Vergüenza ajena

Hoy os voy a hablar del famoso cyber ataque.


Para los que viváis debajo de una piedra o en una piña en el fondo del mar, os pongo en antecedentes: El fin de semana pasado un gusano de tipo ransomware atacó con éxito miles de equipo en todo el mundo.


¿Qué es un gusano? Es un programa malicioso cuya funcionalidad se centra en localizar información útil en el equipo infectado para hacer algo que no sea borrarla con dicha información. Ese algo suele ser algo malintencionado y muchas veces peor que el borrado de estos. No era así en este caso, los datos son recuperables, lo que nos lleva al otro palabro marciano.




¿Qué es el ransomware? Es un programa, también malicioso, con ánimo de lucro. Nos pedirá un rescate a cambio de deshacer el daño hecho.


Así que tenemos un programa que se instala en nuestro ordenador, localiza cualquier cosa que se parezca a un fichero de datos que querríamos conservar y lo encripta con el tipo de cifrado con el que protegerías esos datos tan privados que querrías que nadie viese jamás pero que tampoco quieres borrar. No digo que tengas dichos ficheros, pero si tuvieses, digamos, porno casero, fotos de tu comunión, pornografía doméstica, un fichero con el PIN de tu tarjeta de crédito, una grabación propia haciendo cosas de adultos, extractos bancarios o incluso vídeos cerdos de tu propia persona.


Que no digo que sí, pero si sí, que si quisieras guardar esos ficheros y asegurarte de que nadie pudiese abrirlos sin la contraseña, necesitarías un cifrado como el usado por WannaCry/EternalBlue (el bicho del que hablamos).


El bicho hace un cifrado de nuestros datos, de forma que siguen ahí, intactos y accesibles siempre y cuando tengamos la clave y el programa que los descifra, cosas que podemos conseguir si pagamos un rescate.


Un detalle por si habéis sido víctima y teníais cosas irreemplazables que os son preciosas: En unos años, no puedo deciros cuantos, ese cifrado será relativamente fácil de romper, así que guardad los ficheros cifrados y un día podréis recuperar las fotos de vuestras vacaciones al caribe de los pobres a Fuerteventura.


¿Que a qué viene el título de vergüenza ajena? Pues a la inmensa cantidad de máquinas afectadas y no sólo a la cantidad, sino a lo crítico de la función que desempeñaban esas máquinas.


El vector de ataque de este monstruito es doble: Por un lado, envía correos más o menos creíbles con un enlace o archivo adjunto, si lo abrimos, premio; por otro lado, en los equipos ya infectados, se dedica a escanear la red para encontrar cierta puerta trasera de la que hablaré ahora y que es el motivo de mi disgusto.


Disgusto que no enfado, ya ni la incompetencia suma me cabrea.


Y es que para que la puerta trasera en cuestión esté abierta tienes que:




  • No tener las actualizaciones de Windows al día.

  • Tener activo el servidor de ficheros de tu máquina, una versión que lleva años obsoleta, pero que se usa mucho porque es "muy compatible".

  • No tener un antivirus de ningún tipo, ni siquiera el windows security essentials. Para los que no habléis inglés: essential significa esencial, ahí está la pista.


Las tres cosas, necesitas las tres cosas para que tu máquina sea vulnerable, con cumplir una sola de las tres, te puedes meter en una red con el bicho y el susodicho dicho bicho golpeará con fuerza un muro de piedra. Sí, golpeará fuerte, pero sin efecto alguno.


Estos tres pasos son fáciles de seguir para cualquier profesional de la informática. Salvo que trabajes en una empresa donde el olor a rancio se considere un activo crítico y te tengan trabajando con servidores con windows 2000 y estaciones con windows XP, lo único que tienes que hacer es tener el antivirus al día, las actualizaciones de windows lo más rápido posible (en un entorno corporativo` no se puede actualizar a ciegas) y no tener la opción de compartir carpetas en ninguna máquina de la infraestructura, no hay razón alguna para que los dispositivos cliente compartan carpetas en un dominio corporativo.


Y sin embargo, miles de máquinas se infectaron por la dejadez y desidia de administradores de sistemas que tuvieron la desvergüenza de dejar de lado su función principal: Ser el paranoico de la empresa y pensar que el hombre del saco está siempre esperando para robar tus datos.


Porque el hombre del saco estaba esperando.


Y robó tus datos.


Claro que si tenías copias de seguridad offline perderías como máximo un día de trabajo.


Pero no, sacar una cinta o cambiar un disco duro una vez al día es mucho trabajo.


Claro que hay dos casos más, uno es el que mencionaba antes, en el que la administración valora el tufillo a rancio y aquellos que combinan ambos casos.


De la combinación de ambos casos ni voy a hablar, estoy seguro de eres lo bastante inteligente como para sumar uno más uno.


El caso de la administración marrón es mucho más grave.


¿Cómo va a ser más grave, doc? La administración no tiene por qué saber de informática.


Justo, ahí está el problema. Si la administración no sabe de informática, tiene que contratar a expertos que sin duda les dirán: "Oye, esto es una bomba de relojería o actualizamos, o un día va a pasar un desastre".


Y es que, como último responsable de la buena marcha de la institución en la que trabajas, es tu función asesorarte en las materias que no domines y decidir con base en ello.


¿El problema? La cultura de la incultura y el efecto "tiro por la culata". Hace poco, el fabuloso autor de "The Oatmeal" trataba este asunto. Cuando recibimos un dato, somos capaces de procesarlo e incluso de aceptarlo sin tener que corroborarlo si es compatible con nuestra visión del mundo. Sin embargo, si choca y especialmente si choca frontalmente con nuestra forma de ver las cosas, ni corroborar dichos datos nos permitirá aceptar con facilidad la nueva información.


El papel que juega la cultura de la incultura es esta manía que tenemos de pensar que por vivir en una democracia ya somos todos iguales. No es así, no somos iguales. Yo no soy adecuado para gestionar turnos de guardia, un obeso mórbido no es adecuado para correr una maratón y alguien que necesita ayuda para instalarse el whatsapp no es adecuado para opinar en materia de informática.


Curiosamente, esto no pasa con materias que requieran un conocimiento "reconocible", es decir, la gente no suele discutir al gerente del almacén cómo organizar las estanterías. Que ojo, es una materia un pelín más compleja de lo que parece y yo no me metería a discutirles. Tampoco le discute al mecánico quien no sabe nada de coches. Sin embargo, todo el mundo tiene una segunda opinión tratándose de informática, muchas veces proviniendo de una "fuente experta".


Mucho antes de querer dedicarme a la informática, la tenía como afición y ya tenía ciertos conocimientos. Recuerdo que en un curso que hice, teníamos una asignatura de informática en la que se daban unas nociones de seguridad.


En el examen de esa asignatura se preguntaba si era posible acceder a un ordenador en una red local desde fuera de esta. Así, sin más detalles, pues sí. Si esa red local está conectada a internet y la seguridad es pobre o hemos instalado en alguna máquina de dicha red alguna aplicación de acceso remoto, se puede. Y como no se especifica en la pregunta, pues la posibilidad está ahí.


Me dieron la pregunta por mala y recuerdo que el profesor me soltó esta lindeza: No se puede, porque en el supuesto de que esa red se conectase a internet, dejaría de ser una red local y esos ordenadores pasarían a estar conectados directamente a internet.


Los que sabéis de redes os estaréis preguntando si implosionó al soltar semejante chorrada sin que le temblara una ceja.


No, no sólo no implosionó sino que, al día siguiente, cuando le traje un libro de redes que tenía en casa (siempre he sido aficionado a leer libros técnicos, incluso antes de ser un profesional, manías de uno) y le expliqué cómo funcionaba el tema de las redes locales, el tipo me suelta que ese libro estaba mal porque su argumento venía de un amigo suyo que era ingeniero de telecos. Y tan tranquilo se quedó, convencido de lo suyo.


Poco sabía yo que en el mundo real este efecto se magnifica, inocente de mí.


Estuve en una empresa en la que el anterior administrador les había hecho perder cinco años de contabilidad por tener una seguridad lamentable, curiosamente, por un gusano muy parecido al que hoy nos atañe.


Mi primer paso fue quitar los permisos de administrador que tenían TODOS los miembros de la empresa. Como no me acordaba de si eso se podía hacer en lote, lo busqué en Google. Antes de llevar a cabo la tarea, envié un correo a todo el mundo para explicar que perderían el acceso a todas las carpetas compartidas y que se les iría dando acceso a lo que necesitasen y nada más.


Cuando acabé, la dueña de la empresa me dijo que para el resto de personal bien, pero que a ella no tenía por qué restringirle el acceso. Cuando le expliqué el problema de seguridad que suponía el asunto, me dijo que el otro informático lo hacía así.


-- ¿El informático que permitió que perdieses cinco años de contabilidad que tú vas a tener que reconstruir a partir de facturas y recibos?


-- Hombre, visto así, pero no creo que fuera ese el problema.


-- ¿Por qué no?


-- No sé, no creo que tengan que ver las carpetas que puedo ver yo con lo que haga un virus.


-- ¿Cómo funciona un virus?


-- No lo sé.


-- ¿Y cómo tienes una opinión de la relación entre permisos y viruses si no sabes cómo funciona un virus?


Esta señora era una persona extremadamente razonable, como lo era su hijo. Dicen que su marido lo era también, pero no traté mucho con él. Lo que quiero decir es, se trataba de una persona razonable, educada e inteligente y aún así tenía una opinión formada sobre una materia de la que no poseía conocimientos.


Días más tarde, por otro motivo, hablé con el informático en cuestión y se burló de mí porque había visto el historial del servidor y encontró que había hecho una búsqueda en Google.


-- Mira, imbécil, si hubieras buscado en Google cómo dar permisos específicos para una carpeta, ahora a tu cliente no lo estaría extorsionando una cibermafia rusa.


Esto último no está relacionado con el tema del artículo, pero me ha molado contarlo.


Volviendo al asunto.


La cuestión es que vivimos en un mundo en el que cada uno tiene una opinión sobre cualquier tema.


Vivimos en el "es mi opinión y tienes que respetarla". Pues bien, gente así tenía la opinión de que equipos de hospital que son críticos para llevar a cabo operaciones vitales (se canceló un transplante de corazón por el ciberataque) que funcionaban con Windows XP no tenían por qué ser renovados.


Trabajé en una empresa en la que iban cuesta abajo y sin frenos. Una aplicación que no podía escalar más allá de cuadruplicar sus usuarios sin una reforma completa que llevaría meses.


En uno de los momentos de mayor impotencia de mi vida profesional me ví rodeado de gente no técnica que asentía a las cosas que decía: Expliqué por qué no podíamos crecer más de un determinado tamaño sin modificar la arquitectura, que modificarla llevaría meses y que no se podía hacer nada nuevo en ese tiempo. Si no se hacían los cambios y seguíamos creciendo, nos encontraríamos con este muro y tendríamos que hacer la modificación igualmente, pero con cuatro veces más clientes cabreados porque nuestra aplicación se cae constantemente.


Cuando terminé mi exposición, fue derrotada con un: "Bueno, es tu opinión".


Es mi opinión informada, basada en años de experiencia y estudio, que te está vaticinando un desastre técnico que podría hundir tu empresa.


Del mismo modo, las opiniones profesionales de miles de informáticos fueron pasadas por alto porque gente con corbata tenía una opnión diferente basada en la dirección en la que soplaba el viento.


Ahora llorarán por lo catastrófico de las consecuencias y dirán que nadie lo vio venir.


Sí que se vio venir y se avisó, sólo que los que tomaban las decisiones eran idiotas.


Son tontos.


Así que por favor, si tienes una opinión sobre un tema del que no tienes ni idea, en España tenemos unos sitios especializados en ese asunto, se llaman bares. Busca uno, suelta tu opinión inválida, falaz y errónea y déjala allí.


Y por encima de todo, no la tengas en cuenta al tomar decisiones que afecten a otros.


Actualización


Al terminar de leer el artículo pensé: Me he ganado un café. Luego pensé que había dejado una lavadora puesta y se me olvidó porque me puse a pensar en otra cosa. Cuando por fin retomé el hilo de mis pensamientos, recordé que llevaba tiempo sin leer al maestro paquito y que seguro que él había escrito sobre el tema.


Acerté.

Comentarios

Entradas populares de este blog

Matando elefantes (o dragones)

Pasos en la dirección correcta

Nuevos comienzos