? Esto, a fin de cuentas, ha sido una prueba real de la situación del país en esta materia.

Creo que España está relativamente preparada en materia de ciberseguridad, sobre todo desde los últimos dos o tres años. En el caso de los ataques de nivel bajo o medio, nuestras defensas son muy buenas, bastante automatizadas y nos protegemos bien. Algo distinto es el caso de los ataques complejos (el que nos ocupa, y hasta que no se sepa más, podríamos decir que es relativamente sencillo). En estos casos, hasta principios de esta década, el atacante estaba muy motivado y sabía aprovechar nuestros fallos de seguridad. Ahora, afortunadamente, la tendencia se está invirtiendo. Las compañías de seguridad son más proclives a compartir información, existe mayor movimiento entre los CERT gubernamentales, los servicios de inteligencia también han incrementado la información y hay más medios disponibles, etc. Creo que ahora estamos en el camino correcto. Sólo falta un pequeño empujón en los planes de inversión de todas las organizaciones –públicas y privadas– para conseguir que la ciberseguridad se extienda y el escudo protector alcance a un mayor número de entidades.

 

 

Entrevista original publicada en CSO

 

INFORMACIÓN ADICIONAL

 

¿Podría tu empresa sobrevivir al ataque de un cryptor? Aprende a protegerte frente al ransomware de cifrado.