Meltdown y Spectre, ¿qué son?

Si 2017 fue el año de los grandes ataques informáticos (o al menos el año en el que coparon titulares), 2018 ha comenzado de forma nefasta. Hace pocos días se revelaba que un error de diseño en los microprocesadores fabricados por Intel en la última década -al que llamaron Meltdown- requería de parches para evitar poner en peligro los equipos que los implementaban.

Algunos procesos llevados a cabo requerían de privilegios «bajos» y podían acceder al kernel del sistema operativo: el núcleo que permite acceder a los programas al hardware de la computadora. Su centro neurálgico. Un ataque a esa vulnerabilidad permitiría al software intruso monitorizar todo lo que hace el ordenador y acceder a cualquier contenido de la memoria. Si, además, el ordenador forma parte de una red, el problema se multiplica al poder acceder a cualquier punto de la plataforma.

De esta forma, no solo la seguridad de los equipos que incorporaban chips Intel quedaba en entre dicho, sino que la solución, mediante un parche podría afectar seriamente al rendimiento de los dispositivos. Sin importar si utiliza Windows, OS X o Linux.

Investigadores del Project Zero de Google, la Universidad de Tecnología de Graz, la Universidad de Pennsilvanya, la Universidad de Adelaida así como expertos de las empresas Cyberus y Rambus, sin embargo, tardaban pocas horas en explicar que esta vulnerabilidad era solo el principio del «desastre». En primer lugar porque afectaba también a procesadores Qualcomm y AMD. En segundo lugar porque no solo era una «puerta trasera» para dispositivos móviles y ordenadores personales, sino porque suponía un problema para todas las plataformas de computación en la nube de modo que, en función de cómo se configure ésta es posible acceder a datos de terceros.

En resumen, Meltdown afecta al aislamiento fundamental existente entre las aplicaciones y los sistemas operativos y que sirve para evitar que las primeras accedan a datos críticos de otros programas. Spectre, va más allá y rompe el aislamiento entre las diversas aplicaciones con lo que se puede aprovechar cualquiera de las instaladas en el dispositivo para acceder a otras aunque estas últimas sean «más seguras». Aunque Spectre es más difícil de explotar (y de mitigar) el problema reside en que no hay posibilidad de desarrollar parches para él.

Si tenemos en cuenta que todos los equipos son susceptibles de sufrir el segundo problema y que todos los procesadores Intel (a excepción de los Intel Atom anteriores a 2013 y los Itanium) posteriores a 1995 emplean el sistema «out of order» que incluye el fallo del que se aprovecha Meltdown, la cifra de afectados es altísima.

El problema reside en lo que los expertos han llamado «ejecución especulativa». Más o menos funciona así: cuando un procesador Intel ejecuta código y llega a un punto en un algoritmo en el que las instrucciones se bifurcan en dos direcciones, para ahorrar tiempo, intenta «adivinar» que va a suceder y cómo se va a seguir ejecutando el programa. De esta forma, si su apuesta es errónea, desestima el cálculo y vuelve hacia atrás para coger la opción correcta. Pero como los procesadores Intel no disciernen los procesos que requieren privilegios bajos de aquellos que pueden acceder a la memoria restringida del kernel del sistema operativo, un hacker puede hacer que un procesador guiado por una aplicación acceda a información crítica del sistema operativo.

El procesador va «demasiado lejos ejecutando instrucciones que no debería» en palabras de Daniel Gruss, uno de los investigadores. Además, como la información que desecha si no acierta a la primera pasa primero por la memoria caché, un hacker puede engañar al procesador para que lance la información que desea extraer (claves, por ejemplo) y hacerse con ella antes de ser borrada.

Lo peor es que Intel, de momento, no solo minimiza el fallo (Meltdown solo les afecta a ellos) y lanza balones fuera sobre problemas que también tienen los diseños de AMD y con arquitectura ARM.

AMD explica que solo le afecta una de las dos versiones de Spectre y que no lo es en todos sus modelos (además de garantizar ponerse manos a la obra para buscar una solución). ARM, por su parte, justifica que tan solo se puede realizar el ataque de forma local (lo que debería blindar los chips con su arquitectura de ataques remotos).

Microsoft ha lanzado un parche urgente para todos sus usuarios de Windows 10. Apple ha implementado un parche parcial en su actualización 10.3.2 para OS X y Google, por su parte, lanzará el 20 de enero una actualización de Chrome para mitigar «al máximo» el error, a la vez que anunció que es prácticamente imposible ejecutar Spectre en un dispositivo Android.

Las plataformas en la nube como Azure o Amazon anunciaron un adelanto de sus mantenimientos para blindarse frente a estas vulnerabilidades y prometen que no afectará a los usuarios.

Wannakiwi, una de las herramientas más eficaces para liberarte del virus

Diez días después de su eclosión -y de acaparar momentáneamente todas las portadas- el ransomware Wannacry sigue activo. Son muchos los usuarios afectados que tienen bloqueados los datos de sus equipos y, aunque había aparecido algunas herramientas pensadas en solventar el problema, todas ellas han parecido meros parches que no evitaban tener que desembolsar el «rescate» por el mismo.

Los datos de Kaspersky Lab indican que casi un 98% de los equipos infectados trabajan con una versión de Windows 7 (no actualizada correctamente). Curiosamente, aunque el agujero de seguridad parecía que iba a ser más grave en Windows XP (ya sin soporte), solo 1 de cada 1.000 usuarios afectados por el ransomware empleaba esta antigua versión del software de Microsoft.

Precisamente por eso el lanzamiento de Wannakiwi es una de las mejores noticias: basada en Wannakey, vas más allá que esta al poder descifrar datos secuestrados en ordenadores con versiones Windows XP, Windows 7 y Windows 2003. Además, por lo que hemos podido indagar en internet, hay usuarios con otras versiones posteriores como Vista, Server 2008 y Server 2008 R2 que también han podido liberarse gracias a este software.

Xataka

La herramienta, desarrollada por Matt Suiche -un reputado experto en seguridad que se ha involucrado desde el primer momento en solventar la crisis del ransomware-, ha obtenido la certificación de Europol.

Su funcionamiento, curiosamente, se aprovecha de otra debilidad de la plataforma: Microsoft Cryptographic Application Programming Interface, el sistema que emplea tanto el sistema operativo como Wannacry para encriptar ficheros.

Para recuperar su información es vital no reiniciar el equipo tras detectar la infección y descargarse directamente la aplicación para ejecutarla cuanto antes. Cuanto antes se ponga a trabajar Wannakiwi antes se pondrá a trabajar en el desbloqueo de fichero y antes conseguirá que toda la información quede secuestrada.

Ransomware, ¿cómo ha sido el ciberataque que ha aterrorizdo al mundo digital?

Este es el mapa de afectados por el ataque de ransomware del pasado viernes. Una frase amenazante hizo que el caos se «apoderara» de las ventajas de la era digital: «oops, tus archivos acaban de ser cifrados. Si quieres recuperarlos tendrás que pagar.» En el Estado la más afectada era Telefónica. Cientos de ordenadores de empleados quedaban secuestrados.

El Ministerio de Interior hacía público a lo largo del día que al menos 10 grandes compañías españolas se habían visto afectadas por el chantaje digital. Una pequeña parte que afectó a cientos de empresas en 155 países y cientos de miles de ordenadores. Uno de los casos más llamativos: 40 hospitales en Reino Unido.

La herramienta que se empleó para este ataque a gran escala -el primero de este tipo- fue WannaCry, una clase de malware conocido como WanaCrypt0r o WCry. Las primeras alarmas -aquí- llegaron cuando empleados de la teleco alertaron de que para liberar sus ordenadores necesitaban pagar 300 Bitcoins. Se iniciaba el protocolo de emergencia: se apagaban todos los ordenadores y no se encenderían hasta nueva orden.

Vodafone España, Gas Natural, Iberdrola, Everis, Capgemini… el número aumentaba, lo que hizo que muchas empresas -el ataque iba a todos los sectores y todos los tamaños- decidieran optar por apagar ordenadores. El Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y el Instituto Nacional de Ciberseguridad (Incibe) se pusieron manos a la obra para averiguar el calado del ataque. Aunque el número de empresas era reducido, el nombre de las mismas era muy llamativo.

La punta del iceberg de un ataque global que se extendió con una velocidad inusitada. Kaspersky detectó hasta 45.000 ataques con WannaCry. Las cifras del ataque eran devastadoras en países como Rusia, Ucrania, India, Taiwán y Tayikistán. Avast, por su parte, detectó más de 57.000 en 28 idiomas, MalWare Tech, empresa que detectó el primer ransomware, sube la cifra hasta los 91.000 -de los que casi 90.000 ya están offline).

El caso más difícil, como hemos dicho antes, fue el de Reino Unido: 40 hospitales y centros de salud con médicos que no podían acceder a las fichas de sus pacientes. Operaciones que tuvieron que ser retrasadas y servicios de urgencias bloqueados.

En Estados Unidos FedEX anunciaba que tenía que dejar apagados sus ordenadores hasta el lunes -incluido-. Portugal Telecom y Megafon (operadora rusa) admitían ataques que mermaban su funcionamiento. Renault-Nissan tenía que cesar la producción en algunas de sus plantas. Universidades en Italia y China. Bancos en Rusia, ayuntamientos en Suecia.

El Confidencial

El factor diferencial

Hasta ahora el ransomware siempre había sido relativamente fácil de solucionar. Alguien enviaba miles de correos infectados y siempre había alguien que abría el adjunto con el archivo ejecutable que le hacía perder el control de su ordenador. Sin embargo, hasta ahora, nunca un ordenador infectaba a otro.

Ese ha sido en este caso el factor diferencial. Aprovechando una vulnerabilidad de Windows se infectaba el primer ordenador e inmediatamente el virus se ponía a buscar otros equipos con la misma vulnerabilidad para entrar y ampliar la red. Es lo que se conoce como un gusano.

La vulnerabilidad de la plataforma de Microsoft, conocida como EternalBlue, es un fallo en el protocolo de intercambio de archivos dentro de una misma red conocido como Server Message Block o SMB. El fallo, desconocido durante mucho tiempo, salió a la luz cuando WikiLeaks desveló que era el sistema que empleaba la NSA estadounidense para entrar en ordenadores y controlar sus operaciones en misiones de espionaje.

El grupo de hackers «ShadowBrokers» lo desveló con la intención de demostrar las malas artes de la inteligencia estadounidense el pasado 14 de abril lo que hizo que Microsoft tuviera que lanzar un parche para evitar lo que precisamente ha ocurrido. Si se hubieran actualizado los ordenadores -algo que siempre recomendamos desde aquí sea cual sea el sistema operativo que utilicemos- el ataque hubiera sido mucho menor: se hubiera reducido a aquellos que aceptaron la descarga del ejecutable y nunca se hubiera creado una red de equipos infectados.

Descartado que fueran hackers patrocinados por algún gobierno -se barajó el chino- desde el momento que pidieron un rescate económico, se puede decir que las ganancias del ataque han sido más bien escasas: poco más de 26.000 dólares. Si bien, su impacto en la sensación de estar completamente desamparados ante un ataque a gran escala han sido enormes.

La solución

La solución a este ataque vino de la mano de un joven de 22 años del Sur de Inglaterra -nada más se sabe- que investiga para Malware Tech y que sintió que debía intentar desensamblar el código del virus cuando vio que se estaba atacando a hospitales y centros de salud.

Con la ayuda de Darien Huss de Proofpint y encontró el dominio de internet www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com que compró en Namecheap.com por 10,69 dólares. Desde el primer momento detectó más de 5.000 conexiones por segundo. Básicamente cuando el virus se instalaba en un equipo intentaba conectarse con la web. Si lo podía hacer bloqueaba el equipo y si no podía -porque estaba actualizado-, se retiraba.

Esto hizo que Estados Unidos se «salvara» puesto que cuando se puso en marcha el parche estaba iniciando el despliegue en el país. Al parecer, los analistas creen que el ataque se trataba de una prueba y que quien lo desarrolló dejó un botón del pánico por si todo esto se iba de las manos. Es lo que en ciberseguridad se conoce como la «prueba de concepto» de un virus. Si bien, desde otras fuentes dicen que lleva habiendo oleadas de este tipo de ataques desde finales de marzo.

Gmail, víctima de phising

El pasado miércoles GMail, el servicio de correo de Google estuvo en boca de todos. ¿Por un nuevo servicio? ¿Una actualización? Nada más lejos de la realidad: miles de usuarios reportaron que bajo el título «X (alguien de la lista de contactos) te ha compartido un documento en Google Docs» se escondía un malware que en poco tiempo se traspasó a millones de equipos entre ellos a trabajadores de BuzzFeed, New York Magazine, Gizmodo, etc. que avisaron del problema al público.

Aunque Google se dio prisa en bloquear el malware, el daño estaba hecho y aún ahora hay equipos que podrían estar infectados. El funcionamiento era muy sencillo (y eficaz), al entrar en el mail había un enlace a una página de Google que nos daba a elegir el la cuenta con la que entrar al documento. Posteriormente se «otorgaban permisos» a Google Docs -una falsa app- para entrar en todo nuestro perfil. Y eso, de paso, abría la puerta para que todos nuestros contactos entraran en la cadena de phising.

En un primer momento Google solo pidió que no se abriera el mail y que directamente se borrara. Sin embargo se mostró como una opción poco eficaz pues lo hicieron a través de redes sociales y muchas personas no pudieron acceder a las mismas durante sus turnos de trabajo. Poco tiempo después Google oficializaba que había sucumbido a un ataque.

Es cierto que tan solo tardaron una hora en dar con el problema y bloquear la aplicación, pero también lo es que la aplicación estaba programada para hacer una copia de los contactos y contenidos de cada cuenta de usuario lo que ha hecho que la empresa de Mountain View haya advertido que aún puede haber equipos y cuentas infectadas.

Precisamente por eso, la empresa del buscador ha pedido a sus millones de usuarios que entren en sus cuentas para revisar uno a uno los permisos de acceso que han otorgado a cada aplicación y que eliminen «Google Docs».

De esta forma, aunque no estaremos a salvo si el desarrollador ha hecho una copia de seguridad de los contenidos, nos permitirá que la aplicación no pueda seguir entrando. Los usuarios deberán estar alerta durante un tiempo y la empresa, sobre todo, deberá ganarse de nuevo la confianza de aquellos que pensaban que era prácticamente infranqueable.

Ciberataques, ¿se pueden asegurar?

El reciente ciberataque contra Sony ha revolucionado completamente el sector puesto que, por primera vez, el gran público ha sido consciente de la posibilidad de que un «particular» sufra la ira de los hackers y, sobre todo, del gran impacto económico que puede tener sobre la economía diaria. Así, la pérdida y publicación de guiones y de datos de los empleados fue tasada por la propia empresa en varios cientos de millones de dólares.

Los últimos estudios llevados a cabo por la industria arroja que los costes de estos ciberataques se están disparando. Así, la empresa estadounidense Target ha reconocido que los ataques que han sufrido algunos de sus 110 millones de clientes les han costado 248 millones de dólares en el último año. Mientras, las amenazas sobre empresas y particulares siguen aumentando. Buen ejemplo es el último informe de Kaspersky Labs que arroja una cifra millonaria de ordenadores infectados por un software espía en al menos 30 países.

Sin embargo, todavía nadie se ha atrevido a hablar de las posibles pérdidas a afrontar en caso de que el ataque se dirigiera contra un gran banco o una de las empresas más importantes del mercado. Esto ha hecho que la Administración Obama y el sector asegurador se hayan puesto a trabajar conjuntamente para encontrar el modo de aumentar las coberturas frente a ciberataques.

Actualmente el mayor seguro contra un ataque cibernético cubre 500 millones de dólares. No obstante, la mayor parte de las grandes multinacionales tienen problemas para conseguir coberturas mayores a 300 millones. Todo un problema si tenemos en cuenta que fuentes consultadas por Financial Times explican que los daños por un importe mayor a 1.000 millones son ya perfectamente factibles.

Las aseguradoras argumentan que el problema es poner un precio a los riesgos. Sobre todo porque estos aumentan cada día y, al ser digitales, son mucho más difíciles de tasar que los físicos. Empresas como consultoras se quejan del enorme impacto que tendría un ataque contra los datos que atesoran de sus clientes y la necesidad de tener coberturas que permitan mitigar los daños que se realizaran contra terceros.

Stephen Catlin, CEO del brazo asegurador de Lloyd, una de las principales aseguradoras del mundo, explicó recientemente que los ataques informáticos son la mayor amenaza y el mayor riesgo sistémico al que se han enfrentado nunca. Además, aseguro que deben ser cubiertos por los gobiernos ya que los balances de las aseguradoras no son capaces de hacer frentes importes. ¿Ellos solo deben hacerse cargo de los ingresos millonarios de estas cuentas que no pueden proteger?

El ataque cibernético a la base de datos de Anthem, el segundo mayor seguro médico de Estados Unidos, puso al descubierto a 80 millones de números de la Seguridad Social. El problema es que Anthem tiene un seguro cibernético de solo 150 millones de dólares, una cifra absolutamente insuficiente en caso de que el ataque hubiera ido un paso más allá: solo los gastos de informar a sus clientes de los daños causados como obligan la ley federal le supuso un gasto de 40 millones de dólares. Y esto sin tener en cuenta los gastos de la demanda civil.