O tratamento informativo do WannaCry dáme ganas de chorar

O pasado venres convidáronme a participar no programa Área Pública da TVG para explicar un pouco o problema co ransomware que tiveron na sede central de Telefónica, causando un...

O pasado venres convidáronme a participar no programa Área Pública da TVG para explicar un pouco o problema co ransomware que tiveron na sede central de Telefónica, causando un estado de alerta totalmente inxustificado (como ben apunta Enrique Dans no seu blog), que durante a fin de semana os medios de comunicación trataron como un estado de alerta que non viña en absoluto a conto, pois estabamos a falar dunha ameaza informática como moitas outras das que vimos nos últimos anos, que practicamente non ten nada especial, pero que ao ter afectado a varias empresas importantes magnificouse o asunto.

A min gustaríame puntualizar varios temas sobre a variante do WannaCry:

  • A infección chega como una ameaza de phishing (ou sexa, que ten que haber un inconsciente que reciba unha mensaxe, por exemplo, por correo electrónico, e descargue e execute un ficheiro ligado dende a mesma, práctica que non debería facer ninguén baixo ningunha circunstancia)
  • O cifrado de ficheiros dos equipos infectados non ten solución (os titulares que puidemos ler como «o CNI non sabe como recuperar os arquivos secuestrados en España» sería como dicir «a Seguridade Social non sabe como resucitar aos mortos»). Pagar o rescate non ten garantías de recuperar os documentos e, de feito, na meirande parte dos casos de rasomware pagando só se fai o parvo.
  • O problema desta ameaza está nas empresas que empregan software sen actualizar, xa que un dos detalles máis salientables do WannaCry é que aproveita un fallo de seguridade dun vello método para compartir ficheiros nas redes das empresas (SMBv1), de xeito que non só cifra ficheiros locais, senón tamén unidades en rede. O máis rechamante neste caso é que o fallo de seguridade en cuestión leva 2 meses corrixido a través de Windows Update (ou sexa, que a xente co software ao día non tería problema) e tampouco debería haber empresas importantes que continuasen a empregar este vello método de compartir ficheiros (pois Microsoft leva anos instando aos administradores de sistemas a deixar de empregalos). Ou sexa, que temos un claro exemplo de que burradas como continuar a empregar Windows XP acaban pasando factura.
  • Estamos ante unha infección que se propaga a través da Internet, polo que levar a conta dos países aos que chega é, como mínimo, ridículo. O software en liña non cruza fronteiras. De feito, o que importa neste caso é o número de linguas nas que se distribúe o malware, e neste caso comentan que o WannaCry está dirixido a obxectivos en 27 idiomas.
  • Tamén é rechamante o feito de que a vulnerabilidade que aproveita WannaCry resultou ser un fallo de seguridade que empregaba activamente a NSA (sen informar a Microsoft, o que teño entendido que é unha vulneración da lexislación estadounidense, xa que os organismos públicos están obrigados a informar dos problemas de seguridade detectados), e que filtrouse hai pouco, ou sexa, que se os servizos de información continúan a desenvolver armas cibernéticas que de caer en malas mans traen problemas a todo o mundo, de aí que sexa moi irresponsable que os gobernos entren nunha especie carreira armamentística dixital.
  • Actualmente carecemos de voces autorizadas para falar de seguridade informática en España, e o feito de que os medios optasen polo Centro Nacional de Intelixencia ou pola Europol non vexo que teña moito sentido. Acaso para informar sobre a afluencia do turismo nas Rías Baixas consúltase á Garda Civil de Tráfico? Si, poderían falar do tema, pero iso non dá ningunha autoridade á información. Precisamente o caso da Europol chéirame a trapallada dos medios públicos británicos (BBC) que quixeron magnificar o asunto para que o fallo de seguridade no sistema británico de saúde parecese vítima dos elementos, e botar balóns fóra.
  • Ah, e continúa a pensar que a distribución mediante phishing dun malware non é un ataque informático. Coido que se están a empregar termos bastante confusos que non axudan nada a solucionar a situación. A propagación dunha ameaza non é un ataque, do mesmo xeito que no o son as pragas. Se dentro de varios meses alguén executa un dos ficheiros co ransomware verase prexudicado, de xeito que tentar ligar a ameaza ao factor tempo non parece atinado.

Precisamente lendo sobre este tema no blog de Dans leo nun comentario que un representante da Garda Civil pasou polo programa de Ana Rosa en Telecinco, e fun mirar para ver se a cousa era tan grave como parecía… e así foi.

O tenente coronel non ten quen lle escriba

Luis Fernando Hernández García, xefe de seguridade da Garda Civil, foi o tenente coronel encargado de dar a cara no plató televisivo, o que supoño que sería un marrón para el, e aínda que se defendeu bastante ben ante as preguntas e cónstame que é un profesional con moita experiencia no seu ámbito, coido que tamén meteu a zoca a base de ben:

  • Para comezar asegura que o WannaCry «de indiscriminado nada, é selectivo» ante o que argumentou que de ser indiscriminado recibiriamos o malware nos nosos correos electrónicos persoais, asegurando que polo momento trátase «de ataques moi selectivos a certas empresas, certas organizacións a nivel mundial», o que non coincide en absoluto co que están a dicir os expertos de todo o mundo. De feito, é normal que o ransomware estea orientado a empresas, ou sexa, que é moi probable que simplemente non se lanzase contra enderezos electrónicos de Gmail e pouco máis (e de aí a deducir que o ataque foi selectivo vai un mundo).
  • Logo dá unha serie de consellos sobre seguridade informática que podería terse reservado para si: apagar a Wi-Fi cando non se use (comparando as redes Wi-Fi como a porta de casa) e antivirus no móbil.
    Estou alucinando con ese tipo de consellos. Cando se supón que apagamos a rede Wi-Fi da casa? Cando durmimos? Ou sexa, que cando esteamos na cama o móbil ten que recibir os WhatsApp por 4G? Se as redes Wi-Fi son vulnerables, está claro que ninguén vai entrar nas mesmas cando estean apagadas, pero non vexo que andar acendendo e apagando o Wi-Fi sexa algo máis que unha inmensa molestia.
    E sobre os antivirus para smartphones: estamos de carallada?! Até o momento ninguén soubo xustificar o seu uso e, de feito, só os promoven as compañías que facían antivirus para PC, e que agora teñen problemas para sobrevivir porque Windows inclúe de balde o Defender e un firewall, que van igual ou mellor que moitas solucións de pagamento, de aí que cando o tenente coronel di que «a seguridade nunca foi de balde e na Internet o gratis tampouco existe» e engade que «eu recomenda a todo o mundo un mínimo investimento, cando menos nun antivirus», só podo entender que está adoutrinado por empresas de seguridade informática para dicir tal.
    Se temos o noso smartphone configurado para que só poida empregar aplicacións da súa tenda de aplicacións non temos ningunha necesidade de empregar software de seguridade adicional. De feito, o importante en seguridade no móbil é contar cun terminal que reciba actualizacións de seguridade periódicas, algo que non pode mercarse ou contratarse, senón que depende do fabricante (de aí que nas empresas tendan a empregar dispositivos dunhas marcas en concreto que dean certas garantías). Mercar un antivirus para o teléfono é tirar os cartos e facer que o móbil vaia máis lento.

Hai facianas que deixan claro o pouco que entenden algúns do que están a falar en televisión

Pero vaia, despois de escoitar a Ana Rosa comentar que o Bitcoin «dentro de pouco vai cotizar en Bolsa» xa podemos deducir que neste tipo de espazos televisivo non hai que ter ningún tipo de autoridade para falar, e podes soltar a primeira burrada que se che veña á cabeza sen consecuencias. De feito, varios dos colaboradores soltan frases ao aire como que non se sabe se houbo roubos de datos (cando non vén a conto) ou que os Bitcoins adquírense na deep web. Caladiños estaban máis guapos.

A desinformación na materia é moi perigosa, pois estase a falar de ciberterrorismo, ciberguerra, ciberdelincuencia… palabras moi escandalosas que dan a entender que unha persoa particular non ten nada que facer contra ameazas a escala global, cando o certo é que un pouco de cultura ao respecto estaría moi ben, e precisamente manter boas prácticas evita a meirande parte das ameazas informáticas. Se mantemos os nosos equipos ao día (as actualizacións de Windows son pesadas, pero necesarias), temos o ordenador ben configurado (empregar Windows como administrador no uso diario é unha barbaridade), non descargamos e executamos ficheiros sospeitosos (ou sexa, temos software legal e non instalamos nada que non saibamos a ciencia certa o que é) e realizamos copias dos nosos datos importantes con regularidade (para o que non é preciso mercar un disco duro externo, senón que chega con empregar unha conta de balde en Dropbox ou OneDrive para ter un nivel mínimo de protección) estaremos libres de troianos, ransomware e outros tipos de malware que moitos continúan a definir como virus (cando non se comportan así). A seguridade absoluta é imposible, pero cun pouco de sentidiño podemos estar seguros ao 99,9%.

Comentarios

Chíos e rechouchíos

ENTRADAS RELACIONADAS