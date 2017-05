Cinco Días me pidió una tribuna sobre el ataque de ransomware de la semana pasada, que titulé “Ransomware y alarmas” (pdf en breve), y que incide exactamente en la misma tesis que ya expuse en opiniones anteriores: el tratamiento mediático del tema es completamente alarmista e injustificado, refleja una enorme (y preocupante) ignorancia en estos temas.

El ataque del pasado viernes no tuvo, en sí, nada de especial. Es un virus vulgar, con un mecanismo de infección aleatorio y nada sofisticado, que utiliza una vulnerabilidad publicada hace algún tiempo – concretamente el pasado marzo, en el dump de Wikileaks sobre la CIA y sus herramientas – y que no debería tener ninguna importancia ni ser más que una simple molestia en cualquier compañía que tenga una mínima rutina de copias de seguridad. No hay ningún tipo de “ataque” dirigido contra nadie en concreto, no hay ninguna amenaza que no estuviese ahí desde hace tiempo, y por supuesto, no hay ninguna ciberguerra (o no más de la que ya había, que no tiene nada que ver con el virus del pasado viernes). Ni esto es algo “especial”, ni ha sido detenido, ni fue el primero de su clase, ni va a ser el último.

Lo más importante de este virus es que separa a las compañías que hacen bien las cosas de las que no lo hacen. Esta mañana me he despertado con un correo interno de una empresa en la que decían que “como no utilizamos Telefonica como red de telecomunicaciones, estamos a salvo”… ¿por favor, cómo es posible tanta ignorancia? El virus se transmite a través de cualquier usuario que haga clic en un enlace infectado, sea de Telefonica o de quien sea, y ninguna compañía está a salvo de que uno de sus usuarios haga clic en el enlace, salvo que someta a sus usuarios a una disciplina que sería más digna de un campo de concentración. La infección es, repetimos, a-lea-to-ria, cuanto más usuarios y ordenadores tengas, más probable es que la contraigas, y lo importante no es que te infectes, sino que sepas qué diablos hacer si te infectas.

En ese sentido, lo que toda empresa tendría que hacer esta mañana es:

Asegurarse de que, en caso de disrupción de un equipo, tienen una copia de seguridad desde la que restaurarlo. Me da lo mismo que la disrupción se produzca por un ransomware o por un martillazo: si un equipo deja de estar disponible, toda su información tiene que poder ser recuperada inmediatamente desde una copia de seguridad. En esto no hay excusas: si lo tienes, bien. Si no, tienes algo mal en tus prioridades. Instalar la actualización de seguridad de Microsoft que soluciona esa vulnerabilidad. Esa actualización que siendo importante porque era evidente que sería explotada, Microsoft solo ofreció a aquellos usuarios que tenían mantenimiento en activo, pero no a quienes tenían versiones más antiguas de su sistema, a quienes no ofreció parches actualizados hasta el momento de la infección masiva. Al no ofrecer ese parche de manera inmediata e incondicional en su momento, Microsoft se convierte en vector y corresponsable de la infección del pasado viernes. Que Microsoft ahora pretenda echarse las manos a la cabeza y culpar a la NSA no reduce su responsabilidad en este asunto, ni aclara cómo fue el proceso que permitió que la NSA tuviese acceso a esa vulnerabilidad. Actualizar antivirus y herramientas relacionadas. Si la infección aparece en un equipo, desconectarlo inmediatamente de la red y comenzar el protocolo. No tratar de ocultarlo como si fuera alguna enfermedad vergonzante, sino todo lo contrario: hablar con todos los proveedores implicados y comunicar con los organismos adecuados por si hubiese algún tipo de novedad en el proceso, borrar el equipo o equipos afectados, y restaurarlos desde la copia de seguridad. Cuanto más transparencia, mejor. Las empresas tienen que entender que el procedimiento de negarlo todo solo empeora las cosas: en el mundo actual, hay cosas que son tan imposibles de evitar como la muerte y los impuestos, y que cuando ocurren, hay que demostrar que se tienen los procedimientos para solucionar los problemas que causan.

Lo mejor de este virus y de la exageración mediática que ha generado es que posiblemente convenza a algunas compañías irresponsables de que esas herramientas que utilizan para hacer su trabajo tienen unas necesidades de mantenimiento y de cuidado que, si no se llevan a cabo, terminan generando una disrupción de los procesos de negocio. Hay demasiadas compañías ahí fuera que no actualizan sus sistemas operativos ni sus antivirus, que no tienen una rutina de copia de seguridad, o que creen que cualquier cosa que les pase va a ser culpa de un tercero. No, a estas alturas, si uno de tus ordenadores se infecta y pierdes datos, la culpa es tuya y solo tuya. Por cenutrio. Y si alguien en tu compañía propone pagar a un extorsionador para recuperar unos datos, piensa que lo único que refleja es que alguien, antes, no hizo bien su trabajo. Ah, y que es muy posible que pagues, y no recuperes nada. Los delincuentes es que tienen esas cosas, a veces simplemente toman el dinero y corren…

Por favor, dejémonos de conspiraciones masivas, de culpabilizar a terceros, de pensar que el virus lo creó un tal Ramón (a ver, hombre… que es muy fácil: ransom quiere decir “rescate” en inglés, eso es todo :-) Esto no tiene más cera que la que arde: es un simple virus creado para ganar dinero a costa de incautos que no tienen copia de seguridad de su información, que se distribuye aleatoriamente y que no supone ningún tipo de escalada en ningún sistema de alarma. Nada. Un virus mundano, nada especial, obra de un grupo poco sofisticado, por mucho que se haya distribuido de forma masiva. Lo único que debería hacer es que unos cuantos leyesen un poco más, se informasen mejor, y aprendiesen que la seguridad comienza con la prevención y con una evaluación adecuada de los riesgos. Que nos pongamos como nos pongamos, siempre van a estar ahí.