Vulnerabilidades Críticas y el Impacto de WannaCry

By /

La seguridad informática es un aspecto crucial en la era digital, y la protección de los sistemas operativos es fundamental. Versiones de sistemas operativos como Windows 7, y en particular sus vulnerabilidades ante amenazas como WannaCry y BlueKeep, han demostrado la importancia de mantener el software actualizado. Este artículo detalla las principales vulnerabilidades que afectan a Windows 7, el impacto de los ataques de ransomware y las medidas preventivas.

Esquema de las vulnerabilidades EternalBlue y DoublePulsar

EternalBlue y la Amenaza de WannaCry

La vulnerabilidad EternalBlue (CVE-2017-0144) hace que los sistemas sean extremadamente susceptibles al secuestro remoto. Esta falla grave se encuentra en una versión obsoleta del servicio de uso compartido de archivos de Windows (SMB). Como el error EternalBlue se encuentra en un sistema, este es vulnerable a ataques de malware. El error afecta a la primera versión del protocolo SMB (comúnmente conocida como SMBv1). Las versiones SMBv2 y posteriores (disponibles a partir de Windows 7) no están afectadas. Sin embargo, incluso las versiones de Windows más recientes todavía son compatibles con SMBv1.

EternalBlue permite el secuestro remoto mediante un ataque "DoublePulsar". Un ataque DoublePulsar funciona mediante la instalación silenciosa de una peligrosa implantación de puerta trasera en el PC, que los atacantes pueden usar para sortear la seguridad del equipo y acceder al sistema sin ser detectados. Después de acceder al sistema, el atacante puede introducir malware o robar datos personales.

El Ataque de Ransomware WannaCry

El 12 de mayo de 2017, el gusano de ransomware WannaCry utilizó la puerta trasera de DoublePulsar en combinación con EternalBlue para infectar miles de PC a nivel mundial. WannaCry se propagó al aprovechar esta vulnerabilidad, cifró archivos en las computadoras y bloqueó a los usuarios de sus dispositivos, exigiendo un rescate para la liberación de los datos. El impacto del ataque fue amplio y afectó a alrededor de 230,000 computadoras en todo el mundo, paralizando sistemas informáticos en 150 países. Esto incluyó infligir un gran daño al proveedor de salud británico National Health Service (NHS).

WannaCry destacó por su capacidad de infección por red, aprovechando una vulnerabilidad en el protocolo SMB. Todos los sistemas operativos basados en Windows, desde Windows XP hasta Windows 10, estaban afectados por la vulnerabilidad en SMB.

Mapa de calor de la propagación global del ataque WannaCry en 2017

Mecanismos de Propagación y Contención

El "gusano" de WannaCry operaba de forma automática, sin necesidad de interacción del usuario para propagarse. Sin embargo, a las pocas horas del ataque, WannaCry fue neutralizado de forma temporal. Un investigador especialista en seguridad descubrió un "interruptor de apagado" que básicamente desactivaba el malware al registrar un dominio específico (iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com) al que el ransomware realizaba una consulta antes de ejecutarse.

Aunque la versión original de WannaCry ya no funciona gracias a este "botón de apagado", se siguen produciendo ataques de WannaCry con variantes que han eliminado esta función. En marzo de 2021, WannaCry seguía aprovechando la vulnerabilidad EternalBlue, lo que significa que solo los sistemas Windows extremadamente antiguos y desactualizados estaban en peligro.

La Vulnerabilidad BlueKeep: Un Riesgo Reciente

Una amenaza similar a WannaCry es la vulnerabilidad "BlueKeep" (CVE-2019-0708), que no requiere interacción por parte del usuario. Esta falla afecta al protocolo de escritorio remoto (RDP por sus siglas en inglés), por el que los equipos Windows se pueden operar a distancia a través de una conexión a internet. La vulnerabilidad está presente en computadoras con Windows 7, Windows XP, y aquellas que utilizan los servidores 2003 y 2008.

Microsoft ha etiquetado la vulnerabilidad como "sin gusano" en un inicio, pero esto significa que la amenaza podría propagarse por Internet sin ninguna interacción del usuario. La Agencia Nacional de Seguridad de Estados Unidos (NSA) emitió una alerta en junio de 2019 pidiendo a administradores y usuarios de Microsoft que solucionen esta vulnerabilidad, advirtiendo que es probable que solo sea cuestión de tiempo antes de que el código de explotación remota esté ampliamente disponible.

Diagrama técnico de cómo funciona la vulnerabilidad BlueKeep en RDP

¿Por qué Windows 7 es tan Vulnerable? El Fin de Soporte

Windows 7, lanzado en 2010 como relevo de Windows XP, ha sido uno de los sistemas operativos más populares. Sin embargo, Microsoft anunció que dejaría de lanzar actualizaciones de seguridad de manera gratuita para Windows 7 a partir del 14 de enero de 2020, impulsando a los usuarios a actualizarse a versiones más nuevas y seguras de su sistema operativo. Esto significa que los equipos con Windows 7 se quedaron sin actualizaciones de seguridad, convirtiéndolos en un "coladero digital".

Aunque el equipo sigue funcionando, la falta de actualizaciones críticas deja a los sistemas sin defensas necesarias contra nuevas vulnerabilidades y malware específico. Esto abre las puertas a una mayor exposición de datos personales y a la posibilidad de que, si un fallo crítico afectase a viejas versiones de Windows, las consecuencias podrían ser muy serias.

Medidas de Protección y Prevención

Para mitigar los riesgos asociados a estas vulnerabilidades y el uso de sistemas operativos sin soporte, se recomiendan las siguientes acciones:

Actualización y Parcheo

  • Parchar el sistema: Si se ejecuta una versión compatible de Windows, actualizarla a la última versión. Si es posible, habilitar las actualizaciones automáticas.
  • Parches especiales: Microsoft lanzó parches especiales para sistemas vulnerables a BlueKeep, incluyendo aquellos sin soporte como Windows XP y Windows Server 2003. Estos parches pueden descargarse manualmente.

Seguridad del Protocolo SMB

  • Deshabilitar SMBv1: Desactivar el servicio de uso compartido de archivos de Windows, concretamente la versión 1 del protocolo SMB. Si esto no fuera posible, filtrar el tráfico SMB entre las distintas redes.

Seguridad del Escritorio Remoto (RDP)

  • Deshabilitar RDP: Deshabilitar el protocolo de escritorio remoto si no es estrictamente necesario, ya que esto reduce la superficie de ataque.
  • Configurar RDP correctamente: Si se debe utilizar RDP, evitar exponerlo a la Internet pública. Solo los dispositivos en la LAN, o que acceden a través de una VPN, deben poder establecer una sesión remota.
  • Filtrado con Firewall: Aplicar reglas en los cortafuegos para limitar la comunicación, permitiendo el uso de RDP solo donde sea estrictamente necesario y filtrar el acceso RDP utilizando un firewall que incluya solo un rango de IP específico.
  • Autenticación a Nivel de Red (NLA): Habilitar NLA (Network Level Authentication) mitiga BlueKeep parcialmente, ya que requiere que el usuario se autentique antes de establecer una sesión remota.
  • Bloquear puerto TCP 3389: Bloquear el puerto TCP 3389 en el firewall, especialmente los perimetrales expuestos a Internet, ya que este puerto se usa en el protocolo RDP y bloqueará los intentos de establecer una conexión.

Soluciones de Seguridad Adicionales

  • Antivirus y Cortafuegos: Utilizar una solución de seguridad confiable de múltiples capas que pueda detectar y mitigar los ataques. Todas las versiones de AVG/Avast AntiVirus protegen contra ataques que aprovechan EternalBlue si la función Cortafuegos mejorado está activada.
  • Plataformas Zero Trust: Implementar un enfoque de seguridad Zero Trust asume que todos los usuarios y dispositivos presentan amenazas, reautenticando periódicamente y evaluando la seguridad de los dispositivos.

Alternativas a Windows 7

  • Actualizar a Windows 10: Si se desea mantener un sistema Windows, la opción más lógica es actualizar a la última versión disponible, es decir, Windows 10.
  • Considerar otros sistemas operativos: Existen opciones de sistemas operativos gratuitos e intuitivos que pueden servir como alternativa, aunque la compatibilidad con ciertas aplicaciones puede variar.

WannaCry: El Ransomware más Devastador de la Historia

Lecciones Aprendidas del Ciberataque WannaCry

El incidente de WannaCry puso de manifiesto varias lecciones importantes en ciberseguridad:

  • Importancia del parcheo: El parche para EternalBlue estaba disponible casi dos meses antes del ataque de WannaCry, pero muchas organizaciones no lo habían instalado. La mayoría de los ataques se pueden evitar con una buena gestión de parches.
  • Interconexión de redes: Las redes de todo el mundo están extremadamente interconectadas. La creencia de que las redes no pueden ser penetradas desde el exterior es errónea.
  • Vulnerabilidad de infraestructuras críticas: Ataques de ransomware han afectado a hospitales, escuelas, oleoductos y gobiernos en los últimos años, mostrando que muchas organizaciones fundamentales son vulnerables.
  • Origen de las vulnerabilidades: La explotación EternalBlue fue desarrollada por la Agencia de Seguridad Nacional de EE. UU. (NSA) para su propio uso, pero un grupo conocido como Shadow Brokers la robó y la hizo pública. Esto destaca el riesgo de acumular exploits.
  • Atribución de ataques: A finales de 2017, Estados Unidos y el Reino Unido anunciaron que el gobierno de Corea del Norte estaba detrás del ataque de WannaCry, aunque algunos investigadores de seguridad atribuyen la autoría al Grupo Lazarus.

tags: #windows #7 #vulnerable #a #ataque #de

Publicaciones populares:

  • Apoyo pedagógico para alumnos vulnerables en inglés
  • impacto en sectores vulnerables
  • Impacto de la violencia contra mujeres indígenas
  • Guía Bono Social Colegios Vulnerables
  • detalles sobre AFP Habitat