El ayuntamiento de Baltimore ha sido
el último de una lista de corporaciones locales que incluye a los ayuntamientos
de Pensilvania o Texas, entre otros, en sufrir ataques informáticos graves que
paralizaron algunas infraestructuras críticas de la ciudad.
A pesar de que el código del exploit
fue conocido hace ya más de dos años a raíz de una filtración y de que
Microsoft liberó las pertinentes actualizaciones de seguridad, aún existe una
ingente cantidad de sistemas desactualizados en las administraciones. En el
caso de Baltimore, ciudad que sólo destinaba un 2,5% de su presupuesto a
ciberseguridad, los ataques han afectado a áreas tan diversas como las alertas
de salud, facturación del agua, servicios de correo electrónico o ventas
públicas, pagos de multas y comunicación del ayuntamiento con proveedores.
Es necesario recordar que fue la NSA
quien, supuestamente, retuvo durante años el código del exploit sin avisar tan
siquiera al proveedor de servicios afectado, Microsoft. Sólo cuando detectaron
el robo de información se vieron obligados a reportar la incidencia a
Microsoft. Sin embargo, la NSA jamás ha comparecido para aclarar lo sucedido de
manera pública.
Un hecho diferenciador con respecto a
otros ataques es el empleo de las propias herramientas de la NSA contra
infraestructuras estadounidenses así como las reacciones despertadas en las
corporaciones locales. Los responsables de los ayuntamientos han exigido
información y medios a interlocutores del FBI y la NSA, quienes se niegan a
comentar el asunto, provocando un conflicto entre distintos niveles de las
administraciones.
La realidad es que, actualmente,
existen más de un millón de equipos desactualizados que mantienen el puerto
445, objeto del ataque, expuesto a todo internet. La mayoría de esos sistemas
se encuentran además en Estados Unidos.
Top 5 países vulnerables a
EternalBlue: EEUU, Japón, Rusia, Alemania, Taiwan.
Dos años después, EternalBlue sigue
operando como vector fundamental de distintos ataques informáticos. En el caso
de Baltimore, fue un empleado público quien, víctima de un ataque de phishing,
infectó el equipo con ‘RobbinHood‘ una variante nueva de ransomware que hace
uso de EternalBlue. Lo que revela, fundamentalmente, dos aspectos del estado de
la ciberseguridad actual.
En primer lugar, los ataques por
ingeniería social, que involucran la explotación de las vulnerabilidades
relacionadas con el factor humano, siguen siendo una de las superficies de
exposición preferidas por los criminales. Lo que indica, a su vez, una
deficiente formación de la población en materia de seguridad informática.
En segundo lugar, el éxito de ataques
que hacen uso de EternalBlue, indica, en última instancia, la existencia de un
parque de infraestructuras informáticas altamente desactualizadas. Un hecho que
guarda relación directa con la dotación presupuestaria de las administraciones
destinada a ciberseguridad.
Más información:
- Baltimore
ransomware attack: NSA faces questions https://www.bbc.com/news/technology-48423954?intlink_from_url=https://www.bbc.com/news/topics/cz4pr2gd85qt/cyber-security&link_location=live-reporting-story
- Eternally
Blue: Baltimore City leaders blame NSA for ransomware attack https://arstechnica.com/information-technology/2019/05/eternally-blue-baltimore-city-leaders-blame-nsa-for-ransomware-attack/
- Hackers
Are Holding Baltimore Hostage: How They Struck and What’s Next https://www.nytimes.com/2019/05/22/us/baltimore-ransomware.html?module=inline
Fuente: Hispasec