Cinco Días me pidió una tribuna sobre el ataque de ransomware de la semana pasada, que titulé «Ransomware y alarmas» (pdf), y que incide exactamente en la misma tesis que ya expuse en opiniones anteriores: el tratamiento mediático del tema es completamente alarmista e injustificado, refleja una enorme (y preocupante) ignorancia en estos temas.
El ataque del pasado viernes no tuvo, en sí, nada de especial. Es un virus vulgar, con un mecanismo de infección aleatorio y nada sofisticado, que utiliza una vulnerabilidad publicada hace algún tiempo – concretamente el pasado marzo, en el dump de Wikileaks sobre la CIA y sus herramientas – y que no debería tener ninguna importancia ni ser más que una simple molestia en cualquier compañía que tenga una mínima rutina de copias de seguridad. No hay ningún tipo de «ataque» dirigido contra nadie en concreto, no hay ninguna amenaza que no estuviese ahí desde hace tiempo, y por supuesto, no hay ninguna ciberguerra (o no más de la que ya había, que no tiene nada que ver con el virus del pasado viernes). Ni esto es algo «especial», ni ha sido detenido, ni fue el primero de su clase, ni va a ser el último.
Lo más importante de este virus es que separa a las compañías que hacen bien las cosas de las que no lo hacen. Esta mañana me he despertado con un correo interno de una empresa en la que decían que «como no utilizamos Telefonica como red de telecomunicaciones, estamos a salvo»… ¿por favor, cómo es posible tanta ignorancia? El virus se transmite a través de cualquier usuario que haga clic en un enlace infectado, sea de Telefonica o de quien sea, y ninguna compañía está a salvo de que uno de sus usuarios haga clic en el enlace, salvo que someta a sus usuarios a una disciplina que sería más digna de un campo de concentración. La infección es, repetimos, a-lea-to-ria, cuanto más usuarios y ordenadores tengas, más probable es que la contraigas, y lo importante no es que te infectes, sino que sepas qué diablos hacer si te infectas.
En ese sentido, lo que toda empresa tendría que hacer esta mañana es:
- Asegurarse de que, en caso de disrupción de un equipo, tienen una copia de seguridad desde la que restaurarlo. Me da lo mismo que la disrupción se produzca por un ransomware o por un martillazo: si un equipo deja de estar disponible, toda su información tiene que poder ser recuperada inmediatamente desde una copia de seguridad. En esto no hay excusas: si lo tienes, bien. Si no, tienes algo mal en tus prioridades.
- Instalar la actualización de seguridad de Microsoft que soluciona esa vulnerabilidad. Esa actualización que siendo importante porque era evidente que sería explotada, Microsoft solo ofreció a aquellos usuarios que tenían mantenimiento en activo, pero no a quienes tenían versiones más antiguas de su sistema, a quienes no ofreció parches actualizados hasta el momento de la infección masiva. Al no ofrecer ese parche de manera inmediata e incondicional en su momento, Microsoft se convierte en vector y corresponsable de la infección del pasado viernes. Que Microsoft ahora pretenda echarse las manos a la cabeza y culpar a la NSA no reduce su responsabilidad en este asunto, ni aclara cómo fue el proceso que permitió que la NSA tuviese acceso a esa vulnerabilidad.
- Actualizar antivirus y herramientas relacionadas.
- Si la infección aparece en un equipo, desconectarlo inmediatamente de la red y comenzar el protocolo. No tratar de ocultarlo como si fuera alguna enfermedad vergonzante, sino todo lo contrario: hablar con todos los proveedores implicados y comunicar con los organismos adecuados por si hubiese algún tipo de novedad en el proceso, borrar el equipo o equipos afectados, y restaurarlos desde la copia de seguridad. Cuanto más transparencia, mejor. Las empresas tienen que entender que el procedimiento de negarlo todo solo empeora las cosas: en el mundo actual, hay cosas que son tan imposibles de evitar como la muerte y los impuestos, y que cuando ocurren, hay que demostrar que se tienen los procedimientos para solucionar los problemas que causan.
Lo mejor de este virus y de la exageración mediática que ha generado es que posiblemente convenza a algunas compañías irresponsables de que esas herramientas que utilizan para hacer su trabajo tienen unas necesidades de mantenimiento y de cuidado que, si no se llevan a cabo, terminan generando una disrupción de los procesos de negocio. Hay demasiadas compañías ahí fuera que no actualizan sus sistemas operativos ni sus antivirus, que no tienen una rutina de copia de seguridad, o que creen que cualquier cosa que les pase va a ser culpa de un tercero. No, a estas alturas, si uno de tus ordenadores se infecta y pierdes datos, la culpa es tuya y solo tuya. Por cenutrio. Y si alguien en tu compañía propone pagar a un extorsionador para recuperar unos datos, piensa que lo único que refleja es que alguien, antes, no hizo bien su trabajo. Ah, y que es muy posible que pagues, y no recuperes nada. Los delincuentes es que tienen esas cosas, a veces simplemente toman el dinero y corren…
Por favor, dejémonos de conspiraciones masivas, de culpabilizar a terceros, de pensar que el virus lo creó un tal Ramón (a ver, hombre… que es muy fácil: ransom quiere decir «rescate» en inglés, eso es todo :-) Esto no tiene más cera que la que arde: es un simple virus creado para ganar dinero a costa de incautos que no tienen copia de seguridad de su información, que se distribuye aleatoriamente y que no supone ningún tipo de escalada en ningún sistema de alarma. Nada. Un virus mundano, nada especial, obra de un grupo poco sofisticado, por mucho que se haya distribuido de forma masiva. Lo único que debería hacer es que unos cuantos leyesen un poco más, se informasen mejor, y aprendiesen que la seguridad comienza con la prevención y con una evaluación adecuada de los riesgos. Que nos pongamos como nos pongamos, siempre van a estar ahí.
De acuerdo en todo Enrique, como siempre, certero, concreto y conciso pero, en este caso, no hablo de conpiraciones a lo Mr Robot, pero he sido testimonio de ataques via bruteforce contra puertos RDP, en fin de semana, cuando habia una actividad relativa, RDP con vpn para teletrabajo, pero desafortunadamente con un keylogger en el equipo del teleoperador. Luego, lanzar el proceso de encriptación, variante Al Namrood-2.0 afectando al puesto de trabajo en la oficina y al servidor via recurso compartido, y al NAS via unc! Discos duros aparte, desconectados por suerte, externos me refiero. Una empresa pequeña pero con un volumen de facturación nada desdeñable. Que tiene que ver con la infección masiva? A priori nada, pero una de las raices del problema, a parte de la diligencia de las empresas en aplicar los protocolos rutinarios de respaldo de datos que esa evidentemente es otra, es el uso de sistemas operativos que ya conocemos, por desgracia, las plataformas de Microsoft. Por que nadie dice que con sistema de código abierto como LiNUX, FreeBSD, y otros, se plantean otras cuestiones pero no estas. Evidentemente la seguridad tiene que primar siempre, pero seamos serios, Microsoft, si no aguanta la calor, debería salir de la cocina de una vez por todas. Nunca hay garantías de todo, pero como mínimo, no lo pongamos tan fácil.
Entonces …¿qué cabría esperar cuando el virus distribuido sea uno poco elaborado, cuando no sea tan vulgar? …miedo me da la respuesta.
¿Todas los organismos / corporaciones afectados hacen mal las cosas?
¿Es de recibo que la mecánica de infección del «I love you» de hace literalmente 17 años continúe siendo válida y explotable?
Todo lo que ha fallado además del usuario incauto que descarga el anexo:
– El servidor de correos no ha detectado ninguna anomalía, generalmente en servidor se realiza un escaneo previo y se bloquean los correos infectados o al menos los adjuntos.
– El antivirus del usuario no detecta nada.
– Los privilegios del usuario le permiten acceder a otros host internos.
– El agujero en el protocolo se encarga del resto.
Saludos.
– Ejemplicos reales: Un virus que subía la frecuencia de la VGA hasta que reventaba el tubo de rayos catódicos. Otro que provocaba golpes a las cabezas lectoras de los discos duros contra la zona de aparcamiento. Otro que lo metía en un ciclo de arranque/paro/arranque. Otro que te enviaba a las colas de impresión MILES de archivos. A Saddam se le cepillaron las centrifugadoras de uranio mediante un virus que las obligó a girar a velocidades inadecuadas hasta inutilizarlas. Imagina ahora lo que podrías hacer si hackeas un Predator o un sistema AEGIS.
– Sí. TODOS ellos la han cagado. Y la siguen cagando. Simplemente piensa que los trenes de RENFE Cercanías funcionan con un Pentium III y XP tan bien mantenido que o está colgado por falta de memoria virtual o te dice «próxima estación:Parla» cuando llegas a Alcobendas.
-Las dos cosas más abundantes del universo: la estupidez humana y la avaricia. El hidrógeno ha descendido a la tercera posición.
-Para detectar algo anómalo tiene que tener una «semilla».
-Idem
-Mira a cuantos sitios puedes acceder desde tu puesto corporativo y tiembla.
La coña es cuando das soporte técnico en una compañía de IT, y tus compañeros entran en pánico, y todos los problemas son por culpa de hackers. Mails con explicaciones de periódicos etc.
Ya que estamos en interenet, que gusta de frases lapidarias ( y ciertas algunas veces), apunto esa penúltima que empieza por «lo único que hay que hacer…»
Y además es aplicable a multiples situaciones de preaprendizaje…
En Wired (https://www.wired.com/2017/05/ransomware-meltdown-experts-warned/) dan une explicación global de lo ocurrido y que puede ayudarnos a llamar a las cosas por su nombre.
A priori es muy discutible que se trate de una vulnerabilidad, más bien parece una puerta trasera (conocida como EternalBlue) que explotaba la NSA, cuyo código de explotación cayó en malas manos ¿os acordáis de Snowden? él ya advirtió de que dicho código estaba en malas manos.
Parece que MS sólo se ha decidido a parchear esto al saber que estaba en el mercado la forma de explotarlo, pero ¿y mientras era la NSA quien nos espiaba? …es que es un matiz IMPORTANTE ¿vulnerabilidad o puerta trasera?
Ya empezamos con las teorías de conspiraciones… :-)
– Una puerta trasera es un mecanismo que un fabricante proporciona a propósito en sus sistemas (teóricamente seguros) para que alguien (ellos mismos, o un gobierno) pueda entrar.
– Una vulnerabilidad es un fallo no intencionado en un software considerado seguro que el fabricante ignora y que permite al que lo descubre poder entrar sin ser descubierto.
Si alguien, algún día, descubre puertas traseras en software desarrollado por Microsoft, Apple, Google, etc. sería la ruina de estas empresas en muchos países. A la NSA y a otras organizaciones gubernamentales, dado que no cuentan con la colaboración de las empresas para que les hagan puertas traseras les interesa encontrar vulnerabilidades para explotarlas sin el conocimiento de nadie más (y en particular, del fabricante).
La teoría de la conspiración no cuadra en este caso, y el artículo de Wired no menciona «backdoor» ni una vez:
1) Microsoft lleva diciendo que se deje de usar SMB1 desde 2013, cuando lo incluyó en estado «deprecated» en Windows 2012 R2:
https://technet.microsoft.com/en-us/library/dn303411.aspx
y sus ingenieros llevan diciéndo que se deje de usar más de dos años:
https://blogs.technet.microsoft.com/josebda/2015/04/21/the-deprecation-of-smb1-you-should-be-planning-to-get-rid-of-this-old-smb-dialect/
¿Estaba Microsoft proporcionando una puerta trasera a la NSA que cualquier organización podía cerrar migrando de SMB1 a una versión superior?
2) Microsoft liberó el parche el 14 de marzo de 2017:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
El exploit que usaba la NSA fue robado y liberado el 14 de abril de 2017, un mes más tarde del parche:
https://en.wikipedia.org/wiki/EternalBlue
¿Sabía Microsoft un mes antes que la puerta trasera que había proporcionado a la NSA iba a ser robada y liberada?
Las fechas van curiosamente muy ajustadas …hablamos de semanas entre unas cosas y otras.
No pretendo culplar a MS, pero tampoco librarle de todo pecado, alguna cosa mal han hecho.
Hoy un compañero con W10 toda la jornada de trabajo perdida intentando actualizar so W original, y no lo ha conseguido. Yo sí que he puesto al día mi W7 sin problemas.
Cuando algo tan masivo ocurre, es razonable valorar el papel que han jugado todos los actores.
Microsoft hace bastantes cosas mal, y una de las peores es su Windows Update, que para mí es desesperante.
Admito que es posible que Microsoft se enterara de la vulnerabilidad a raíz del robo del exploit que había fabricado la NSA, bien de forma independiente por sus propios canales, o bien informado por la propia NSA si ésta detectó el robo.
Lo que digo es que Microsoft no mantuvo una vulnerabilidad conocida por ellos sin parchear durante meses o años para que la NSA usara el exploit a sus anchas. En la era de Internet, eso se acabaría filtrando y saliendo a la luz, y sería una crisis de relaciones públicas para Microsoft de dimensiones colosales comparado con lo de estos días.
En este momento la NSA tendrá otros exploits de otras vulnerabilidades no conocidas aún, a eso se dedican los espías informáticos :-)
Microsoft quizás para desviar la atención, ha metido la pata culpando a la NSA porque ha dado argumentos a Putin y a los chinos.
El director del Instituto de Estrategia en el Ciberespacio chino, Qin An, indicó que las «armas virtuales desarrolladas por EE UU recuerdan al mundo el gran daño que la hegemonía estadounidense en las redes puede causar».
El presidente de Microsoft: «Los gobiernos del mundo deberían tratar este ataque como una llamada de atención»
No sabemos si finalmente se trata de un simple ataque (que se ha ido de las manos) de algún grupo de hackers chapuceros. Y digo «chapuceros» porque hasta hoy casi nadie ha pagado. Si hasta ahora hay unas 200 mil máquinas infectadas y solo han recaudado poco mas de 30 mil dólares el porcentaje de pagadores es de un 0,05%. Y si nadie ha pagado será porque no es necesario pagar…
Pero es verdad que Snowden, que ahora culpa a la NSA (como Microsoft, Rusia y China) ya lo había dicho antes. Y que hay una pica entre Kaspersky Lab y la NSA que viene desde hace un tiempo atrás.
https://actualidad.rt.com/actualidad/178341-snowden-nsa-inteligencia-kaspersky
Me ha resultado interesante el artículo:
WannaCry Ransomware That’s Hitting World Right Now Uses NSA Windows Exploit
Y el mapa (donde Australia, en términos porcentuales, aparece poco afectada) por momentos resulta impresionante.
Otra cosa que puede resultar curiosa del virus es su traducción a casi todo los idiomas. ¿Quién se ha tomado el trabajo de traducir? Si son tan «delicados» con el cliente potencial, (aunque el virus ha atacado selectivamente a empresas, donde no suele haber problemas con el inglés) con remitirle a un traductor online ya hubiera sido suficiente. Un detalle a considerar. ¿Quienes traducen sus programas a todos los idiomas y quiénes no suelen hacerlo?
Sin embargo esta mañana, en el programa de Ana Rosa Quintana, un representante de la Guardia Civil, decía que el ataque no era en absoluto aleatorio, porque de lo contrario el virus habría infectado a todo el mundo, no a empresas concretas.
Si se ha comprobado que a éstas alturas aún pasa que nadie entiende de informática, me parece que la ocasión ha servido más para desinformar que para lo contrario, y para generar aún más recelo.
Es cierto que este episodio no es ciberguerra (no es un país atacando a otro) ni ciberataque (no hay objetivo definido), y que la prensa es sensacionalista en estos temas (leer en El Confidencial que Chema Alonso «fue uno de los hacker más peligrosos de España» ya da idea del nivel).
Pero lo de la gravedad, dependerá de cada compañía, aunque lo haya causado un virus tan simple como este, y con una de las dos variantes conocidas proporcionando un «kill switch» que fue descubierto y activado. Aunque tengas copias de seguridad y no se haya perdido información, si el número de PCs afectados es elevado puede llevar horas o días devolverlos al estado normal. Para algunas empresas una hora de interrupción de servicio es grave, y otras pueden estar varios días cerradas. «Grave» es un adjetivo, y como tal, opinable.
Respecto a las copias de seguridad:
– Muchas empresas no hacen copia de seguridad de los discos duros de los PCs de los usuarios (sí hacen de carpetas de red o de servidores). Si el usuario usa un .pst en disco local para carpetas personales de su Outlook porque su empresa le da 250 MB en el servidor Exchange (mi caso hasta enero de este año), o una carpeta local para guardar los adjuntos, dependerá de la disciplina de cada usuario haciéndose las copias de seguridad con regularidad.
– Lo que van a tener que hacer muchas empresas es volver a reinstalar el sistema operativo desde una imagen almacenada en un servidor. Esa imagen puede tener meses (o años) de antigüedad. En Windows 7 volver a instalar los parches de seguridad de una imagen de más de un año lleva horas, porque el mecanismo Windows Update es un desastre en términos de rendimiento. Y luego pensemos en esos usuarios que tienen el escritorio configurado lleno de iconos hasta que no cabe uno más…o decenas de favoritos en el navegador…
– Hay un dicho que dice que los «backups» funcionan siempre, pero los «restore» no siempre ;-)
Lo que quiero decir es que aunque no se pierda información valiosa de la compañía, solo en volver a la normalidad puede tener coste de productividad.
La puya injustificada a Microsoft que no falte.
El soporte de windows XP hace tiempo que terminó, y hace aún más tiempo que se sabía cuando terminaría y las opciones para continuar con el soporte (es decir, pagando).
Microsoft distribuyó el parche a sus usuarios de pago, por que es el contrato que tiene. Y ha liberado el parche más tarde para evitar un mal mayor, pero no está obligada.
Aquí la culpa es de los que no actualizaron/parcharon sus equipos o sabiendo que no pueden actualizarlos a nuevas versiones, no se preocupan por tener un mantenimiento de seguridad.
Nos echamos las manos a la cabeza que haya gente que va con flash e internet explorer 6, pero claro, se deben sacar parches para esos programas abandondos. Entonces desaparece cualquier incentivo a actualizarse.
Microsoft no lo hace todo bien, pero llamarlo corresponsable de la infección es exagerado.
Las grandes empresas deberían plantearse, al menos sopesar si Windows es el SO adecuado / con mejores características para su empresa.
Que esto se haya propagado de esta forma y a esta velocidad también deja en mal lugar a MS a mi juicio.
Nunca se debe culpar a una sola de las partes, en este ecosistema hay múltiples actores, considero que todos tienen una parte de responsabilidad… aunque normalmente lo fácil es crujir al eslabón más débil.
Totalmente de acuerdo con Oriol. Microsoft no es santo de mi devoción, pero habría que agradecerles que hayan liberado el parche para Windows XP (de forma reactiva, sí, pero no estaban obligados siquiera).
Más allá del eco mediático típico del sensacionalismo periodístico, el incidente sólo pone de relieve que no prestamos la importancia necesaria a la seguridad informática. Confío en que el hecho sirva para que todas las empresas se pongan de verdad las pilas. En un momento en el que se está viendo como los ataques crecen exponencialmente (en cantidad y variedad), es una suerte sólo se hayan infectado un puñado de equipos informáticos probablemente destinados a uso ofimático en lugar de maquinaria industrial de control nuclear, medicina o similares.
Respecto a la evaluación de si MS Windows es o no el SO idóneo en las empresas, no me parece determinante para la infección. Obviamente por tasa de uso, es más probable que puedas infectar un equipo con MS Windows que otro con Linux/Unix/MacOS, pero en las tan famosas filtraciones de Wikileaks se habla de exploits en los principales SO.
Un problema que afecta sólo a Windows y no te parece determinante el uso de Windows? …no hay más preguntas.
¿Tasa de uso? … XD …MS no se toma enserio estas cuestiones, una vulnerabilidad que lleva ahí ¿20 años? y la parchea 3 semanas antes? serio, muy serio sí Sr.
Independientemente de que las empresas afectadas probablemente deban hacerlo mejor, MS también tiene la obligación de tomar otras acciones. Trabajo en una PYME del sector, ¿os creeis que hay una persona expresamente para leer los informes de seguridad que MS saca cada día? …los «Security Udates» CRITICOS deberían ser prioritarios y enviarse al usuario sí o sí (al menos que por defecto sea así).
Ahora MS dice «es que yo lo dije» …ya pero la gente está en su día a día… MS lo dijo porque sabía que se iba a utilizar en breve… pero no me parece suficiente.
Desde mi punto de vista, responsabilidades compartidas.
Cuando digo que no me parece determinante es porque cualquier sistema puede ser potencialmente vulnerable en un momento dado. El soporte es lo que diferencia un producto bueno de otro mediocre.
Desde el punto de vista del soporte en la reacción a la amenaza, según he leído comenzaron a liberar parches al día siguiente de hacerse pública (hace casi 2 meses), no lo veo mejorable. Sí lo es como comentas, la forma de hacerla llegar al usuario final. No soy administrador de sistemas pero para nuestros servicios utilizamos servidores Unix y Solaris sí notifica de actualizaciones críticas.
Sobre la vulnerabilidad en sí, si MS la conoce hace 20 años y la ha parcheado ahora, estoy contigo en que es una vergüenza, y podría ser punible para compensar por pérdidas. Si no lo es, me limito a mi comentario sobre la rapidez de reacción.
Para mí la responsabilidad está en el lado de la empresa. Soy usuario doméstico de Linux pero obviamente he trabajado y conozco MS Windows, y viene de largo que no era el sistema más seguro para usuario final. Si la fama es similar en servidores, es responsabilidad de las empresa saber en qué cesta ponen los huevos. Desde la ignorancia, si tan malo es MS en servidores, porqué está tan extendido en entornos empresariales (no solo PYMES)?
La tan manida excusa de la «tasa de uso» se acabó desde que llegaron los smartphones. En los móviles (con Android e iOS teniendo casi el 100% del mercado entre los 2) no pasan estas cosas.
Ya Krigan, ¿y cuál es el interés de hackear smartphones que ni tienen información valiosa ni están conectados a equipos que la tienen? ¿A qué le vas aplicar el ransomware? Si en las empresas los usuarios están trabajando mayoritariamente con Windows, está claro cuál será el objetivo, independientemente de que sea un SO más o menos robusto que los demás.
Asier, los móviles sí se usan para trabajar. Anda que no hay líneas móviles de empresa en activo.
Asier, un montón de móviles ya son tarjetas de crédito virtuales. de los jefecillos para arriba, muchos llevan los credenciales de la red corporativa. O un generador de clave de autentificación con solo el típico PIN de 4 dígitos como medida de seguridad. En los más grandes hasta clientes Citrix para Android
Krigan, Miguel: una cosa es que los smartphone se utilicen para trabajar (y habría que ver cómo y en qué porcentaje) y otra que desde ellos se acceda a aplicaciones e información crítica de la empresa como ha ocurrido en los ordenadores de Telefónica que estaban sin actualizar.
Por cuestiones obvias de seguridad un smartphone se debería poder perder o nos lo podrían robar sin que ello suponga que se pone en riesgo la información crítica de la empresa.
Asier:
Precisamente hoy Google ha anunciado que hay 2.000 millones de usuarios activos mensuales de Android. Como objetivo, Android es más que apetitoso.
Además, como ya ha mencionado Miguel Durán, los móviles hoy día se usan también para pagar. Y para manejar las cuentas bancarias.
Lo que en el pasado fue una excusa barata ahora es una excusa grotesca. En Android no pasan estas cosas, en Windows sí, pese a que el número de usuarios de Windows es ahora probablemente menor que el de Android. Y la explicación es bien sencilla: basta con ver cómo es la seguridad de uno y otro.
Para mí lo más «grave» (aunque posiblemente afortunado a medio-largo plazo) es que este incidente va a mostrar las carencias en materia de seguridad de muchas compañías:
– Ausencia de política de migración de versiones: la mayor parte del software de las empresas a nivel de PC y de servidor está obsoleto: Windows XP, Windows 7, Office 2010, Windows 2003 Server, SQL Server 2005, etc. Y mucho está fuera de soporte. En versiones más modernas no solo están corregidos agujeros de seguridad sino que tienen mejores barreras de seguridad.
– Configuración de Windows cliente demasiado laxa para el nivel de los usuarios: se deja la configuración por defecto que pone Microsoft para Windows. El primer interés de Microsoft es que en las nuevas versiones de Windows cliente todo funcione como en las anteriores. La seguridad viene después. Esto explica, por ejemplo, que en Windows 10 Professional, usando Edge (que dicen que es más seguro que Internet Explorer 11) venga con Flash instalado y activado por defecto, y no al contrario.
Ojo: no se puede responsabilizar a los usuarios de los problemas de seguridad, ni pedirles precaución o sentido común. O bien no les estás proporcionando el sistema operativo más adecuado, o no lo tienes suficientemente protegido.
– Política de instalación mensual de parches de seguridad no evaluada, o mal evaluada. Ignoro la de Telefónica, pero conozco la de una de las empresas que ahora es del grupo (trabajé en ella y hablé del tema con los responsables). No se instalan parches por el riesgo a que fallen las aplicaciones, pero no hay una evaluación de probabilidades, impacto, etc. y se confía en que el antivirus detenga las amenazas. Lo suyo sería que el segundo martes de cada mes cada compañía revisara los parches liberados por Microsoft y evaluara uno a uno cada uno de ellos. Por otro lado, históricamente creo recordar que de los cientos de parches que ha liberado Microsoft desde los tiempos de Windows XP solo uno o dos ha estropeado algo inintencionadamente (y fue reportado inmediatamente y corregido en uno o dos días, o retirado el parche hasta que se arregló). Ha habido otros parches que requerían cambiar el software, pero se sabía con antelación y estaba documentado. Lo que sí se sabe es que cada uno de ellos ha corregido algo que sí estaba roto. En todo caso creo que en muchos casos es mejor ir instalando parches mensualmente en grupos reducidos de usuarios y servidores y ver si falla algo (porque tienes el control: sabes lo que has instalado, y a quién, y lo puedes revertir) que esperar a que te entre un virus por el agujero en todos ellos y no tener el control.
Lo siento profesor Dans, en esta ocasión debo discrepar, los parches estaban disponibles a nivel de Customer Support, por lo que las empresas grandes si que tenían acceso al parche respectivo, lo que hizo Microsoft fue en volver de libre disponibilidad un parche que ya estaba disponible para sus clientes con contrato especial (y no me digan que Telefonica no tenia ese tipo de contrato), así que responsabilidad de la gente de TI de las empresas la hay… y mucha, mas aun si tenemos en cuenta que Microsoft desde hace meses alertaba con que se dejara de usar el protocolo SMB1, siendo que ese fue el medio usado por el virus.
me encantaría que te respondiera Chema Alonso, a ver si él opina que es tan malo e irresponsable como dices. Cada vez que hablas así pierdes mil puntos, no tienes ni idea de qué hacen o no los hackers para decir si un virus es cutre o no. Pero hablar es gratis y más en un blog. Chema Alonso seguramente ni entre al trapo a tal ignorancia de periódico mediático sin ser especializado
Pero tú has leído el artículo o mejor dicho lo has entendido?
Hola,
Chema Alonso ha hablado en su último post sobre las características de este «ransomware»:
http://www.elladodelmal.com/2017/05/wannacry-nomorecry-tool-latch-arw.html
Según comenta, es un «ransomware» al uso, que no hace nada especial para ocultarse o disimularse cuando está siendo analizado, y cuya característica más destacable es que ha aprovechado una vulnerabilidad para propagarse muy rápido por la LAN una vez ha conseguido infectar a un ordenador de la misma.
Por hacer dos someras puntualizaciones, desde al aspecto técnico, sin entrar en la penosa comunicación que se produjo.
El problema no fue la falta de backup, que es solo una medida paliativa de recuperación ante incidentes, el mayor fallo que se hizo evidente fue la falta de un diseño y seguridad de la red interna de Telefónica, que pudo tener consecuencias muy severas si la amenaza hubiese sido de otra índole y no un sencillo ramsonware.
No sabemos que equipos se vieron afectados con certeza, pero cualquier sistema sensible dependiente de Windows pudo verse comprometido.
(La medidas de respuesta ante el incidente, si son tal y como las cuentan, fueron una auténtica chapuza. Literalmente, tirar del cable de algunos equipos o desde la consola de administración)
Una de las mayores ‘vulnerabilidades’ que se pueden encontrar en cualquier red de una empresa, es la carencia de una compartimentación y segmentación de la red interna y las medidas de seguridad que impidan la propagación de una amenaza, como el gusano que transportaba el ramsonware.
Eso denota un diseño de seguridad y de la propia estructura de la red interna de Telefónica realmente chapucera.
(Ni quiero imaginar el coste de la seguridad interna, para los resultados que han obtenido)
La segunda, y que es básica, es la carencia de un sistema de provisionamiento interno que mantenga la seguridad de los equipos, distribuyendo las actualizaciones críticas y los parches de seguridad de forma coherente.
En una compañía como Telefónica, que se supone que presta servicios de infraestructuras a otras empresas, es el segundo escalón del ridículo;
¿Qué servicio puede ofrecer a otras empresas, con semejante nivel de chapucería interna?
En EE.UU, el estado le hubiese rescindido todos los contratos. De un único plumazo.
Hay que entender, que la gravedad del asunto radica en la propagación del Gusano que transportaba el ransomware, no en el payload del mismo. Esto sí que supone una amenaza seria, que podría haber puesto en riesgo infraestructuras críticas, como ha sucedido con la NHS.
No le restemos importancia a esa llamada de atención.
(Mejor no mencionar el parche que ha ofrecido el CERT, que es sencillamente otra chapuza añadida y que da la sensación de que se quedaron en la época de Windows 95)
–
ah, y claro que Chema Alonso es el hacker más peligroso de nuestro país, a la vista está. Y si le dejan acceder a la red Interna de Telefónica en remoto durante un incidente, o esas cosas que dice, su jefes son peor que Lulz y Shadow Breakers juntos.
Se entiende que es ransonware, que me he trabucado al teclear. La pereza del tema, nada más. :)
Estoy totalmente de acuerdo con que en muchos casos se han tomado medidas exageradas, pero como trabajador del sector creo que el WannaCry tiene factores que lo distinguen de todos los ransomwares anteriores: Propagación sin acción del usuario como un gusano, usando una vulnerabilidad 0-day. Muchos ransomware anteriores necesitaban obligatoriamente que el usuario ejecutara un archivo, y limitaban su acción al PC del usuario que había fallado.
Pero la unión de ransomware + propagación de gusano + 0-day abre un nuevo escenario, porque la política de parcheado de servidores en entornos productivos suele ser más laxa, entre otros motivos porque un parche puede hacer que un aplicativo deje de funcionar, se necesitan ventanas de mantenimiento, planes de rollback…
Como decían en otro comentario, las políticas empresariales de backup de equipos de usuario suelen ser diferentes a las de servidores, en este caso el riesgo era:
– Servidores Windows parcheados con cautela que, aunque se pudieran recuperar datos, cayeran ante la infección de cualquier equipo de la red, aunque las workstations estuvieran parcheadas (ya que la primera infección se producía por ingeniería social)
– Redes de workstations mal parcheadas (mala parxis) que podían llevar a la pérdida no de 1 sino de todos los datos guardados en local en toda la organización.
Con esa amenaza, la cautela era necesaria.
Una vez más, MS se ha cubierto de gloria con su tristemente famosa inseguridad.
– No puede ser que 17 años después del virus I Love You los sistemas Windows continúen ejecutando cualquier mierda que les llegue por email desde vete a saber dónde. Esto simplemente no pasa en otros sistemas operativos.
– MS presume de haber parcheado (en algunas versiones de Windows, no en todas) la vulnerabilidad SMB hace 2 meses. Pero es que esta vulnerabilidad ha estado presente en Windows desde hace al menos 16 años (afecta a XP). Digo «al menos» porque si te descuidas igual afectaría también a versiones todavía más antiguas si estas se siguiesen usando. 16 años… ¿y MS no descubrió nada?
– La vulnerabilidad era ya conocida anteriormente por la NSA, una organización dedicada al espionaje masivo de ciudadanos y empresas de todo el planeta. ¿Desde hace cuántos años? Se ignora. Los de la NSA sí que fueron capaces de descubrir la vulnerabilidad, pero MS no, hasta hace solo 2 meses.
– El funcionamiento del ransomware consiste en la ejecución de un buen puñado de programas distintos copiados (descomprimidos o descargados) en la máquina infectada. ¿Cómo puede ser esto? En otros sistemas operativos simplemente no es posible ejecutar un programa tal cual, por el simple hecho de que el usuario (o un malware) haya hecho una copia del programa en una unidad de disco. Se necesita permiso de ejecución, un permiso que normalmente NO otorga el usuario.
En Android, por ejemplo, necesitas instalar el programa desde la Play Store. Incluso si activas la instalación de programas de orígenes desconocidos, necesitas pasar por el instalador de paquetes de Android. Nada de copiar un binario y ya con eso lo ejecutas.
https://www.bleepingcomputer.com/news/security/wannacry-wana-decryptor-wanacrypt0r-technical-nose-dive/
Esto no es simplemente una vulnerabilidad, es que los sistemas Windows están abiertos de patas.
Pues para mí el único culpable es el usuario que hace clic donde no debe.
Esta tarde mismo he recibido un correo extraño: en inglés, diciendo algo sobre un pago que había realizado a Facebook, con varios enlaces «mailto» y un enlace a una página:
En primer lugar, nadie que tenga o pretenda tener la más mínima relación virtual conmigo me escribe en inglés, porque no lo entiendo.
En segundo lugar, yo sé con absoluta certeza que no he pagado nada a Facebook, y que si lo hubiera hecho habría sido en euros en lugar de dólares americanos.
En tercer lugar, aunque el texto de los enlaces no era sospechoso, la dirección que mostraba al poner el puntero del ratón encima era para tenerle mucho miedo.
En cuarto lugar, en el encabezado del correo en la vista previa de Outlook se veían dos «remitentes» del mismo, uno que parecía provenir de PayPal y otro que no tenía nada que ver con Paypal.
En quinto lugar, la cuenta que tengo de PayPal no la abrí con la dirección de correo electrónico a la que me ha llegado hoy este correo.
Obviamente, lo he borrado sin más.
Entiendo que en una empresa más o menos grande sí que recibiría correos en inglés, incluso podría ser que estuviera pendiente de recibir algún paquete -algún ordenador ha caído así- vía multinacional del transporte… mas dejemos de culpar a la NSA, o a Microsoft, o a China, o al camarero del bar de la esquina: la culpa es del usuario, y de nadie más. Si leyese un poco antes de hacer clic, se daría cuenta de que no debe hacer clic. Aunque poder hacer clic, puede, a la vista está.
Es decir, que tu seguridad depende de que el correo llegue a despertar tus sospechas, ¿no?
Si el usuario lee el correo desde el móvil (Android o iPhone), y pulsa con el dedo, no le pasa nada. Si lo lee en el PC Windows (tiene que ser Windows, no vale si es Ubuntu o Mac), y pulsa con el ratón, ya la ha cagado.
¿Esto no te dice nada?
Pedro compi, con todos mis respetos, esto que dices es absurdo por donde lo mires… esto es como si dijeses que cualquier ciudadano incauto, accidentelmente puede darle al botón rojo de lanzar los misiles contra rusia… ¿la culpa del usuario que está en su casa? …venga hombre, un poco más de nivel.
Hola Pedro,
En mi opinión aquí ha habido muchos responsables, pero en ningún caso el culpable es el usuario. El nivel de los usuarios es el que es, y no es realista pedirles que tengan la precaución que podamos tener tú y yo, por muchas charlas o formación que les demos, y que les demos unos sistemas operativos inseguros o que son difíciles de configurar y entender las opciones de seguridad.
En mi casa mi mujer ya solo usa macOS, que yo le parcheo con regularidad cada vez que salen actualizaciones de seguridad, y le he dado formación para que no pinche donde no debe ni proporcione usuarios ni contraseñas, y me reenvía todos los correos que recibe de Paypal, Google, Amazon, etc. para que los revise yo. Pero sé que algún día recibirá un correo de Zara o Mango aparentemente genuino, indistinguible a simple vista, y se harán con sus credenciales en esos sitios ;-)
Ya, pero la tendrás con LastPass y el día que se comprometa una contraseña, la cambias sobre la marcha y sin ningún esfuerzo… esa es la cosa: yo sí creo que hay que exigir al usuario que aprenda y haga las cosas bien, del mismo modo que le pides que no se deje las llaves en la cerradura cuando entra o sale de la oficina. Los errores de seguridad han sido durante mucho tiempo algo completamente disculpable: «yo es que en esas cosas de los ordenadores me pierdo», pero tenemos que salir ya de ese cliché… «mira, si te pierdes, jubílate y deja de ponernos a todos en peligro con tu maldita incompetencia». Cruel, sí, pero creo que justificado…
Sabes que lo intento pero no es realista. Ojalá la seguridad informática fuera tan fácil como no dejarse las llaves puestas:
Mea Culpa, Penny
:-)
Ya, pero ¿qué consideramos que es «dejarse las llaves puestas»? Para mí «dejarse las llaves puestas» consiste en cosas tales como no bloquear el equipo si te vas a ausentar del puesto (para ir a una reunión, por ejemplo), o elegir como pin o contraseña «1234» (que es precisamente el pin o contraseña más usado), o su variante «123456» (cuando te exigen 6 caracteres).
Para mí no es «dejarse las llaves puestas» cosas tales como abrir un adjunto o pulsar sobre un enlace. Los adjuntos están para ser abiertos, y los enlaces están para ser pulsados. Si algo malo ocurre al hacer cosas tan normales como abrir o pulsar, los únicos culpables son el cliente de correo y el sistema operativo, o bien el navegador y el sistema operativo.
Aprovecho la oportuna mención de Carlos Quintero a la pobre Penny para añadir que NO existe ningún antagonismo entre seguridad y usabilidad. El simple hecho de que se hable de «buscar el equilibrio» no es nada más que una excusa barata.
Habrá gente a la que le cueste creérselo, pero es posible hacer un sistema que sea muy seguro y con gran usabilidad. Lo que pasa es que eso cuesta, así que se recurre a excusas baratas para justificar que no hemos querido hacerlo bien.
Luego llegan Apple y Google, con iOS y Android, y le sacan los colores a los incompetentes de turno. Sus móviles y tablets los usan hasta las abuelas, y con un nivel de seguridad que es digno de alabanza, y además mejora a cada versión.
Ahora bien, la pobre Penny va a tener que lidiar siempre con las contraseñas, ¿no? Craso error. Para algo se inventaron los lectores de huellas (y las llaves electrónicas). Pero resulta que no se usan… en el PC. Qué curioso, en los móviles sí que se usan los lectores de huellas.
Chema Alonso debería de aplicar en su empresa lo que escribe en su blog
http://www.elladodelmal.com/2017/04/hackear-windows-7-2008-r2-con.html
En este simpático vídeo se puede comprobar, entre otras muchas cosas, que wannacry tiene traducción a 28 idiomas
https://youtu.be/ZOsQmxqCNF4
Enrique, en el artículo de Cinco Días, indicas: «Los creadores del virus, que aprovechaba una vulnerabilidad que Microsoft desarrolló para la NSA norteamericana, estarán sorprendidos con el eco mediático de su creación.»
¿Está acreditado que fue Microsoft quien desarrolló (se entiende que deliberadamente) esta vulnerabilidad para la NSA? Es una afirmación grave.
Hola Carmen, te doy yo una explicación técnica, por si luego Enrique quiere añadir algo más.
Este asunto se está mediatizando y convirtiendo en un vehículo de imprecisiones e inexactitudes, y no voy ni a imaginar lo que habrán soltado en los medios.
Microsoft no ha desarrollado ningún backdoor, ni es responsabilidad suya actualizar los equipos. El protocolo SMBv1 que es el utilizado para la propagación del gusano, está obsoleto y ha dejado de tener soporte de Microsoft hace ya unos cuantos años.
Esa versión del protocolo de red SMB (Server Message Block) es vulnerable y no tiene soporte, y solo se utiliza como versión heredada en los sistemas operativos actuales.
Ha sido sustituido por las versiones SMBv2 y v3, que no permiten su uso de forma maliciosa. Era un protocolo antiguo y desechado.
La NSA solo utilizaba esa vulnerabilidad no conocida, ni documentada por Microsoft, en un protocolo ya en desuso.
Las primeras advertencias de Microsoft comenzaron justo después de la publicación de Wikileaks, en septiembre de 2016:
Stop using SMB1 – technet.microsoft.com
Y el US-CERT hizo una alerta y recomendación de desactivar el protocolo el 16 de Enero de este año:
US-CERT urges admins to firewall off Windows SMB
Microsoft publicó un parche crítico, de obligada implementación el 14 de Marzo.
Microsoft Security Bulletin MS17-010 – Critical – Security Update for SMB
Así que, la única explicación de su aparición en Telefónica se resume sencillamente en dos palabras; descuido y chapuza.
No hay peor conspiración.
–
How to enable and disable SMBv1, SMBv2, and SMBv3
Buena cronología de los hechos previos.
Gracias.
Siguiendo con anotaciones sobre el tema, para ver si se algunos se aclaran.
El ransomware en sí mismo tiene trazas de código de un grupo de ciberdelincuentes Norcoreano, que se dedica al secuestro de equipos, pero es improbable que tenga que ver con el gobierno de ese país, ya que es un ataque inespecífico y que solo busca una ganancia económica.
Aquí tenéis un artículo sobre ‘la pista Norcoreana’.
Researchers: WannaCry ransomware shares code with North Korean malware
No es ciberguerra, sino un grupo de delincuentes que se valen de la impunidad legal de ese territorio.
Estamos hablando del ransonware, no del Backdoor utilizado para su propagación.
La persona que se sospecha filtro los datos a Shadow Brokers, ya sea deliberadamente o por descuido, es un contratista de seguridad, Harold T. Martin III que fue detenido en octubre de 2016.
Former NSA contractor may have stolen 75% of TAO’s elite hacking tools
Casualmente, trabajaba en la misma compañía que Snowden. Qué cosas.
Harold no es un hacker, sino que se limitó a copiar todos los documentos a los que tenía acceso como empleado de la NSA.
Malware Case Is Major Blow for the N.S.A.
–
A Trump, todo esto le ha venido de perlas para sacar una cyber orden ejecutiva, que tenía en el cajón después del lío del veto migratorio e invertir, con su yerno y consejero de Innovación, Jared Kushner, en ciberdefensa para luchar contra la ‘superpotencia’ de Corea del Norte.
(Donde probablemente no entienden nada, porque se pretendía hackearles con ese mismo Backdoor de la NSA)
Big changes in Trump’s cybersecurity executive order
A mí también me parece una afirmación grave que merecería un enlace a las fuentes.
Una cosa sería colaborar con la NSA por mandato judicial para acceder a datos de un individuo, y otra que Microsoft creara deliberadamente una vulnerabilidad para que fuera aprovechada por la NSA cuando quisiera para acceder a quien quisiera.
Nunca se ha podido probar y probablemente nunca se probará. Pero la actitud de Microsoft entonces era abiertamente colaboracionista, y se ha hablado un montón de ese tema, obviamente con la compañía siempre negándolo todo. Ni los ex-trabajadores de Microsoft confían en la seguridad de los productos de Microsoft, y se ha dicho en numerosas ocasiones que la compañía creó puertas traseras «informales» para la NSA…
Conspiracy theories? Puede ser, pero aquí tienes algunos enlaces:
– About those alleged backdoors in Microsoft products…
– N.S.A. able to foil basic safeguards of privacy on web
– Did the FBI lean on Microsoft for access to its encryption software?
– Not even Microsofties trust Microsoft’s approach to privacy
Del tema se lleva hablando muchos años. Brad Smith puede ahora darse todos los golpes en el pecho que quiera y cabrearse con la NSA, pero en muchas ocasiones se ha dicho que la compañía colaboraba con las autoridades en ese sentido.
Es una inexactitud; se conoce al creador. El backdoor ya está identificado – DoublePulsar – y fue desarrollado por ‘Equation Group’ un grupo relacionado con la NSA, aprovechando la vulnerabilidad del protocolo SMBv1 denominada ‘EternalBlue’.
Microsoft no tiene nada que ver con el asunto. SMBv1 tiene décadas de antiguedad e innumerables bugs desde los que se puede exponer la seguridad de un equipo de forma sencilla.
_
Se han dicho y se dicen muchas cosas, pero pienso que tampoco hay que creerse lo último que sale en Wikipedia.
«In August 2016, a hacking group calling itself «The Shadow Brokers» announced that it stolen malware code from the Equation Group.Kaspersky Lab noticed similarities between the stolen code and earlier known code from the Equation Group malware samples it had in its possession including quirks unique to the Equation Group’s way of implementing the RC6 encryption algorithm, and therefore concluded that this announcement is legitimate. Edward Snowden has speculated that The Shadow Brokers is actually Russian intelligence…«
Y ahora:
«El grupo de hackers Shadow Brokers anunció que publicará los programas nucleares y de misiles de Rusia, China, Irán y Corea del Norte.
En su blog Shadow Brokers asegura tener información al respecto y prevé divulgarlas a partir del próximo junio entre sus suscriptores.
Cada mes la gente puede pagar por la suscripción y después tendrá acceso al volcado de datos mensual….»
https://mundo.sputniknews.com/mundo/201705171069214529-shadow-brokers-programas-nucleares/
Se dicen muchas cosas pero la verdad la conocen pocos.
Al margen de que MS haya colaborado o no con la NSA en el pasado, para mí la prueba definitiva de que esta vulnerabilidad no es una puerta trasera es que la puede usar todo el mundo.
Cuando haces una puerta trasera, la haces para que solo la puedas usar tú (o la NSA, si es que la haces para ellos). Es decir, incluyes alguna clase de clave, que solo pueda acceder el que tenga esa clave.
Pero en esta vulnerabilidad no parece haber ninguna clave implicada. Ningún análisis de EternalBlue ni de WannaCry la menciona, pese a que sería un notición.
Gracias por la información Menestro.
Pretender culpar a la NSA de un ataque como este resulta hasta un poco absurdo.
Lo que dice Krigan también parece evidente. Además, para qué van a involucrarse en algo así?
Se supone que Equation es un grupo vinculado, de super elite, muy sofisticado, y no unos chapuceros. Y los shadows serían unos mercenarios que habrían robado a unos expertos… ¿Pero de dónde sale esta información?
Se intenta responsabilizar ahora a una organización que está al servicio de la seguridad de la primera potencia mundial. Que tendrían un presupuesto de mas 50 mil millones de dólares. Todo el Bigdata del mundo. Y una potencia infórmatica inimaginable.
https://hipertextual.com/2013/08/edward-snowden-presupuesto-nsa
Para entrar en un sistema, podemos suponer, que lo harán por donde les place, por la puerta, con el passwd del admin, o por las puertas abiertas para actualizaciones de Windows u otros tantos programas. E imaginar la base de datos que tendrán con las 1000 vulnerabilidades conocidas y desconocidas de todos los sistemas operativos.
Hay que exigir transparencia en todos los S.O. pero que Microsoft colabore con ellos tampoco es anormal. Y es lógico que ahora aparezcan como enfrentados, es el puro teatro necesario.
Ojalá viviéramos en un mundo en el que no hicieran falta los servicios secretos, pero hoy por hoy resulta utópico.
https://actualidad.rt.com/actualidad/194117-exdirector-nsa-cortar-presupuesto-inteligencia-atentado
JJ, si no te importa, esto no es un chat. Que no te dé conversación, no significa que las teorías de la conspiración sean un argumento a considerar.
No es necesario que sigas colgando comentarios, no vengo de palique.
Menestro:
Creo que deberías curarte de esa manía que tienes de creerte que eres tú el que dicta las reglas que los demás deben seguir.
Krigan, JJ ha colgado dos comentarios distintos intentando que le responda a cualquiera; no es bueno cambiar el tema, para seguir una conversación sobre cuantos ángeles bailan a la pata coja sobre un alfiler, no es por mí, es por no llenar de comentarios sin relación con el post original.
Si digo que no es un chat, no dicto reglas, disculpa la brevedad al expresarme. Es que los comentarios de un blog no son adecuados para mantener conversaciones que solo son de interés para dos personas.
Sí alguien insiste en llamar mi atención, le respondo para que sepa por qué no le contesto y evite seguir haciéndolo, por nada más.
Como ahora. No puedo hacerlo, por respeto a las personas que no han venido aquí a leer debates privados. Disculpa si parece brusquedad.
¿Lo entiendes ahora? Y sí, sé que es muy importante lo que me dice, pero con un comentario vale. :-)
Menestro, entiendo que mis comentarios puedan molestarte al cuestionar tus afirmaciones. Pero no intentes descalificarme diciendo que «esto no es un chat…». Yo te diría que esto no es Twitter con su limitación de caracteres…
Escribes ahora como si estuvieras enfadado y fueras el dueño del Blog, y no lo eres.
Hasta el momento te he respetado y me gustaría que tu hicieras lo mismo.
Si no te agradan mis opiniones lo siento, pero tu, como cualquiera, te expones al opinar aquí, y es normal que recibas réplicas.
Menestro:
Si lo quieres entender, bien. Y si no también.
Geopolítica a alta nivel y de alto riesgo. https://www.nytimes.com/2017/05/15/us/nsa-hacking-shadow-brokers.html?hp&action=click&pgtype=Homepage&clickSource=story-heading&module=first-column-region®ion=top-news&WT.nav=top-news
Machine learning, which enables systems to learn from data sets without having to be programmed specifically, would be the next best weapon in this cyber war
https://in.peopleread.net/post/589415-can-machine-learning-prevent-another-wannacry
Enrique, mira este video de opinión en Colombia con un enfoque diferente
https://www.youtube.com/watch?v=c2HjIOMwnxk