La escalada del ransomware en la asistencia sanitaria
Una reciente encuesta del HIMMS demuestra que más del 50 por ciento de los proveedores de asistencia sanitaria en Estados Unidos se vieron afectados por algún tipo de ataque de ransomware en los últimos 12 meses. Esta tendencia también ha empezado a notarse en Europa, donde dos hospitales alemanes han sufrido recientemente una vulneración de sus sistemas. Las instituciones sanitarias deberían tomar las medidas adecuadas para garantizar que el ransomware dirigido a los servicios médicos no se extienda por el continente.
Los ciberdelincuentes se han dado cuenta de que las instituciones sanitarias son blancos fáciles, dada la delicada naturaleza de los datos de los pacientes y la dependencia de los sistemas informáticos para ejecutar correctamente los flujos del trabajo clínico. Imagine una situación en la que no se puede acceder a los registros del laboratorio en un servicio de emergencias, lo que podría interrumpir la atención a pacientes en estado crítico o impedir que los médicos puedan realizar un diagnóstico por no poder acceder a un historial. En estos casos, si la vida de un paciente está en juego, pagar un rescate podría ser la mejor salida.
Cualquier dispositivo conectado puede verse afectado, incluidos los teléfonos móviles, los equipos médicos, los wearables o los sensores de IoT.
El ransomware ha estado presente desde hace mucho tiempo pero nunca ha sido tan popular o rentable como lo es ahora. A diferencia de otros tipos de malware que intentan robar datos, el ransomware pretende provocar alteraciones, ya sea encriptando archivos o datos valiosos, o bloqueando el sistema hasta que se cumplan las exigencias. Robar un número de tarjeta de crédito y utilizarlo para cometer un fraude es cada vez más difícil, ya que es necesario realizar muchos pasos, y los bancos y los establecimientos disponen de controles en cada etapa del proceso para detectar e impedir las operaciones fraudulentas. Sin embargo, el ransomware requiere menos pasos hasta su ejecución y aprovecha la urgencia y el pánico que provoca para forzar el pago del rescate. Asimismo, el anonimato ofrecido por la red TOR (también conocida como Dark web o red oscura) y los Bitcoins ofrecen la vía de entrada perfecta. Según Forbes, el ransomware Locky infecta a unos 90.000 sistemas al día y normalmente exige a los usuarios el pago de 1 Bitcoin (algo menos de 500€) para desbloquear los sistemas. En Beazley Breach Response Services afirman que, durante el primer trimestre de 2016, se reportaron 18 incidentes en servicios sanitarios que podrían atribuirse a estos ataques malintencionados (ransomware).
Vulnerabilidad crítica en el spool de windows (parchea!)
En julio Microsoft resolvió 50 vulnerabilidades. Una de ellas, probablemente la más grave, afecta a todas las versiones de Windows y se encuentra en la cola de impresión, a la cual van todas las impresiones que realizamos. El atacante, mediante esta vulnerabilidad en este servicio, puede tomar el control total del sistema operativo con un simple mecanismo.
La vulnerabilidad identificada como MS16-087 está destinado a corregir dos vulnerabilidades. La más grave podría permitir la ejecución remota de código si un atacante es capaz de ejecutar un ataque «Man-in-the-Middle» (MITM) en una estación de trabajo o servidor de impresión, o la creación de un servidor de impresión falso en la red atacada.
Este fallo crítico, catalogado bajo el código CVE-2016-3238, se encuentra en los drivers de la impresora, ya que estos tienen permisos de sistema en Windows. El atacante puede poner el driver en la impresora de tres maneras distintas. La primera, hackeando la impresora; la segunda, loguearse en la impresora (muchas de ellas tienen la contraseña de serie) y; la tercera, crear una impresora falsa en la red.
Una vez el usuario se conecta a la impresora, el código se ejecuta. El fallo permite a un atacante instalar malware a distancia, y ver, modificar o eliminar archivos del ordenador, e, incluso, crear cuentas de usuario con permisos de administrador. El ataque fue descubierto por una empresa de seguridad llamada Vectra Networks. Mostraron algunos detalles sobre la vulnerabilidad, pero no mostraron exactamente lo que hay que hacer para poder ejecutarla.
¿Qué es una Auditoría de Seguridad?
Se entiende como auditoría de seguridad, a la realización de una serie de pruebas, siempre controladas, para determinar el estado en el que se encuentra el hosting de una web a nivel de seguridad informática.
Se actuará como si de un atacante real se tratara y se irán anotando las vulnerabilidades encontradas para, posteriormente, detallarlas en el informe final de auditoría.
No obstante, si se encontrara alguna vulnerabilidad crítica, se reportará al instante sin esperar a la realización del informe final.
Si se encuentran vulnerabilidades críticas que puedan afectar a la estabilidad de la infraestructura, se hablará con el cliente, y se evaluará si es conveniente explotarla (ya sea en horario laboral o fuera de él), para determinar si se trata de un falso positivo, o por lo contrario, la vulnerabilidad existe. En cualquiera de los casos, el cliente decidirá si se realiza, o por lo contrario, se documenta en el informe final sin realizar dichas pruebas.
A la finalización de la auditoría, en un plazo máximo de 2 semanas, se entregará un informe al cliente, el cual estará formado por:
- Resumen ejecutivo
- Riesgo de vulnerabilidades
- Tabla de vulnerabilidades encontradas
- Descripción detallada de cada una de las vulnerabilidades encontradas
- Conclusiones