La Transformación Digital dificulta la tarea de reducir la superficie de ataque, dado el crecimiento exponencial de usuarios, dispositivos, sistemas y aplicaciones de terceros que requieren ser actualizados. Y, en consecuencia, el panorama de posibles ciberamenazas se amplía considerablemente. También lo hace el monto que estos ataques generan en empresas y usuarios particulares: se estima que para 2021, el coste del cibercrimen alcanzará los 6 billones de dólares.
Pero, además de compartir objetivos como el lucro económico, muchos de los ciberincidentes más costosos de los últimos años han compartido otra característica: se han producido gracias a una vulnerabilidad en un sistema informático sin parchear.
Descubre Panda Patch Management
A continuación hacemos un repaso de las vulnerabilidades más famosas y las repercusiones que estos exploits tuvieron en el negocio de aquellos que las padecieron:
EternalBlue
Una de las vulnerabilidades que más problemas ha causado en el último año es en el Server Message Block (SMB) de Microsoft. Se llama EternalBlue, y supuestamente fue desarrollada por la Agencia Nacional de Seguridad (NSA) de Estados Unidos. Salió a luz en abril de 2017 cuando el grupo de hackers, Shadow Brokers, reveló que la NSA recopilaba vulnerabilidades de este tipo. Y la lista de ataques que ha facilitado es muy larga.
El ejemplo más famoso de su uso es el de WannaCry, que afectó a más de 300.000 empresas en todo el mundo y generó unos costes totales de alrededor de 4 mil millones de dólares. También el posterior malware NotPetya pudo entrar en los sistemas gracias a esta vulnerabilidad, robando contraseñas para hacerse con el control de la red a la que accedía.
Y no sólo hablamos de ataques de ransomware: poco después de los ataques de WannaCry, vimos un malware llamado Adylkuzz, que utilizaba EternalBlue para poder descargar una serie de comandas en los ordenadores infectados. Estas comandas luego se utilizaban para generar y extraer criptomonedas.
EternalRomance
Bad Rabbit apareció como un ransomware que compartía muchos elementos del código de NotPetya pero que se aprovechaba de otra vulnerabilidad – también de la NSA, y también en el SMB – llamada EnternalRomance. El ataque afectó principalmente a usuarios de Europa del Este y Rusia.
A principios de este año, los Juegos Olímpicos de Invierno de Pieonchang se vieron afectados por un ciberataque. Durante la ceremonia de inauguración, atacantes pudieron interferir con la conexión de Internet, el sitio Web y los servicios de televisión. Para realizar este ataque, los responsables se aprovecharon de EternalRomance
También las recientes tendencias en ciberataques, como el cryptojacking, han echado mano en algún momento de este vulnerabilidad para sus malintencionadas acciones. El malware PyRoMine utilizó EternalRomance para infectar un ordenador y utilizar el CPU del ordenador infectado para buscar la criptomoneda Monero.
¿Cómo se podrían haber evitado estos ataques? La respuesta es sencilla: existía un parche para las vulnerabilidades meses antes de los incidentes. Sin embargo, muchas organizaciones tienen dificultades para aplicar los parches adecuados, o no tienen políticas de parchear lo cual significa que vulnerabilidades de este tipo pueden pasar desapercibidas. Es más, EternalBlue sigue amenazando sistemas sin parches.
Aplicaciones Web
En 2017, cibercriminales aprovecharon de una vulnerabilidad en el software Apache Struts para lanzar el ransomware llamado Cerber. Según algunas fuentes, consiguieron más de 100.000$ en bitcoin gracias a este ransomware. Y éste no fue el único uso de esta vulnerabilidad de Apache Struts.
Brechas de datos personales
Los ataques de malware y ransomware son las consecuencias más llamativas de una vulnerabilidad sin parchear, pero no las únicas. Algunos de los casos más serios de exfiltraciones de datos personales han sido posibles gracias a sistemas informáticos sin parchear.
En 2017, la empresa estadounidense Equifax reveló que había perdido los datos personales de más de 145 millones de personas, en una de las mayores brechas de este tipo en la historia. ¿La causa de esta brecha? La misma vulnerabilidad en Apache Struts que se aprovechó para Cerber. Según Equifax, la responsabilidad fue de un empleado que no aplicó el parche relevante – un parche disponible dos meses antes de la brecha y que podría haberla mitigado.
El caso no es único. La aseguradora Nationwide Mutual Insurance acordó pagar 5,5 millones de dólares por una brecha de los datos de1,27 millones de personas en 2012, que también fue facilitada por una vulnerabilidad en una aplicación Web para la que existía un parche tres años antes del incidente.
La empresa telefónica Carphone Warehouse se enfrentó a una multa de 400.000£ por una brecha que sufrió en 2015 que se pudo llevar a cabo gracias a una vulnerabilidad en la versión de WordPress que utilizaba la compañía, y que no se había actualizado desde el año 2009.
De hecho, según un estudio, más del 80% de las brechas de datos personales son el resultado de una mala gestión de los parches. Esto quiere decir que una empresa puede reducir de manera significante el riesgo de sufrir un incidente de este tipo aplicando una política eficaz de parches.
¿La solución?
Una de las razones por la que las empresas tienen dificultades para buscar y aplicar parches relevantes es una falta de recursos y tiempo. Es más, muchas veces es difícil priorizar qué parches se tienen que aplicar antes.
Sin embargo, aunque aquí sólo hemos visto algunos ejemplos, el hecho es que la mayoría de los ataques y exploits se aprovechan de los sistemas y aplicaciones de terceros no actualizados, explotando vulnerabilidades conocidas, para las que se dispone de una actualización semanas, incluso meses antes de la brecha.
Con Panda Patch Management, puedes estar seguro de tener siempre los parches relevantes instalados. Patch Management busca automáticamente los parches necesarios para mantener a salvo los equipos de tu sistema, priorizando las actualizaciones más urgentes. Así puedes evitar incidentes, reduciendo sistemáticamente la superficie de ataque por vulnerabilidades, aplicando inmediatamente las actualizaciones críticas desde la consola Cloud.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
