Conecta con nosotros

A Fondo

Resumen de lo ocurrido con WannaCry, ¿aún no te has enterado?

Publicado el

WannaCry

Durante el pasado viernes, 12 de mayo, se produjo un ciberataque a escala mundial mediante una combinación de ataque de un gusano, procedente del código filtrado por Shadow Brokers del exploit EternalBlue desarrollado por la NSA, junto con un ransomware denominado WannaCry. El ataque se desplegó de forma simultánea y a nivel global, afectando a multitud de países y corporaciones en todo el mundo.

La empresa S21sec ha realizado un amplio resumen sobre el tema para compartir las últimas actualizaciones, centradas especialmente en las acciones
correctivas, en el caso de veros afectados, y en las acciones preventivas para tratar de evitar esa infección e impedir que siga propagándose.

El gusano explotaba una vulnerabilidad del sistema operativo Windows para “infectar” otros ordenadores vulnerables que estuvieran en la misma red local que la máquina afectada, consiguiendo una velocidad de propagación muy alta. El punto de entrada de este malware se cree que ha sido a través de un email que incluía un fichero adjunto, por lo que en todos los casos era necesaria la actuación de un usuario poco informado que abriera por error el mail y el archivo en cuestión, produciéndose a continuación una propagación muy rápida en toda la red de la empresa afectada.

La vulnerabilidad de Windows utilizada por esta versión de WannaCry es conocida como EternalBlue y ataca al protocolo de compartición de ficheros SMB de Windows. Esta vulnerabilidad fue anunciada y corregida por Windows el 14 de Marzo de 2017, con nombre MS17-010. El 14 de Abril de 2014 Shadow Brokers filtró la información relativa a un exploit desarrollado por la NSA para esta vulnerabilidad.

En general, el impacto que ha tenido este virus se puede vincular a varias causas:

  1. Problemas de concienciación/ formación del personal en el sector empresarial – para que no abran ficheros que vienen en emails “sospechosos”.
  2. Velocidad de respuesta de las empresas en aplicar los parches o correcciones de Windows y otras empresas suministradoras de productos y soluciones software – una respuesta no inmediata en la aplicación de estos parches o correcciones puede dejar a una empresa en situación de desprotección.
  3. Potencial de las empresas en detectar que están sufriendo los efectos de un ataque y en ser capaces de activar mecanismos de respuesta.

Ransomware WannaCry

Una vez la máquina está infectada por el gusano, éste extrae un payload con el ransomware, en concreto de la familia WannaCry, que es el nombre o palabra clave asociado a la oleada de noticias en todos los medios de comunicación. El malware de tipo “ransomware” es un tipo de amenaza que cifra los archivos de la máquina infectada solicitando un rescate económico, normalmente en bitcoins, ya que es un tipo de criptomoneda aceptada prácticamente a nivel global y que hace virtualmente imposible el rastreo de las personas o entidades que reciben las transferencias.

La decisión de multitud de empresas de pedir a sus trabajadores apagar los ordenadores y desconectarlos de la red se ha debido a que se exponían a perder información sensible, no sabiendo de primera mano si esta podría ser recuperada mediante herramientas de descifrado o cuál podría ser el impacto real en los ordenadores o sistemas de toda la empresa. En la decisión de apagar las máquinas ha influido también la rápida propagación que estaba realizando el gusano.

Cabe destacar que, en esta versión del virus WannaCry, el cifrado de los archivos prosigue tras la aparición de la nota de extorsión, al contrario que en otras familias de ransomware que no muestran la nota hasta que el cifrado no se ha completado (esto hace recomendable que cualquier usuario que vea un mensaje de rescate en su pantalla proceda al apagado inmediato de su ordenador y se pongan en contacto con su departamento o empresa de servicios de IT o ciberseguridad).

Otro efecto que se ha observado durante la propagación del gusano ha sido el de ver ordenadores bloqueados y/o mostrando pantallas azules. Esta situación se produce como consecuencia del intento del virus de utilizar la vulnerabilidad antes descrita, provocando en ocasiones un fallo del sistema y el consiguiente bloqueo o reinicio. En estos casos, se recomienda apagar dichos ordenadores y evaluar posteriormente cuál ha podido ser el nivel de afectación (número de archivos encriptados).

Mecanismos del malware para impedir que los equipos infectados se protejan

Con el fin de evitar que los usuarios puedan intentar protegerse de forma automática contra la vulnerabilidad de Windows que permite su propagación por la red de la empresa, desde S21sec han observado que el malware desactiva el mecanismo de actualizaciones de Windows mediante el borrado de la siguiente clave de registro:

HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\Schedule\CompatibilityAdapter\Signatures\Microsoft
Update Scheduler.job

En cuanto a las cantidades exigidas por el ransomware para el rescate de los ficheros afectados: El ransomware avisa a los usuarios infectados que disponen hasta hoy día 15 de mayo para ingresar la cantidad de rescate exigida (entre 300 y 600 dólares, a pagar en bitcoins). Transcurrido ese tiempo, dicha cantidad se doblaría, dándose al usuario (en realidad víctima del ataque más que usuario) otros cuatro días para poder realizar el pago. Pasado el plazo de 7 días desde la infección, el malware anuncia que se perderá la oportunidad de realizar el ingreso y de poder descifrar los ficheros afectados y/o se producirá el borrado de los mismos.

Primera referencia al Malware WannaCry

Analizando la información disponible en los sistemas de vigilancia digital de S21sec, la primera referencia al malware WannaCry aparece en Twitter el 11 de febrero de 2017, generada por un perfil canadiense con apenas 10 seguidores (@RemovethreatPC) y que se centra en presentar noticias acerca de diferentes virus y cómo afrontarlos. En ese momento, todavía no había conciencia del impacto que tendría a futuro el malware al que hacía referencia.

Datos Adicionales

No está claro cómo se ha producido la ejecución del ransomware, pero se especulan varias posibilidades. La tesis más probable sería que se haya producido a la misma hora un envío masivo de correos de spam a miles de direcciones de correo de empresas, organismos y entidades públicas y usuarios particulares, con lo que las infecciones y propagación por la red se habrían producido simultáneamente. La siguiente hipótesis que se está valorando, es que el ransomware estuviera programado para ejecutarse a una hora determinada del 12 de mayo, pero para eso hay que realizar un análisis más exhaustivo de la muestra y no se dispone por el momento de suficientes datos.

Finalmente, la tercera opción posible es que la entidad responsable de la difusión del gusano haya utilizado una “botnet” (conjunto de máquinas previamente comprometidas) y el botmaster haya lanzado un comando para ejecutar el ransomware en todos los bots o máquinas comprometidas a la misma hora. Se irá teniendo información más detallada según se avance en el análisis de las muestras de malware obtenidas y se pueda estudiar su comportamiento y realizar un análisis forense.

Como parte de las medidas de mitigación lanzadas desde el ataque, para la primera muestra se ha tomado el control del dominio hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com/, que era el dominio programado por defecto en el malware o gusano y con el que necesita comunicarse necesariamente para su propagación. El control de este dominio por parte de las autoridades y empresas involucradas en la gestión del incidente impedirá que el virus continúe su expansión, al menos en su versión inicial.

Sin embargo, se han observado otras muestras con al menos otro dominio diferente: hxxp://www.ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com
Incluso parece haberse publicado al menos una muestra que no llevaría la opción de kill switch (que permite o no la propagación), aunque al parecer el archivo de ransomware estaría corrupto y no permitiría la ejecución del mismo.

Los pasos para evitar una posible infección y diseminación del gusano serían:

  1. Parchear la máquina si fuera vulnearble con el parche de Microsoft MS17-010
    (https://technet.microsoft.com/en-us/library/security/ms17-010.aspx)
  2. Deshabilitar las macros
  3. Deshabilitar SMBv.1

En relación con las medidas correctoras o preventivas a aplicar en ordenadores con sistemas operativos de Microsoft, la propia empresa ha publicado un comunicado con un parche (KB4012598) para protegerse del ataque y recomienda su instalación en todas las versiones de Windows potencialmente afectadas. Se puede encontrar más información al respecto en el siguiente link: https://blogs.technet.microsoft.com/
msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

Otros enlaces de interés para prevenir y mitigar el ataque son los que han ofrecido: INCIBE: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/importante-oleada-ransomware-afecta-multitud-equipos ; CCN-CERT: https://loreto.ccn-cert.cni.es/index.php/s/tYxMah1T7x7FhND

Afectación

Según noticias del sector, se habrínan producido al menos 20.000 ataques, aunque hay otras fuentes que amplían ese número. El número de países afectados se estima que está en el entorno de 150, apareciendo Rusia como país en el que el impacto habría sido mayor. No parece un ataque dirigido contra una empresa o país específico, dado que ha afectado a múltiples corporaciones de multitud de sectores y en diversos países, con lo que enten-demos que el fin del ataque ha sido económico, como suele ser el caso con el ransomware. La diferencia más notable frente a casos anteriores ha sido el alcance global y su rapidísima capacidad de propagación en las empresas afectadas.

El equipo de profesionales de MCPRO se encarga de publicar diariamente la información que interesa al sector profesional TI.

Top 5 cupones

A Fondo

La tarjeta con chip cumple medio siglo

Publicado el

tarjeta

Un mes de septiembre del año 1968, los ingenieros alemanes Helmut Groettrup y Juergen Dethloff, presentaron la primera patente de un circuito de identificación, y G+D desarrollaría posteriormente las tres primeras aplicaciones basadas en esta tecnología. Todo esto, 50 años después, ha desembocado en el actual entorno de tarjetas con chip, usadas por 1.000 millones de usuarios diariamente en todo el mundo y por operadores de telecomunicaciones, fabricantes de coches, de dispositivos móviles, empresas comerciales y organismos de transporte o salud.

Coincidiendo con este aniversario, la oficina de patentes alemana ha equiparado a las tarjetas con chip con otros hitos de la tecnología como el motor diésel, el frigorífico, el tubo de rayos X o el formato de archivo MP3. Según este organismo, sin esta tecnología no hubiera sido posible construir el mundo que hoy conocemos plenamente conectado y serían imposibles realizar procesos de pago globales, seguros y sin efectivo, por no hablar de los avances en seguridad que han permitido en smartphones, wearables y dispositivos IoT.

Breve historia

La capacidad actual de almacenar datos bancarios y de identidad digital en solo unos pocos milímetros cuadrados es gracias al trabajo de Juergen Dethloff (1924-2002) y Helmut Groettrup (1916-1981). Estos ingenieros alemanes presentaron el 13 de septiembre de 1968 la primera patente del circuito de identificación. Su primer objetivo era el de recibir información y dotarla de un significado específico a través de un sistema de asignación especial con puntos de transmisión y recepción.

Un año después de la presentación de la primera patente, Dethloff y Groettrup presentaron en Alemania un desarrollo que permitía la transmisión inalámbrica por medio de acoplamiento inductivo (es decir, tecnología RFID o NFC). Esta segunda versión eliminó las limitaciones de la tarjeta de banda magnética en términos de baja confiabilidad y falta de protección contra el fraude.

Dethloff llevó la tecnología aún más lejos en una nueva solicitud de patente introduciendo microprocesadores y EEPROM (ROM programable y borrable) para hacer que el manejo de datos fuera más seguro y flexible. Tras ello, G+D entró en este sector comprando la patente y desarrollando tres aplicaciones a partir de esta tecnología.

Con estas aplicaciones fue posible desarrollar la inicialización segura a través de ubicaciones autorizadas en la producción de tarjetas, y también se definieron las propiedades de escritura basadas en la memoria de lectura, el uso de una bomba de carga para evitar manipulaciones durante el proceso de escritura, y el bloqueo o destrucción de la información en caso de un ataque. Todas estas aplicaciones siguen vigentes hoy en día, ya que se han convertido en aspectos clave de la seguridad y la adaptabilidad de la tarjeta con chip.

Según David González, director de ventas de G+D Mobile Security para Europa y el Norte de África, “las tarjetas con chip son indispensables en nuestra vida cotidiana. Las usamos a diario en cajeros automáticos, cuando compramos, cuando vamos al médico, en el transporte público, en las tarjetas de identidad electrónicas, en teléfonos móviles, para acceder a edificios y equipos informáticos, y cada vez con más frecuencia en los dispositivos IoT. No solo eso, –termina diciendo González–, también han fortalecido un uso seguro y flexible de la conectividad móvil, mayores niveles de seguridad para tarjetas de identidad y pasaportes y, en última instancia, la protección de nuestras identidades digitales. Sin el desarrollo de la tarjeta con chip y sus diversas aplicaciones impulsadas por G+D, el mundo de hoy en día no sería concebible”.

Continuar leyendo

A Fondo

Apple completa el pago de impuestos atrasados a la UE

Publicado el

Apple

Apple ha pagado a Irlanda la totalidad de impuestos atrasados exigidos por la Unión Europea y que ascienden a 14.300 millones de euros, intereses incluidos.

El anuncio ha llegado de la mano de la Comisaria europea de Competencia, Margrethe Vestager, tras la confirmación (se rumoreaba en los últimos días) del Ministro de finanzas irlandés. Vestager ha anunciado también una propuesta para que la Comisión Europea retire la demanda contra Irlanda por ayudas ilegales a Apple.

Aunque la firma de Cupertino haya abonado los impuestos e intereses exigidos, el dinero seguirá cerrado en una cuenta administrada por un fondo fiduciario a la espera de la resolución definitiva de la alta justicia europea a la apelación de Irlanda.

De hecho, el ministro irlandés asegura que su gobierno sigue sin aceptar el dictamen de la Comisión Europea, si bien la “recuperación completa” de la deuda de Apple “demuestra que la intención del Gobierno es siempre cumplir con sus obligaciones legales”“Como miembros comprometidos de la Unión Europea, siempre hemos confirmado que recuperaríamos las supuestas ayudas estatales”, ha asegurado.

Irlanda: un paraíso fiscal para Apple

Hace tiempo que la Comisión Europea considera que Apple (y otras grandes tecnológicas) practican sofisticadas operaciones financieras y fiscales para pagar el menor número de impuestos en Europa.

Una “ingeniería fiscal” que aprovecha resquicios legales de los estados miembros (e intereses puntuales de algunos de ellos como Irlanda), filiales varias y transferencias de facturación a centrales establecidas en determinadas países que les permiten pagar tasas impositivas muy por debajo de la media del Viejo Continente y del resto de empresas no digitales.

El mayor ejemplo es Apple e Irlanda, un país que de facto actúa como un paraíso fiscal dentro de la UE, permitiendo que el gigante de Cupertino pague un impuesto de sociedades (1-2%) muy por debajo de la media de la UE y del que pagan otras compañías, en lo que se considera contrario a los intereses del resto de estados en los que opera la compañía.

Irlanda ha reducido artificialmente la factura fiscal de Apple y queremos enviar un mensaje claro: los Estados no pueden dar ventajas fiscales a las empresas, da igual que sean grandes o pequeñas, extranjeras o europeas”, explicó la comisaria Vestager, cuando anunció el dictamen contra Apple e Irlanda.

Apple se ha defendido argumentando que se ha ajustado siempre a la legalidad vigente en cada estado. Y es cierto. El problema es que el nivel de impuestos irlandés es una ayuda estatal ilegal según el dictamen de la Comisión Europea. Starbucks, BASF y Fiat-Chrysler, son otras multinacionales que se han visto obligadas a abonar lo que habían dejado de pagar con efectos retroactivos por el mismo motivo.

Apple en España

También los gobiernos europeos consideran que hay “grandes empresas que no pagan suficiente en los estados donde realizan un importante volumen de negocio” y están estudiando impuestos especiales para las tecnológicas.

El caso de Apple en España es ilustrativo. La mayor compañía mundial por capitalización de mercado y una de las que mayores beneficios obtienen respecto a sus ingresos, pagó a la Hacienda española solo 7,5 millones de impuestos entre 2010 y 2014. Apple Retail Spain registró en 2012 pérdidas de 22 millones de euros, cuando las tiendas físicas de Apple son (atendiendo a su superficie) las más rentables del mundo.

Todo ello es posible por el mismo artificio: Apple declara la práctica totalidad de los beneficios obtenidos en la Unión Europea en Irlanda.

Continuar leyendo

A Fondo

Las empresas que más ayudan a pymes y autónomos españoles

Publicado el

La consultora Advice Strategic Consultants, de la que es socio director general nuestro colaborador, Jorge Díaz-Cardiel, ha llegado a la conclusión de que la Fundación Bancaria La Caixa, El Corte Inglés, Telefónica, Inditex y CaixaBank son las cinco primeras grandes empresas que, según las pymes y autónomos españoles, “más les ayudan” en el desempeño de su labor empresarial.

Se trata de unos resultados basados en las encuestas realizadas a pymes, microempresas y autónomos de varios sectores, así como entrevistas a líderes de opinión de nuestro país para contrastar opiniones. Según la consultora,  la coincidencia entre los dos públicos entrevistados es casi del 99%, mientras que el Índice de confianza estadística es el 98,2%.

Así, el primer dato destacable es que Fundación Bancaria La Caixa, seguida por El Corte Inglés, Telefónica, Inditex y CaixaBank son las empresas que las pymes y autónomos españoles más y mejor valoran, porque les ayudan en el desempeño de su labor empresarial. Les siguen líderes sectoriales: Danone, Calidad Pascual, HP, Apple, Sage Spain, Microsoft, Meliá Hotels International, Iberostar, Seat, Naturgy (antes, Gas Natural Fenosa), Iberia, Abertis, Pelayo, Mapfre, Cellnex Telecom y MSD.

En cada sector hay no menos de una docena de empresas que destacan, en ámbitos que aportan mucho al PIB, sea el turismo, con un 11%, o las TIC, con un 8,4%, por ejemplo”, indicó Díaz Cardiel. En total, las pymes y autónomos entrevistados han analizado 400 grandes empresas en un período de encuestación de tres meses.

Son sectores y empresas sistémicos para la economía y sociedad españolas. “El caso más emblemático es La Fundación Bancaria La Caixa, presidida por Isidre Fainé y más conocida como La Caixa”, añade Díaz Cardiel. De CaixaBank dependen las participaciones en Telefónica (5%) y Repsol (9,5%), aunque Criteria Caixa también posee un 1% de Telefónica, siendo La Caixa, por tanto, el primer accionista de la operadora.

Razones de valoración positiva de las grandes empresas

Preguntados los entrevistados por qué CaixaBank, un banco, seguido de Santander (con Popular, que aportó muchos clientes pymes y autónomos al banco cántabro), BBVA y Bankinter son tan importantes para ellos, la respuesta fue clara: “el acceso a la financiación bancaria, que en el caso de las pymes españolas alcanza el 88 por ciento versus el 50 por ciento de Alemania y el 30 por ciento en Estados Unidos. Durante los años de crisis, la principal preocupación de pymes y autónomos fue la sequía del crédito empresarial, abierto a empresas solventes entre 2014 y 2018, lo que ha facilitado la inversión empresarial”, explica Jorge Díaz Cardiel.

Telefónica, seguida por los otros operadores de telecomunicaciones, es importante para las pymes porque les hace llegar la fibra óptica, acceso a Internet, convergencia, contenidos, cloud, big data e inteligencia artificial. Contenidos, mediante su alianza con Netflix y cloud, gracias a su acuerdo con Amazon Web Services (AWS). Vodafone, Orange y Más Móvil siguen el mismo camino, “imitando al incumbente y líder del mercado”.

Pymes y autónomos han destacado el crecimiento de Telefónica, en un extremo, por la oferta y la calidad y de Más Móvil, en el otro extremo, porque ofrece precios bajos. Al mismo tiempo, señalan que “Vodafone baja y Orange sube”.

El Corte Inglés y la economía y la sociedad españolas están indisolublemente unidas, dicen pymes y autónomos, que dicen conocer bien El Corte Inglés en un 99%. “El Corte Inglés provee de todo -productos, servicios-, ofrece calidad de servicio, buena atención al cliente y, cada vez más, comercio electrónico para comprar online”. Otros grandes de la distribución, le siguen, como Inditex y Mercadona, entre otros. En Tecnologías de la Información, HP (hardware) y Sage Spain y Microsoft (software).

“La hostelería tiene campeones nacionales, Melia Hotels International, primero, e Iberostar Group, segundo. La expansión internacional de Meliá está ayudando a muchas pymes a seguir al líder hotelero, efecto de arrastre, que también se aprecia en Inditex o, en el caso de CaixaBank, líder del mercado ibérico, de expansión de nuestras pymes al país vecino, Portugal”. La automoción está dominada por Seat, empresa que tiene, como el resto de su sector en menor medida, una industria auxiliar (muy fuerte) del automóvil, compuesta de pymes, pero muy dependientes de los planes de las grandes empresas automovilísticas, cada vez menos españolas y más foráneas, por “lo que las decisiones se toman fuera de España, lo que preocupa a pymes y autónomos en automoción”.

En Energía, lidera Naturgy (antes denominada Gas Natural Fenosa), seguida por Iberdrola; en Aerolíneas, Iberia; en Seguros, Pelayo, primero, y Mapfre, después; en Gestión de Infraestructuras inalámbricas, Cellnex Telecom, “el mejor valor en bolsa (Ibex-35, en 2017 y 2018), con revalorización del 62%”.

Parámetros

Lo que más valoran las pymes y autónomos de las grandes empresas:

  • Que se les provea de contratos, carga de trabajo (98%)
  • Ayuda en la generación de Empleo (95%)
  • Facilidad de acceso a la Financiación bancaria (90%)
  • Mejoras en la gestión (84%)
  • Mejoras en sus procesos internos y de relación con clientes (76%)
  • Formación, especialmente importante en Telecomunicaciones, TIC y servicios financieros (75%)
  • Digitalización, transformación digital, (70%) que se traducen en más productividad y más competitividad.
  • Internacionalización, salida al exterior, exportar (69%)

Continuar leyendo

Lo más leído

Suscríbete gratis a MCPRO

La mejor información sobre tecnología para profesionales IT en su correo electrónico cada semana. Recibe gratis nuestra newsletter con actualidad, especiales, la opinión de los mejores expertos y mucho más.

¡Suscripción completada con éxito!