{"id":12952,"date":"2018-05-11T17:26:52","date_gmt":"2018-05-11T23:26:52","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=12952"},"modified":"2022-03-27T04:37:00","modified_gmt":"2022-03-27T10:37:00","slug":"a-un-ano-de-wannacry-el-exploit-eternalblue-sigue-siendo-un-vector-de-infeccion","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/a-un-ano-de-wannacry-el-exploit-eternalblue-sigue-siendo-un-vector-de-infeccion\/12952\/","title":{"rendered":"A un a\u00f1o de WannaCry el exploit EternalBlue sigue siendo un vector de infecci\u00f3n"},"content":{"rendered":"

El viernes 12 de mayo de 2017, la comunidad global fue testigo del comienzo de la mayor infecci\u00f3n de ransomware<\/em> en la historia. El fabricante de autom\u00f3viles Renault tuvo que cerrar su f\u00e1brica m\u00e1s grande en Francia y los hospitales en el Reino Unido tuvieron que rechazar a los pacientes. El gigante alem\u00e1n del transporte Deutsche Bahn, la espa\u00f1ola Telef\u00f3nica, la distribuidora de electricidad de Bengala Occidental, FedEx, Hitachi y el Ministerio Interior Ruso tambi\u00e9n resultaron afectados.<\/p>\n

\u00a0<\/p>\n

Wannacry logr\u00f3 afectar a m\u00e1s de 200 mil sistemas en 150 pa\u00edses. Seg\u00fan Kaspersky Lab, el pa\u00eds m\u00e1s afectado fue Rusia, con 33.64% de las empresas afectadas, seguido por Vietnam (12.45%) e India (6.95%). Entre los pa\u00edses m\u00e1s afectados en Am\u00e9rica Latina se encontraban Brasil, M\u00e9xico y Colombia, los cuales estuvieron entre los 20 pa\u00edses m\u00e1s afectados a nivel global, seguidos por Per\u00fa, Ecuador y Chile.<\/p>\n

La novedad en este ataque fue la forma de propagaci\u00f3n, usando el exploit <\/em>EternalBlue \u2013 vulnerabilidad en el protocolo SMB, dada a conocer semanas antes por el grupo Shadowbrokers \u2013 la cual instalaba, a trav\u00e9s de Internet, la puerta trasera DoublePulsar, utilizada para inyectar c\u00f3digo malicioso sin requerir de interacci\u00f3n alguna con los usuarios. Una vez que los equipos eran infectados, WannaCry cifraba la informaci\u00f3n y extorsionaba a las v\u00edctimas, solicit\u00e1ndoles pagar un rescate para recuperar su informaci\u00f3n.<\/p>\n

\u00a0<\/p>\n

WannaCry dej\u00f3 a simple vista lo f\u00e1cil que era explotar una vulnerabilidad conocida para el sistema operativo Microsoft Windows. Pese a que el parche ya estaba disponible, muchos administradores de sistemas se dieron cuenta que su red estaba expuesta cuando ya era tarde.<\/p>\n

\u201cLa lecci\u00f3n de Wannacry es que un virus puede causar da\u00f1os reales, hasta p\u00e9rdidas de centenares de millones de d\u00f3lares. Estas ya no son consecuencias aisladas de ataques dirigidos de alto perfil sino de ataques simples que afectan al mayor n\u00famero de v\u00edctimas posible. Las empresas deben entender que todos est\u00e1n en peligro y por ende, sus negocios y sus activos corren un gran riesgo<\/em>\u201c,<\/em> alert\u00f3 Dmitry Bestuzhev, director del Equipo de Investigaci\u00f3n y An\u00e1lisis para Kaspersky Lab Am\u00e9rica Latina.<\/strong><\/p>\n

A pesar de la difusi\u00f3n que tuvo el ataque, un a\u00f1o despu\u00e9s el exploit<\/em> EternalBlue sigue siendo un vector de infecci\u00f3n, no solo para ransomware<\/em>, sino tambi\u00e9n para otras infecciones con malware. Esto se debe a la falta de instalaci\u00f3n de los parches correspondientes de Microsoft para cerrar estas vulnerabilidades.<\/p>\n

\u00a0<\/p>\n

\u201c<\/em>La vulnerabilidad EternalBlue a\u00fan sigue siendo aprovechada por los criminales para distribuir malware y conseguir infecciones de forma masiva. En algunos casos se trata de ransomware<\/em>,<\/em> pero en otros hemos visto la proliferaci\u00f3n de criptominers, es decir un tipo de aplicaci\u00f3n cuyo \u00fanico objetivo es generar monedas digitales del estilo de Bitcoin o Monero. Es interesante observar c\u00f3mo luego de un a\u00f1o siguen existiendo sistemas que no han aplicado las actualizaciones y siguen siendo vulnerables ante este tipo de amenaza<\/em>,\u201d <\/em>agreg\u00f3 Santiago Pontiroli<\/strong>, analista de seguridad en Kaspersky Lab.<\/strong><\/p>\n

\u00a0<\/p>\n

Seg\u00fan estad\u00edsticas de Kaspersky Lab, el 65% de las empresas afectadas por ransomware<\/em> durante 2017 perdi\u00f3 acceso a una cantidad significativa de datos o incluso a todos sus datos. Adem\u00e1s, una de cada seis de las que pagaron el rescate nunca recuper\u00f3 sus datos.<\/p>\n

\u00a0<\/strong><\/p>\n

Con el prop\u00f3sito de hacerle frente a la creciente amenaza que representa el ransomware alrededor del mundo, los expertos de Kaspersky Lab recomiendan a las empresas seguir las siguientes medidas:<\/p>\n

\u00a0<\/p>\n

    \n
  1. Verificar que se ha instalado el parche de Microsoft<\/a> que corrige esta vulnerabilidad en espec\u00edfico y asegurarse de instalar las actualizaciones de seguridad que resuelvan vulnerabilidades en el futuro.<\/li>\n<\/ol>\n

    \u00a0<\/p>\n

      \n
    1. Instalar una soluci\u00f3n endpoint como Kaspersky Endpoint Security<\/a>, que gracias a su herramienta Endpoint Detection Response (EDR) busca de manera proactiva a los adversarios y detiene las amenazas antes de que puedan causar da\u00f1os costosos, respondiendo de manera r\u00e1pida y efectiva a incidentes y brechas de seguridad, sin afectar la productividad o incurrir en grandes inversiones.<\/li>\n<\/ol>\n

      \u00a0<\/p>\n

        \n
      1. Realizar el respaldo de sus datos a menudo. Inclusive, si se encuentra en una situaci\u00f3n donde sus archivos han sido cifrados, respalde esos datos ya que la llave para descifrarlos puede estar disponible en unos d\u00edas y as\u00ed podr\u00e1 recuperarlos.<\/li>\n<\/ol>\n

        \u00a0<\/p>\n

          \n
        1. En caso de sufrir la infecci\u00f3n de ransomware en sus equipos, la recomendaci\u00f3n es no pagar el rescate. En su lugar, se insta a las empresas a consultar desde un equipo no infectado la p\u00e1gina de la iniciativa No More Ransom<\/a>, proyecto que re\u00fane a proveedores de seguridad y agentes de la ley para rastrear e interrumpir las actividades de las grandes familias de ransomware, adem\u00e1s de ayudar a las personas a recuperar sus datos y socavar el lucrativo modelo comercial de los delincuentes.<\/li>\n<\/ol>\n

          \u00a0<\/strong><\/p>\n

          Adem\u00e1s, Kaspersky Lab ofrece dos tipos soluciones que ayudan a las empresas a luchar contra este tipo de amenazas:<\/p>\n