sábado, mayo 13, 2017

El ataque del ransomware #WannaCry

Es desde hace doce años que vengo escribiendo este blog y nunca he escurrido el bulto cuando algo sucede, y por eso escribo hoy de este tema que tantos titulares ha despertado. Los que trabajamos en seguridad informática sabemos que “estar seguro” no es una meta a la que se pueda llegar con 100% de certidumbre, y lo entendemos como la gestión de un riesgo que hay que manejar. No hay soluciones sencillas a problemas sencillos. Nos reportan bugs a nosotros y nosotros reportamos bugs a otras empresas. Es el día a día de nuestro trabajo.

Figura 1: El ataque del ransomware WannaCry

Ayer un ransomware nos afectó en unos equipos de red, como a muchas otras empresas de los más de 70 países que han sido detectados ya. El ransomware tiene como objetivo cifrar los archivos del equipo infectado para pedir un rescate vía BitCoins, en este caso 300 USD ( no tiene como objetivo robar datos) , y se distribuía con un dropper enlazado en un correo electrónico que no era detectado por muchos motores de antimalware. 

Figura 2: Detecciones de la primera muestra de WannaCrrypt en VirusTotal

Hoy ya sí, porque muchas empresas hemos colaborado con las casas de antimalware para que lo firmen -.

Figura 3: Detecciones en la última comprobación

 El esquema de ataque era:
- Fase de infección: Spam masivo a direcciones de correo electrónico con un enlace de descarga del dropper (el que descargar el payload) o explotación de servicio vulnerable expuesto a Internet o conexión de equipo infectado a la red local. 
- Cuando se descarga el dropper se infecta con el ransomware la máquina.

Figura 4: Alerta del CCN-Cert publicada al poco de comenzar el ataque
- Desde la máquina infectada se escanea la LAN en busca de equipos vulnerables a MS17-10 para infectar a ese equipo también y continuar la infección. Tal y como anunciaba el CCN-CERT inmediatamente.
Lo cierto es que este esquema, aprovechándose de las primeras infecciones, ha dado con muchos equipos en las LAN de muchas empresas que no estaban actualizados con los últimos parches de seguridad. Esto es así, porque en algunos segmentos internos de algunas redes, el software que corre en esos equipos necesita ser probado con anterioridad y el proceso de verificación y prueba de los parches no es tan rápido en los segmentos internos como en los externos porque el volumen de software interno suele ser mucho mayor y de mayor sensibilidad para la continuidad del negocio.

Figura 5: WannaCrypt en NHS en inglaterra

A pesar del ruido mediático, este ransomware no ha conseguido mucho impacto real, y como se puede ver en la billetera BitCoin que utiliza, el número de transacciones de momento va solo por 8 en una de las tres direcciones que utiliza este malware, tal y como se puede ver en la imagen siguiente. Es decir, solo se ha pagado por el rescate a esa dirección por 8 equipos en todo el mundo.

Figura 6: Dirección BitCoin con transferencias realizadas

En total, unos 6.000 USD en todo el mundo en el último recuento:

Figura 7: las direcciones usadas

Por supuesto, lo ideal es que esto no fuera así, pero en muchas ocasiones surgen incompatibilidades entre software a medida creado en las empresas que dan soporte al core de negocio, y los nuevos parches. En muchas unidades, donde no existen esas limitaciones con largos procesos de verificación para garantizar que todo va bien, no ha pasado absolutamente nada con este ransomware. Para evitar el impacto de tener un equipo con un proceso de actualización más largo, se contrarresta con procesos de copia de seguridad continuo y pruebas de planes de contingencia permanentes. De hecho, el mapa de infecciones de WannaCry, el buen hacer de los equipos de respuesta a incidentes lo mantiene en números muy bajos - no solo en pagos, sino en número de direcciones vivas infectadas en todo el mundo -

Figura 8: Mapa de infecciones de WannaCry en tiempo real 

Muchos pueden pensar que el problema es que se es lento haciendo la verificación de que un parche no rompe nada, o que no se debería hacer porque los parches ya vienen probados, pero la realidad es que en redes de empresas con la cantidad de tecnología que generamos diariamente en Telefónica, no se puede arriesgar la continuidad de negocio de un sistema que da servicio a los clientes por un problema con un parche, así que se invierte más en responder ante un posible riesgo de que sea explotado con medidas de detección y respuesta, en lugar de arriesgarse a que algo falle en la prevención rápida. Y no es porque el parche esté mal, sino porque puede afectar al funcionamiento de cualquier módulo del sistema completo.

Nuestro equipo de seguridad y respuesta ante incidentes

A nosotros nos afectó esta pieza de ransomware en un determinado segmento, como a muchas otras empresas por desgracia, y debido a que la gestión de los riesgos es una prioridad, el equipo encargado de ocuparse de la seguridad interna de la red Telefónica de España optó por primar la protección de los servicios de los clientes y cortar la posible expansión por la LAN interna, para lo que, en el momento en que se detectó el ataque, se decidió responder con una desconexión de posibles equipos infectados para que el servicio que damos a nuestros clientes continuara.

Figura 8: El e-mail avisando a los compañeros de las medidas de control

Hasta aquí, todo normal en un proceso habitual de un equipo de respuesta a incidentes cuando en una compañía se cuela un malware que no ha sido detectado por las medidas de seguridad - y son muchas - que se tienen instaladas. Y a investigar para solucionar el problema lo antes posible sin que afecte a lo más importante, los datos y la seguridad de los servicios de los clientes.

A mí, por motivos personales, me pilló de vacaciones, pues como todo buen trabajador había solicitado desde hacía más de un mes, una semana de vacaciones que tenía marcada a fuego para comenzar antes de ayer jueves. Poco a poco, ayer viernes, me fueron contando lo sucedido y, atendiendo a todo el mundo hice lo que he hecho siempre, ser transparente y no escurrir el bulto y apoyar a los compañeros que tenían esta situación.

Corté mis vacaciones y me sumé a comité de crisis que está lidiando con esta situación, aunque ellos mismos están más que preparados y se valen para resolver este tipo de situaciones a las que los que trabajamos en seguridad nos enfrentamos periódicamente. Por la seguridad de Telefónica velamos miles de personas. De hecho, esta crisis ha sido más mediática en las redes sociales que en la realidad interna de Telefónica, donde los equipos infectados están controlados y están siendo restaurados. Me uní para aportar lo que pueda a compañeros que saben lo que se hacen y que tienen más que claro lo que tienen que hacer.

A algunos en las redes sociales le ha llegado a sorprender que las decisiones de seguridad interna en un momento de una infección por malware de unos equipos no las tome yo, pero eso es porque mis responsabilidades directas son las de CDO (Chief Data Officer), donde están las unidades de LUCA (la unidad de BigData y Data Analytics para clientes), ElevenPaths (la unidad de ciberseguridad global para clientes), Aura y la 4º Plataforma (que presentamos en el Mobile World Congress). Aún así, me apunté, me apunto y me apuntaré a ayudar encantado a mis compañeros, y a los compañeros de otras empresas que también han llamado pidiendo colaboración y ayuda.

Ser Resilliance

Los que estamos en esto sabemos que alcanzar el 100% de seguridad es un hito solo al alcance la imaginación de los que no saben de seguridad, y nosotros haremos lo que los que trabajamos en esto sabemos hacer: Seguir mejorando para minimizar el riesgo. Intentar mejorar nuestro trabajo para que el número de incidentes se reduzca y, lo que es más importante, para que nuestros clientes puedan seguir disfrutando de sus servicios.

El proceso de fortificación de una empresa exige poner todas las medidas de seguridad que sea posible siempre que una no afecte a otra. Y exige balancear las inversiones en prevención (evitar que pase la seguridad a toda costa), detección (lo antes posible cuando algo que sabes que puede pasar pase) y respuesta (responder para que la continuidad del servicio siga funcionando), es decir que la empresa sea ressiliance.

Ninguna empresa puede garantizar que no vaya a afectarle un malware u otro. Yo no lo haría con ninguna. Recuerdo que no hace muchos meses un cliente que había sido atacado me dijo: “Haz lo que sea pero garantízame que nunca me va a volver a pasar”, Y yo respondí como hago siempre “Te puedo garantizar que éste ya no te sucede, pero no que no te vaya a suceder otro distinto”.

Los que creen que se pueden evitar el 100% de los incidentes es que no saben nada de seguridad informática. Lo que tienes que tener es un equipo que sepa detectarlos y responda de forma contundente para que el sistema informático sea resistente. Y en Telefónica se está trabajando de esa forma para conseguir que, como se ha visto, los servicios de nuestros clientes no se hayan visto comprometidos.

Saludos Malignos!

PD: Quiero dar mi agradecimiento personal a los cientos de profesionales del mundo de la seguridad que han contactado con nosotros para informarse, apoyarnos, ofrecer ayuda, cambiar conocimientos y hacer, en definitiva lo que es nuestro trabajo. Gracias por vuestro apoyo. Son tantos y tantos que me costaría ponerlos todos aquí. Gracias, de corazón.

238 comentarios:

  1. Respuestas
    1. Mejor explicado no se puede gracias Chema

      Eliminar
    2. Me alegra mucho que publiques este artículo y que​ gracias a vosotros, se haya podido evitar grandes pérdidas. Saludos y Muchas Gracias.
      También felicitar al técnico que paró el ataque registrando un dominio de Internet por 10$

      Eliminar
  2. A tope! Sois unos cracks! Buenas noches!

    ResponderEliminar
  3. Excelente articulo Chema, saludos.

    ResponderEliminar
  4. Animo Chema, te entiendo perfectamente, 100% de acuerdo con lo que comentas, para mí lo importante es intentar convencer a la gente de negocio, que es más importante la seguridad, que hacer trabajar a un equipo de desarrolladores / proveedor externo para arreglar un problema por un parche

    Sin ánimo de volver a inventar la rueda, siempre se pueden montar servidores de desarrollo/integración para probar los parches y luego la semana siguiente ponerlos en producción, en este caso hablamos de un parche publicado en Marzo (Si mal no recuerdo) Otro tema distinto es que este parche provocase problemas en aplicaciones de negocio y no se haya aplicado por eso, entonces se entiende…

    ResponderEliminar
  5. Enhorabuena Chema!! Excelente explicación de lo sucedido.

    ResponderEliminar
  6. Buenas, Chema.

    Supongo que ahora tendréis que replataformar miles de puestos afectados y que posiblemente vuestro personal tendrá problemas para cubrir esa necesidad y que se pueda volver a trabajar con normalidad en un corto plazo de tiempo. ¿Sabes si buscan gente para realizar esa tarea, que empresas se encargarán de ello y dónde podemos enviar el currículum?

    ResponderEliminar
    Respuestas
    1. Microinformática lo lleva iecisa que lo subcontratan a Sermicro.
      Lo plataforman con Sccm

      Eliminar
  7. Genial que bueno que una compañía , con tanta información de los clientes intenten hacer lo mejor para cuidar los datos de estos

    ResponderEliminar
  8. Magníficamente obrado y magníficamente expuesto, Checa.

    Mi apoyo, mi respeto y mi admiración.

    ResponderEliminar
  9. Que excelente artículo gracias Chema.

    ResponderEliminar
  10. Una lástima tener que anular unas vacaciones por un ransomware. Hay un gran equipo de profesionales trabajando en Telefónica y otras compañías que velan por la seguridad de todos (física y digital), por lo que tenemos que estar muy orgullosos del trabajo que se realiza por parte de los profesionales. Salud@s a tod@s, sobretodo a l@s que trabajamos de noche y fines de semana.

    ResponderEliminar
  11. Que buen articulo por favor, Siga Asi Chema, Exitos Totales!

    ResponderEliminar
  12. Excelente comentario Chema! Y obviamente es más mediático que cualquier otra cosa, mucha fuerza y que salgas avante de esta y muchas más!!

    ResponderEliminar
  13. Gran post. Siempre adelante y proactivo en busca de medidas aceptables de seguridad.

    Abrazos!

    ResponderEliminar
  14. Excelente explicación!!
    Creo que falta más cultura popular de la seguridad y menos mediatismo televisivo y en RRSS a la hora de buscar CEO's culpables. ¡Felicidades Chema por mantener el tipo mientras te bombardeaban! :)

    ResponderEliminar
  15. Felicidades por tu dedicación en el trabajo que realizas

    ResponderEliminar
  16. Excelente aporte Chema. Tan claramente explicado como siempre. Abrazo grande.

    ResponderEliminar
  17. En las redes sociales también se rumoreaba que habia afectado a varias empresas mas, entre ellas la mia, pero hoy en la oficina solo se hablaba de telefónica. Creo que esto fue mas mediatico que el impacto que en realidad tuvo...

    ¿Y al final que hieron? ¿solo restaurar backups o pudieron conseguir la clave de descifrado?

    Por cierto, que mala suerte lo de tus vacaciones, ojala puedas retomarlas esta semana ����

    Un saludo y muy bueno el articulo.

    ResponderEliminar
  18. @acerswap eso se realiza facilmente con unos simples comandos de powershell. Hace muchos años se restauraban manualmente, pero ahora se reinstala una imagen a traves de red a los ordenadores del dominio en poco minutos.

    ResponderEliminar
  19. Ley de Murphy, bueno se aprende de la situación, muy buen articulo Men. Yo solo cerré el pestillo de latch a las carpetas de los ordenadores

    ResponderEliminar
  20. muy buena información gracias

    ResponderEliminar
  21. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  22. Excelente y muy claro tu explicación Chema! Es verdad, nadie te puedo garantizar que nunca pase un malware.

    ResponderEliminar
  23. Acertado Chema... Sigamos trabajando para que los malos no triunfen

    ResponderEliminar
  24. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  25. Siempre al más alto nivel y con la misma humildad. Chema, a disfrutar de esas más que merecidas vacaciones aunque ya sabemos que los que nos dedicamos a esto por vocación nos cuesta estar desconectados 💯%

    ResponderEliminar
  26. Hola Chema, te leo desde Argentina. Siempre sigo tus publicaciones, muy bien explicado todo. Ahora también leo el diario Elmundo por internet y la verdad no son muy amables contigo desde ese medio en particular. Saludos!

    ResponderEliminar
  27. Debo ser el único de aquí que ve las cosas tal como son...
    Queda muy bien decir, "a otros también les ha pasado lo mismo", "no está dentro de mis responsabilidades", "estaba de vacaciones", "no ha sido tan grave como dicen", si todo esto no es escurrir el bulto...

    Por qué no has comentado, "otros estaban mejor preparados y no les ha pasado nada", ¿parar el trabajo de tantas personas te parece barato? ¿Y qué pasa con los datos perdidos? No todo se guarda en backups... ¿Y que va a pasar con la persona que abrió el email? Porque seguro que podeis averiguar donde se inició

    Desde mi humilde opinion, la seguridad 100% no existe, estamos de acuerdo, pero empresas como esta deberían invertir más tecnología propia para asegurar los sistemas, porque un sistema desconocido para el atacante aporta muchas más seguridad que un windows con vulnerabilidades publicadas y al alcance de cualquiera.

    Saludos

    ResponderEliminar
  28. @Alberto, en una empresa tan grande como la nuestra teneos grandes cantidades de situaciones que lidiar. Hacemos tecnología (constantemente) innovamos, hacemos cosas nuevas, pero, si tienes experiencia en seguridad, sabes que no siempre se puede acertar en el 100% de las decisiones known y unknown. Nuestra idiosincracia, con sistemas de comunicaciones de 93 años de historia es la que es.

    Saludos!

    ResponderEliminar
    Respuestas
    1. Saludos chema, estoy de acuerdo con que es imposible controlar el cumplimiento de protocolos de seguridad en una organización tan grande, ya lo mencionadas hace un tiempo, que existían fallos en otros grupos de desarrollo que quedaban abandonados, inconclusos o sin cerrar adecuadamente y cualquiera de esos puntos fue una puerta para el ingreso de tan bastó ataque, probablemente ahora se tomen medidas drásticas de seguimiento de la Seguridad de la Organización

      Eliminar
  29. Excelente planteo y análisis del problema. Ciertamente los medios masivos de comunicación en este caso, como en tantos otros, han jugado (y juegan) un papel lamentable. Lejos de informar de manera transparente lo que hacen es construir una subjetividad preñada de amarillismo y falsedad. Lo que muchos medios ocultan son sus verdaderos intereses, en más de un caso en conflicto con los de Telefónica. Tal el caso del Multimedios Clarín en la República Argentina, dónde se ha hecho de la explotación de parte del espectro de telefonía celular de manera non sancta invirtiendo ... nada!!! Cuando Telefónica hubo de desembolsar cerca de u$s 300 millones. Pero ... en fin ... sabemos que el actual gobierno argentino tiene debilidad por favorecer a sus amigos ... y Clarín es "claramente" uno de ellos. El blindaje mediático que le ofrece el multimedios al gobierno del Ing. Macri es más que evidente. Dicho esto solo quiero reconocer la labor y el expertise de Chema como profesional del campo de la seguridad informática y a los miles de profesionales de Telefónica alrededor del globo. Un fuerte abrazo!

    ResponderEliminar
  30. Simplemente tengo que decir que muy buena politica ante situaciones de ataques de este tipo (Telefónica), además de buena comunicación con demás empresas por parte de Telefónica (Se ha informado de lo sucedido a otras empresas dandonos información/medidas).
    Todo esto se ha convertido en un circo mediatico, y sólo con mirar a otros paises nos damos cuenta del gran nivel que tiene este pais es temas de seguridad.

    ResponderEliminar
  31. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  32. Hay muchas ocasiones en que el trabajo de la seguridad no se ve, solo pareciera valorarse ante una crisis tal como esta, ahora bien hay que recordar que el mundo es uno solo y otras operaciones pasaron por esto horas después que Europa, hay que llevar las acciones al ámbito Global y no quedarse solo en España, sin duda eso hubiera permitido enfrentar mucho mejor el problema. Un saludo desde Chile.

    ResponderEliminar
  33. Grande Chema, magnífico post con la información y a pocas horas del inicio de todo. Desde la perspectiva de un hacker, es una de esas noches para las que te has estado preparando durante años. Good job!!!

    ResponderEliminar
  34. Gracias por la explicación chema y aguante con los trolls que andan x ahí tratando de desprestigiar...

    ResponderEliminar
  35. Así es definitivamente, la seguridad de toda indole mantiene principios universales, ser preventivos, resilientes, colaboradores con los procesos internos y externos, todo esto suma a la hora de proteger los activos, físicos e intangibles, que bien por la seguridad de Telefonica saludos desde Ecuador y seguimos aprehendiendo.

    ResponderEliminar
  36. Chema Alonso a mi lo que me parece alucinante es que pasasen en tu empresa estas cosas:
    1- Ningún antivirus o software de análisis de emails detectase ese enlace hacia un EXE y lo malformase o borrase del correo antes de llegar al destinatario, aparte ¿no se analizaron las cabeceras de ese email? algo sospechoso tenia que haber en ellas por ejemplo el SPF (Convenio de Remitentes, del inglés Sender Policy Framework) ¿tampoco se analizo el cuerpo de texto del mensaje? tenia que ser bastante sospechoso de phishing ese correo como para que vuestro sistema de correo igual que hace hasta el gratuito Hotmail lo mandase a la carpeta correo basura o spam.
    2- Ningún filtro web impidiese entrar en esa web donde estaba el EXE, si en cualquier empresa de mediana importancia tienen filtros webs que impiden entrar a cualquier web sospechosa o fraudulenta ¿donde estaba alojado el archivo para conseguir pasar vuestro filtro?
    3- Que en los ordenadores de vuestra empresa se deje ejecutar un EXE u otro tipo de ejecutable cualquiera.

    Por cierto el EXE vírico ¿como consiguió tener privilegios altos? el bug permitía tener privilegios altos de administrador en los equipos?
    no creo que con un usuario limitado por directorio activo un virus pueda encriptar todos los archivos del sistema operativo sobretodo los de sistema.

    También me sorprende bastante que en una empresa como Telefónica que es tecnológica abran ese tipo de correos chuscos y sus enlaces, trabajo en tecnología y nunca he visto un correo de esos que parezca legitimo, todos tienen faltas de ortografía, mala redacción, cosas incoherentes... ¿que clase de cursos de tecnología y seguridad dais a vuestros empleados? me parece que los deberíais de mejorar.

    En fin creo que como decía Alberto la seguridad la tenéis bastante flojita en Telefónica, ya podéis poneros las pilas sobretodo por el negocio que lleváis estas cosas os dejan fatal.

    ResponderEliminar
    Respuestas
    1. No es por defender a Chema, es más estoy bastante de acuerdo en el comentario de Alberto y creo que el hecho de apagar los ordenadores y mandar la gente a casa es un fracaso como una catedral del departamento de seguridad de Movistar. Dicho esto:
      Creo que desconoces bastante cómo funcionan este tipo de propagaciones. Ni filtro web, ni spf, ni contenido del correo, ni nada. Lo único que funciona en estos casos es o que el usuario no lo habra( y claro ya es una decisión personal por mucha formación que se de) o impedir el acceso a archivos adjuntos en el correo (yo por política bloqueo los .zip desde que hace años nos entró el criptolocker en varios clientes).
      A parte el exe se ejecuta sin permisos de administrador como un programa cualquiera y sin permisos de administrador te arma un cristo considerable. Este además aprovecha un fallo de Windows (ojo detectado en marzo no hace 3 años) y se ejecuta desde los otros ordenadores de la red (miedo me da).
      Veo que has tenido algo de experiencia, he de decirte que al principio era así y que los correos venían con faltas y se se veía a simple vista, ya no. Esta Semana Santa nos llego un ataque con un correo de booking que nuestros sistemas no detectaron que intentaba bajar un .zip de dropbox, el correo era 100% igual al que te puede mandar booking pero con un enlace.

      Espero que después de la publicidad que se le ha dado en este caso, nos sirva a todos para mejorar la seguridad en nuestros sistemas.
      A ver si me amplían el presupuesto!

      Eliminar
    2. Estoy de acuerdo con Gonzalo.
      Chema indica que en las empresas como Telefónica hay que evaluar las actualizaciones, lo cual es cirrecto si hablamos de equipos CORE de misión crítica, no de equipos de usuarios, y digo esto por la naturaleza de la actualización "critica".
      Si el WannaCrypt0 llegó por email e infecto equipos, estos llegaron a estaciones de usuarios sin dicha actualización, o lo otro es que desde servidores CORE hayan leído correos electrónicos?, pues no mo creo.
      Sabía que Telefónica normalmente lee correos "sin texto enriquecido" y en formato plano, lor lo que la ejecución de un malware sería más complicado.

      Este malware se conecta a servidores externos, los cuales tienen una "reputación" y la mayoría de filtros Web lo identifica, lo que hace pensar que hay equipos que "evaden" los filtros, o dichos usuarios son muy privilegiados.
      Otro tema es que Telefónica "gestiona" seguridad a clientes y tiene un SOC, que debiera alertar de este tipo de tráfico a sus propios usuarios internos.

      Entiendo que Telefónica está haciendo su revisión interna, y yo comenzaría a hacerla a las PCs de la misma área TI.

      Es obvio que el 100% de seguridad no se puede obtener, pero hoy en día, indicar por una Intranet que apaguen sus equipos, no resulta muy beneficioso, sobre todo si se sabe el agujero explotado.

      Ha revisar su "defensa por capas".

      Telefónica tiene ISO 27001, y habría que preguntarles cuándo ha sido su último "Ethical Hacking" y qué compañía lo hizo.

      Coincido en que esto ha sido mas mediático, pero originado por la misma Telefónica. Aquí intervienen equipos de respuesta a incidentes, políticas de comunicación, etc.

      Saludos

      Eliminar
    3. Estoy de acuerdo con Gonzalo.
      Chema indica que en las empresas como Telefónica hay que evaluar las actualizaciones, lo cual es cirrecto si hablamos de equipos CORE de misión crítica, no de equipos de usuarios, y digo esto por la naturaleza de la actualización "critica".
      Si el WannaCrypt0 llegó por email e infecto equipos, estos llegaron a estaciones de usuarios sin dicha actualización, o lo otro es que desde servidores CORE hayan leído correos electrónicos?, pues no mo creo.
      Sabía que Telefónica normalmente lee correos "sin texto enriquecido" y en formato plano, lor lo que la ejecución de un malware sería más complicado.

      Este malware se conecta a servidores externos, los cuales tienen una "reputación" y la mayoría de filtros Web lo identifica, lo que hace pensar que hay equipos que "evaden" los filtros, o dichos usuarios son muy privilegiados.
      Otro tema es que Telefónica "gestiona" seguridad a clientes y tiene un SOC, que debiera alertar de este tipo de tráfico a sus propios usuarios internos.

      Entiendo que Telefónica está haciendo su revisión interna, y yo comenzaría a hacerla a las PCs de la misma área TI.

      Es obvio que el 100% de seguridad no se puede obtener, pero hoy en día, indicar por una Intranet que apaguen sus equipos, no resulta muy beneficioso, sobre todo si se sabe el agujero explotado.

      Ha revisar su "defensa por capas".

      Telefónica tiene ISO 27001, y habría que preguntarles cuándo ha sido su último "Ethical Hacking" y qué compañía lo hizo.

      Coincido en que esto ha sido mas mediático, pero originado por la misma Telefónica. Aquí intervienen equipos de respuesta a incidentes, políticas de comunicación, etc.

      Saludos

      Eliminar
  37. Chema siempre te he estimado por nunca te escondes y siempre das la cara Ojalá que tu empresa se recupere y sigue adelante de eso se trata la vida de remendar los errores para que no vuelva pasar excelente chema

    ResponderEliminar
  38. Muy buena explicacion Chema, hoy hablando con uns colegas, deciamos ademas que ni el mejor sysadmin queda cubierto de un usuario que abra algo que no debe....

    Abrazo! Up the irons

    ResponderEliminar
  39. Esto es para que gasten más plata en seguridad informática y los monopolios y Chema se hagan ricos

    ResponderEliminar
  40. Muy clarito. Hasta yo lo he entendido. ;)

    Lo triste, es como los "opinadores profesionales" hacen de un acto de responsabilidad como es apagar los equipos para evitar propagación y avisar pública y de forma transparente un modo de ataque egocéntrico. Cuanto listo suelto mal aprovechado.

    Seguiremos aprendiendo.

    Disfruta de lo que te dejen de vacaciones.

    P.D: Trolls. No estáis exentos de riesgo. No engañéis ni os engañéis.

    ResponderEliminar
  41. Yo coincido un poco con @Alberto, el el sentido de que una empresa de ese tamano deberia estar en el grupo de las "mejor preparadas" para evitar que estos eventos les sucedan a ellas.
    Es un hecho que en este mundo de la seguridad informatica nunca podemos ni podremos llegar al estado 100% seguro, pero es un poco decepcionante que le suceda a alguien que seguimos como guia de las mejores practicas.

    Una observacion final, creo que quisiste decir ser "resilient", no ser "ressilience", ya que esta ultima es la condicion, no el adjetivo.

    Un abrazo

    ResponderEliminar
  42. CHEMA GENIO me GUSTARIA PODER APRENDER DE vos ! TRABAJO PARA MOVISTAR

    ResponderEliminar
  43. A mi me queda una duda, como ha afectado esta situación a equipos con latch?

    ResponderEliminar
  44. Sabias palabras, la cuestión no es buscar culpables y echarse la bolita (me refiero a los que te criticaron en redes sociales o se atrevieron a burlarse) el objetivo solucionar el problema de los sistemas dañados

    Saludos chema!

    ResponderEliminar

  45. Cuando comentas el esquema de ataque ..:

    - Spam masivo a direcciones de correo electrónico de todo el mundo con un enlace que descarga el dropper. (El que descarga el payload)

    - Cuando se descarga el dropper se infecta con el ransomware la máquina.

    Para ser riguroso habria que decir que el usuario ha de 1) descargar el payload al hacer click en el link y 2) ejecutarlo a proposito. Quiero decir que con solo descargarlo la maquina no se infecta.

    En Google Chrome por ejemplo, cuando descargas algo no se ejecuta, simplemente se descarga. Para ejecutarlo has de pinchar en la descarga y ejecutarlo a proposito ...

    Me estoy perdiendo algo??

    ResponderEliminar
    Respuestas
    1. Si. Que lo más probable es que mediante estenografia hayan hecho pasar el exe por xls, jpg o doc, y un incauto lo abrió. Pero la responsabilidad de esa persona es mínima. No te puedes cebar contra ella. A cada uno lo que leer corresponde.

      Eliminar
    2. Esteganografía, mal tipeo. Disculpa.

      Eliminar
  46. Excelente artículo Chema

    Animo.

    ResponderEliminar
  47. Lamentable. Si escurres el bulto no sintiendote parte de una compañia, sino diciendo que el marron es de otros.
    Lamentable que justifiques que en tu empresa te han colado algo tan cutre como un correo electronico que han abierto usuarios de tu empresa los cuales utilizan portatiles por los que tu debes velar que para eso se te paga la millonada que se te paga, y no, no vale el necesitan versiones anteriores, te lo dice un desarrollador que tiene que tirar de aplicaciones desde para IE6 como para .net framework 4.6, si, tecnologias de microsoft, esas que te han dado por culo hoy mismo por no hacer algo tan basico como instalar un hotfix independiente de la version del sistema operativo que tenga..

    El problema no es que te infecten. El problema es que una empresa seria pueda fiarse de alguien que puede saber mucho y trabajar muy bien encerrado en su casa pero que en equipo lo primero que hace es quitarse responsabilidades y quitarle hierro al asunto como si su empresa no hubiera perdido un solo euro hoy. En mi opinion sabes mucho, pero no vales ni para trabajar en una empresa ni en equipo. Dedicate a dar charlas y a engañar a niños como el resto de youtubers y deja el puesto a gente que de verdad lo merece.

    ResponderEliminar
  48. Gestiono la seguridad de pequeñas y medianas empresas y lo primero siempre es WINDOWS ACTUALIZADO, ninguna de las empresas que administro se verá afectada por esto.

    Vamos a ver, entiendo que no se pueda aplicar un parche de seguridad en una gran empresa nada más salir que aunque digo yo, si está en Windows Update será porque Microsoft ya lo ha probado y tiene que ser incompatible por mucho software propietario que uséis.

    Pero eso no sirve de excusa para una actualización que se publicó el 14 de Marzo, lo que aquí veo es un problema de gestión (no por tu parte pero si en general) de toda la seguridad, lo de la verificación no cuela porque si tanto tardan en aplicar las actualizaciones, lo que os queda por comeros en vulnerabilidades, que yo sepa desde entonces he tenido que aplicar al menos a la semana entre dos y tres actualizaciones de seguridad.

    ResponderEliminar
  49. Cuando uno ama su trabajo, escribe de esta forma... Un fuerte abrazo Che a!!

    ResponderEliminar
  50. Y para colmo hace un rato veo que la vulnerabilidad o fallo que han aprovechado para hackearos ya escribiste tu en Abril ¿de verdad me dices Chema que conociéndolo tu tan bien esto no podía ser evitable? vale que nada es 100% seguro pero hombre que te la cuelen con el mismo bug del que hablas tu hace semanas es de risa. No dejes que os saquen los colores tan fácilmente.

    ResponderEliminar
  51. Eso es lo que sucede cuando un lammer (que se autodenomina hacker) lo hacen CDO
    Suerte chema y que lastima que te tengan como ingeniero. Vaya que ser CDO y jamas actualizar sus equipos con parches de seguridad criticos, habla muy bien de ti.... jajajajaja
    Felices vacaciones!

    ResponderEliminar
  52. Muy buen artículo Chema. Espero que puedan superar pronto esta crisis. La prensa sensacionalista como siempre, se va con la de trapo como decimos en Cuba. Saludos.

    ResponderEliminar
  53. Excelente Chema!!
    Siempre demostrando tu profesionalismo.

    ResponderEliminar
  54. Pues como bien comentas no se puede tener seguro un equipo al 100%, además hay usuarios que creen que todo lo que les llega por internet es real no se preocupan por revisar.

    ResponderEliminar
  55. ¿teneis evidencia de que exista ese email o es solo una conjetura? Porque el mecanismo de expansion del gusano incluye una exploracion de puertos expuestos en internet.

    "The threads that scan the Internet generate a random IP address, using either the OS’s cryptographically secure pseudo-random number generator initialized earlier, or a weaker pseudo-random number generator if the CSPRNG failed to initialize. If connection to port 445 on that random IP address succeeds, the entire /24 range is scanned, and if port 445 is open, exploit attempts are made. This time, exploitation timeout for each IP happens not after 10 minutes but after one hour."

    ResponderEliminar
  56. Desde Paraguay leo tus blogs, realmente me encanto a pesar de la situación que estamos atravesando, y por sobre todo agradecido por la comunicación de la información disponible sobre la situación, slds!

    ResponderEliminar
  57. Chema! te sigo hace años desde el sur sos un excelente ejemplo de profesionalismo y de persona, este ataque ha tenido repercusiones de este lado también, (mañana temprano a ir a instalar parches...) estaría bueno que en algún momento nos brindes un articulo con un análisis prospectivo ya que este tipo de ataques se van a incrementar en el futuro, hay mucho backdoor´s en la vuelta al alcance de cualquiera y continuamente se filtran armas cada vez mas potentes...
    Abrazos malignos!!!

    ResponderEliminar
  58. Casi imposible de mejorar la explicación que has dado, como siempre. Clara, detallada y fácilmente comprensible por todo el mundo. Una vez más, felicidades.
    Ahora a ver si queda todo totalmente solucionado y si ésto sirve para que todo el mundo tome conciencia de que, como bien dices, la seguridad al 100% no existe y que quien diga lo contrario, simplemente, miente.
    Saludos desde Sevilla y esperamos verte pronto por aquí y tomar unas cervezas que llevan esperando desde hace varios años. ;)

    ResponderEliminar
  59. Joderos ESTAFADORES

    ResponderEliminar
  60. Gracias por despejar la nube de humo mediatica y explocar realmente lo que paso gracias por trabajar por controlar el ibcidente y asi poder seguir trabajando y prestando el servicio como siempre lo hemos hecho saludos desde colombia

    ResponderEliminar
  61. Chema porque no dices q el problema solo afecta a equipos Windows y q la propagación fue x una vulnerabilidad que sólo es de plataformas windows? Una empresa que trabaja con equipos Microsoft es una empresa seria?
    NO, NO LO ES

    ResponderEliminar
    Respuestas
    1. ??? Madura. El parche está disponible desde Marzo. Y por otra parte: a quién le intresa hackear Apple o Linux?

      Eliminar
  62. Buen dia a todos, espero mi opinion no sea otra mas!!! comparto el buen escrito por @chemaalonso, donde debemos esta consientes que jamas podremos estar 100% a salvos. no importa si es una RED Windows, Linux, Mac, y cualquier otra que salga. como lei en algunos de los comentarios, ahora en enfocan en Windows y capaz en algún futuro en Linux, Mac u otro, asi que seamos lo suficientes autocríticos para entender los que paso hoy y como podemos mejorar.

    Tambien hago una autocrítica, porque estos nos pasa por cabrones y mameros, pensemos por un momento, cuantos correos, charlas, panfletos, trípticos, dipticos, post-it les hemos dejado a nuestros usuarios para ensenarles a concientizar que el tema de seguro lo hacemos todos.

    Es muy facil culpar a @chemaalonso, @elevephants o hasta la senora que cocina, por algo que en verdad es tambien parte de nuestra responsabilidad!! me quito el sombrero, por el equipo de @movistar, y dar instrucciones básicas, rápidas y sencillas a una gran bomba que exploto!!

    nuevamente espero mi lineas no sea tomadas a mal

    saludos, desde chile

    @anotherdamngeek

    ResponderEliminar
  63. Ánimo Chema y compañeros del metal (que diría la sindical), buen fin de semana. Dirigir el vector de ataque a las grandes organizaciones creo que tiene intencionalidad, no es un error de cálculo de un sacacuartos. Ir a por los bitcoin tampoco me parece el objetivo, aunque si incrementar su cotización. De estos los que sacan partido son los fabricantes de antivirus y discos duros, así que los que han tenido un "visión anticipada" del valor sus acciones tal vez nos sepan decir algo. O:)

    ResponderEliminar
  64. Gracias Chema por la información es muy útil saber sobre estos temas, y más cuando manejamos información de clientes aunque sean documentos de Word!, Sigue con la labor de informar y crear este tipo de contenidos que nos ayudan a mantenernos alerta. Saludos desde Guatemala.

    ResponderEliminar
  65. Enhorabuena y ánimo a Chema y a todo el equipo que está trabajando para que el lunes los trabajadores vuelvan a sus puestos y todo funcione con normalidad. En mi caso, al tener copia de lo importante en la nube de O365, puedo seguir trabajando sin problemas desde un ordenador no infectado (por ejemplo, un Mac personal). La pregunta del millón que creo que deberían hacerse las grandes empresas e instituciones a nivel mundial tras este ciberataque es: ¿Por qué dependemos de un sólo SO en el puesto de trabajo cuando en cualquier otro aspecto (redes, equipos, etc) hay redundancia con varios suministradores? Soy consciente de que Microsoft es líder de soluciones ofimáticas y el despliegue de Windows como plataforma única es una especie de "herencia del pasado". Ahora que todo funciona bien en otros navegadores como Firefox o Chrome, y dado que O365 es multiplataforma: ¿porqué no empezar a desplegar ordenadores Mac poco a poco hasta llegar a un 50% de despliegue en Mac y otro 50% en Windows? Creo que es para darle una pensada, en general, a nivel mundial, en las grandes empresas e instituciones. ¡Un saludo!

    ResponderEliminar
  66. Hola :

    Podemos saber el asunto o forma del correo enviando masivamente, para poder controlar un poco la entrada, soy consciente que el correo cambiara en forma y modelo , pero a lo mejor ayuda un poco contra este , como el famoso de "correos"

    Muchas Gracias.

    ResponderEliminar
  67. Excelente articulo Chema, en este mundo no somos capaces de hacer entender a los superiores, que como bien dices la seguridad en IT, nunca puede alcanzar el 100%, y que las decisiones de parar el sistema IT de una sociedad no las puede tomar solo un CIO o un CTO. Gran trabajo y ¡¡Enhorabuena para tu equipo !!. Ahora a disfrutar de tus vacaciones, y a tu vuelta, ¡¡ LOS OTROS !!, ya se habrán quitado la venda de los ojos y podrán ver y entender lo sucedido con más claridad,

    Salu2.
    Luis Ruiz.

    ResponderEliminar
  68. Ánimo Chema, que eres un grande entre los grandes. Hay que sacar el lado positivo de todo este revuelo, la publicidad gratuita, buena o mala, da igual, pero publicidad finalmente. Espero que sigas siendo un gran referente para las nuevas hornadas de vigilantes de seguridad informática que nos estamos formando para ayudar, trabajar y disfrutar en este inmenso universo binario. Un abrazo muy fuerte.

    ResponderEliminar
  69. Excelente explicación y como siempre dando la cara, GRANDE CHEMA, ;)

    ResponderEliminar
  70. Yo trabajo en Telefónica y soy uno de los afectados. Soy informático con 20 años de experiencia. Tenemos una plataforma de trabajo en la que se cuida la seguridad al máximo, un proxy que lo capa todo, un Windows modificado con políticas de seguridad que impiden que los usuarios puedan instalar nada, ni realizar ninguna actividad que comprometa la seguridad. Tenemos boletines continuos de información que avisan de las amenazas que van surgiendo y como debemos actuar ante ellas. Continuamente se realizan actualizaciones y por no poder, no podemos ni compartir una carpeta o mapear una unidad de red sin que haya una autorización por parte de sistemas de información. Os aseguro que para los que desarrollamos software en la casa, tantas medidas de seguridad nos limitan y nos hacen la vida un poco más difícil cada día en el desarrollo de nuestro trabajo. Aún así como dice Chema la seguridad no se puede asegurar 100%, tal y como ha quedado demostrado. Lo que sí hemos podido asegurar es que Telefónica está preparada para que a ante situaciones de catástrofe como es estas, nuestros clientes no hayan sido afectados tal y como ha quedado demostrado al 100%. Cosa que por ejemplo por desgracia no ha podido suceder en el sistema de salud inglés. Gracias a todos los compañeros que velan por la seguridad de nuestros clientes y entre todos conseguirnos restablecer la normalidad lo antes posible para el resto de compañeros afectados.

    ResponderEliminar
  71. Buenos dias,

    Es cierto que no podemos estar seguros al 100% pero que los puestos de trabajo de telefonica no esten parcheados y les afecte....no tiene excusa. Comprendo que la politica de la empresa sea asumir los riesgos en vez de dejar al cliente sin servicios unas semanas, pero es bastante cuestionable dada la sofisticacion que poseen ahora los ransomware y todas las variantes del malware y lo que aun nos queda por llega que no sabemos...asumir estos incidentes en vuestro plan de riesgos...pues bueno...

    Por otro lado, evidentemente como todo trabajador, tienes derecho a vacaciones, na mas faltara...pero tb considero que tus declaraciones en las redes han sido fastante desafortunadas cuando sabes que eres la imagen de la seguridad informatica de la empresa, desde mi mas humilde opinion y desde la neutralidad ya que ni soy fanboy tuyo ni hater, creo que como suelen decirnos nuestras madres " calladito hubieras estado mas guapo" xD.

    Espero que soluciones esto lo mas pronto posible, mucho animo.

    Un saludo

    ResponderEliminar
  72. Excusatio non petita accusatio manifesta.

    Chema, te sigo desde hace años y esta vez no has sabido, en mi opinión, lidiar con la avalancha.

    Tus comentarios de ayer diciendo que no es tu responsabilidad la seguridad interna estaban fuera de lugar. Máxime viniendo de un CxO que siempre es responsable, el último responsable.

    Siento que te pillara de vacaciones, pero va en el sueldo aunque nuestras familias no tengan nada que ver en ello.

    En cualquier caso por todo lo demás siempre tendrás mi apoyo. Especialmente en momentos de crisis.

    Un saludo

    ResponderEliminar
  73. Se puede decir mas alto pero no mas claro. El dia a dia de los que nos dedicamos a esto, infeccion, deteccion, prevencion, solucion y restauracion... poco mas se puede hacer.
    Un abrazo fuerte Chema, a seguir igual.

    ResponderEliminar
  74. Los usuarios son el eslabón débil de la seguridad. No puedes confiar que nunca serán infectados en sus puestos de trabajo.

    Lo extraño es que los servidores vulnerables estén accesibles desde la misma VLAN que esos puestos de trabajo. Si de verdad son sistemas críticos que no pueden recibir las actualizaciones automáticas, deberían estar aislados.

    Así solo estaríamos expuestos a que el personal de ese proyecto se pone a consultar el correo en una máquina de esa red. Pero, aunque se infecte, el impacto será muy reducido.

    En una organización tan grande, con tantos proyectos en marcha y tantos otros abandonados, es difícil tener el control total. Toca hacer auditoría. 8-(

    ResponderEliminar
  75. Buen artículo. Yo no soy experto en seguridad pero tengo claro que se puede programar cualquier cosa y la contraria así que la seguridad 100% no existe. Lo que es triste que haya genios que utizan sus conocimientos para hacer daño. Igualmente es triste que haya gente que aproveche estos sucesos para arremeter contra los que están luchando día a dia contra ellas. Las grandes empresas y organismos son los principales objetivos y los delincuentes las buscan, por intentar chantajearlas o por añadirlas a su triste currículum como "conseguido". Gracias a todos los "Chemas" que trabajáis para que internet sea un sitio más seguro. Mi desprecio a todos los delincuentes informáticos y a los que los alaban e intentan sacar algún provecho de estas situaciones

    ResponderEliminar
  76. Hola Chema. No tengo el gusto de conocerte aunque me encantaría. En determinados momentos del artículo he notado que, aunque en el fondo no querías hacerlo seguramente y que además no tenías porqué hacerlo, has intentado justificar porqué ha atacado a Telefónica este Ransomware estando tú en seguridad. Digo que no tenías que hacerlo porque la efectividad 100% simplemente no existe en ningún trabajo ni por supuesto en ninguna persona. Porque de sobras sabemos que tus conocimientos en el tema son altos, muy altos diría yo, que culparte a tí de lo ocurrido es absurdo y, sin duda, se hace con mala intención. La envidia es muy mala seguramente lo sabrás. Por otro lado si tú no te puedes ir de vacaciones en tu empresa, mala muy mala empresa sería Telefónica. En definitiva, no hay nada que justificar. Existe el error humano, esa persona que decidió darle a abrir a un archivo cuando se sabe que a nivel personal hay que tener mucho cuidado y a nivel de empresa muchísimo más por el daño que puedes causar. No pasa nada nunca...hasta que pasa. En fín, personalmente pienso que tu bien ganada reputación no se debe ver afectada por este caso (hay que decir que los medios de Telefónica para hacer frente a este tipo de problemas son excelentes como se ha demostrado y supongo que algo tendrás que ver tú en eso)ni la de tus compañeros. Por poner un pero, seré puñetero, a este artículo he notado que hay algunos problemas de conexión entre las frases y algunos errores que supongo que serán por no repasarlos debidamente (perdón pero es que me ha salido el profe de lengua (extranjera en mi caso) que llevo dentro)
    Nada más un saludo y mi admiración a tu trabajo y a tus conocimientos.

    ResponderEliminar
  77. Sin duda creo que deberíais replantearos la política de parches, puede que tenga menos costes e impacto desplegarlos aún sin probarlos (con un buen mecanismo de marcha atrás cuando haya un problema), que exponerse de esta forma... Hoy ha sido este, pero el día de mañana puede ser otro que haga mucho más daño. Y también hay herramientas de testing funcionales automatizadas.

    ResponderEliminar
  78. Así si Chema. Cuando uno gana lo que ganas tú lo que menos puede hacer por su empresa es interrumpir sus vacaciones ante una crisis como esta y arrimar el hombro, incluso aunque no sea responsabilidad directa tuya, como indicabas en tu tan desafortunado Tweet de ayer. Ahora sí enhorabuena y suerte. Un abrazo.

    ResponderEliminar
  79. Muy didáctico. 👏👏 Chema !!

    ResponderEliminar
  80. Con un servicio contrado como el de SPAMINA ANTIVIRUS ATP, igual le abria salvado de este mal trago a la persona que abrio el mail infectado...

    ResponderEliminar
  81. "Los que creen que se pueden evitar el 100% de los incidentes es que no saben nada de seguridad informática."

    Y los que creen que este ataque en concreto sí se podía haber evitado, saben lo suficiente para afirmar que en Telefónica se trabaja de una forma muy cutre. Probablemente lo sepa por propia experiencia, porque haya trabajado sub sub contratados, con un ordenador con Windows 7 que te dan a los que no se le aplica ninguna política de actualizaciones, sin ningún antivirus, con software pirata en muchos casos, etc.

    Esto lo he vivido yo, en Telefónica. Así que cualquier otra versión sí es escurrir el bulto.

    Os ha afectado por cutres.

    ResponderEliminar
  82. Y ahora me pregunto... has escrito bastantes veces sobre las infecciones via email¿y no teneis un protocolo claro en vuestra empresa? ¿No teneis ningun filtro para que nadie la cague? lo siento, pero no me lo creo.

    Un descuido lo puedo tener yo en mi casa, ¿pero vosotros, Telefonica? vuestra credibilidad esta por los suelos en este momento, y el tuyo tambien Chema. Ahora, vas a vender Latch, que es superhiper seguro, ¿con que credibilidad? yo por lo menos ya no me creo nada.

    Aunque quieras echar balones fuera, una empresa como la tuya deberia estar mas fortificada. La habeis cagado, y punto.

    ResponderEliminar
  83. Soy un usuario y a finales de febrero se me activo desde Movistar una ip estatica con un incremento en la factura de 20 € + iva sin yo haber hecho ninguna gestion para que se me activara este servicio, me dice la operadora que recibieron una llamada para contratarlo, he recibido una carta disculpandose y que estan trabajando en ello para abonarme estos meses cobrados.
    La seguridad no es segura al 100% pero lo que no veo normal que me cobren durante meses este error
    Que si yo no llamo me seguirian cobrando y que ahora ha seguir pagando hasta que me abonen lo que al final calculo en unos 125 euros.
    ¿Como se activo este servicio?...un misterio sin resolver si alguien tiene una idea solo por curiosidad me gustaria conocerla
    Se que mi comentario no viene a este caso en concreto pero sentia la necesidad de compartirlo
    Un saludo.

    ResponderEliminar
  84. Gracias Chema por aportar un poco de luz a algo que de incidente ha pasado rápidamente a cuestión mediática.
    Llevo años siguiendo tu blog y si algo he aprendido de él es que la seguridad sin formación de los usuarios no sirve para nada y creo que en formación precisamente has contribuido como el que más en todos estos años.
    Sorprendente que ataques de phising o de ransomware que basen su vector de ataque en el correo electrónico o en los navegadores nos sigan afectando de esta manera.
    A ver si por fin aprendemos que la seguridad informática es un problema que nos incumbe a todos: usuarios, programadores y expertos en seguridad.

    ResponderEliminar
  85. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  86. Animo Chema!

    Eres un crack, pero eso no es lo más importante, lo más importante es que dedicas parte de tu tiempo a compartir tu conocimiento con todos nosotros, muchos no siendo especialistas en seguridad, entendemos las necesidades de estar informados. Muchas veces el mayor problema de seguridad no es el ataque en sí, si no el desconocimiento de los usuarios que a veces comenten imprudencias que se podrían evitar fácilmente y con tu blog yo siempre aprendo cosas que muchas veces me han servido para tomar mejores decisiones en cuanto a prevenir este tipo de situaciones, a nivel particular, pero que si no hubiese tenido cuidado se podrían haber extendido a nivel de toda la empresa.

    Lamento que haya gente con tanta envidia y soberbia como demuestran algunos comentarios, y por eso quiero que quede patente que hay muchos que agradecemos tu labor y te apoyamos porque entendemos lo complejo que es este mundo de la seguridad y que no todo depende de una sola persona en gran compañía como es en la que tu trabajas.

    Mucho animo y pro favor sigue ahí porque es una gran labor la que haces.

    ResponderEliminar
  87. Si lees algunos titulares de ayer pareciera que Telefónica es un chiringuito de 4 amigos en el que Chema es el que lleva las cosas esas de los ordenadores. Desgraciadamente las cosas son mucho más complejas. Y en cuestión de ransomware no es la primera vez (ni será la última) en la que los controles tradicionales no funcionan apropiadamente (antivirus y detectores de malware), los procesos de parches de las grandes empresas no están a la altura, y el papel del usuario/empleado se ve entonces magnificado, una pizca de ingeniería social y ya tienes montado el circo. Y esa, por cierto, es la barrera más crítica, que en estas empresas suelen cuidar bastante con cursos de formación periódicos.

    En momentos de crisis en lugar de señalar se trata de buscar soluciones, o quitarse de en medio. Espero que al menos Chema pueda retomar sus vacaciones en breve ;-)

    ResponderEliminar
  88. Solo una cosa no es cierto que aplicar un parche sea lento por la verificación interna.
    Es que si se aplica un parche y falla una aplicación porque estés usando esa vulnerabilidad es que está mal hecha la aplicación y en vez de culpar al que la hizo mal se culpa al que puso la solución. Esto es muy típico de este país.
    Yo me dedico al desarrollo de aplicaciones y creo que esa situación es un problema de desarrolladores que de sistemas

    ResponderEliminar
  89. @Western Arva que Microsoft pruebe los parches no es garantía 100% de que no afecte a ningún sistema. Incluso Microsoft tiene sus limitaciones y no puede probar sus parches en todas las situaciones y con todo el software propietario existente. Yo he trabajado también en pequeñas empresas, en pymes, y ahora en grandes, y las circunstancias son muy distintas. Además tengo la experiencia de haber visto un sistema de producción con software propietario afectado por un parche de Microsoft que provocó caídas de importancia, así que es normal que los parches haya que verificarlos y probarlos antes de programar su instalación.

    ResponderEliminar
  90. Excelente, claro, directo y sin eufemismos. Viendo algo positivo es que ante estos incidentes los procesos de coordinación funcionen, así ha sido.

    ResponderEliminar
  91. Magnífico artículo, salvo por la palabra ressiliance que aparece dos veces e incluso resaltada y desgraciadamente no existe en español, ni en inglés, ni en francés, ni en alemán, ni en ...
    Chema, alguien que en sus artículos se preocupa por escribir 'sistemas legados' en lugar de despacharse con 'sistemas legacy' debería corregir eso.

    ResponderEliminar
  92. Chema, la captura del anuncio interno es de marzo de este año, no de mayo... No es por dar por el orto, pero deberíais explicar eso.

    ResponderEliminar
  93. Enhorabuena por la rápida mitigación y poca afectación.

    Se que la gente se cree que se puede instalar un parche en producción muy fácilmente, pero la mayoría de los casos estos parches tienen que ser probados en muchos escenarios y con un mínimo de tiempo. Todos hemos visto alguna vez que algún parche de seguridad de windows paraba nuestra producciones.

    Sinceramente creo que el plan de riesgo, de apagados de equipo y paralización de la expansión del malware ha sido muy pero que muy buena y un ejemplo.

    ResponderEliminar
  94. Chema hay muchas empresas que callan estos ataques, lo mejor es dar la cara.

    A vosotros les meten caña por ser teleco. Pero muchas grandes empresas y administración publica que callan como perros

    saludos chema, lo del cesar pal cesar

    ResponderEliminar
  95. Enhorabuena compañero, espero que sigamos aprendiendo en Ciberseguridad para que en un futuro próximo podamos evitar algún desastre peor.
    ¡que la fuerza te acompañe!

    ResponderEliminar
  96. Chema tio eres el puto amo. Te admiro mucho. Sigue así crack. Un saludo desde Asturias. Grande!!

    ResponderEliminar
  97. Hay algo que no termino de entender... la infección ha sido menor de lo comentado (eso estaba claro), parece que no ha afectado a servidores, más bien a afectado a PCs de usuarios. Como es posible que un PC de usuario no tuviera una actualización crítica como la explotada? Entiendo perfectamente que los servidores lleven políticas de parcheo más estrictas, pero desde el 14 de Marzo, ha pasado casi dos meses en los que muchos PCs no se han parcheado. Es difícil justificar esto, y más en compañía tecnológicas.

    ResponderEliminar
  98. Hola Chema, lamento que dejases tus vacaciones por ese inconveniente. Algo asi me paso el pasado mes de diciembre, en mis plenas vacaciones tuve que socorre la empresa para la que trabajo.

    Sin ir mas al cuento, es cierto como dicen otros comentaristas por aqui, me he fijado que en la mayoria empresas con cierto renombre, tienen ese lack en cuanto a materia de protecion y prevencion contra este tipo de inconvenientes.

    Tambien, me sorprende que no inviertan en concientizar a sus empleados en estos temas que es y sera de vital importancia, desde ya, porque cada dia que pase, mas y mas ataques van aparecer y las personas necesitan por lo menos que tengan cierto nivel de conocimientos sobre que picar o no.

    Me despido, desde Republica Dominicana, vengo siguiendo tus post desde hace mucho tiempo y siempre me ha gustado leerte.

    Hasta luego.

    ResponderEliminar
  99. Las noticias y redes sociales lo estan exagerando mucho.

    ResponderEliminar
  100. Buenos días Chema,
    admiro tu trabajo y te sigo, pero hay un punto del post con el que no estoy de acuerdo.
    Concretamente a esto:
    "A pesar del ruido mediático, este ransomware no ha conseguido mucho impacto real, y como se puede ver en la billetera BitCoin que utiliza, el número de transacciones de momento va solo por 8 en una de las tres direcciones que utiliza este malware, tal y como se puede ver en la imagen siguiente. Es decir, solo se ha pagado por el rescate a esa dirección por 8 equipos en todo el mundo."
    Efectivamente pueden no estar recaudando lo esperado, pero si hablamos del impacto que este ramsonware ha conseguido creo que podemos decir que es extremadamente alto.
    ¿Cuántas empresas afectadas puede haber ya a nivel mundial? Aunque estas empresas no paguen el rescate de sus datos (cosa con la que estoy totalmente de acuerdo) no significa que no tengan pérdidas, incluso contando con los sistemas de backup adecuados o con las medidas necesarias para volver a poner en marcha la empresa en el mínimo tiempo posible este parón a nivel internacional ¿no supone un alto impacto?
    ¿Qué puede suponer a teléfonica que un porcentaje de su intranet no pueda operar?
    ¿o qué supone para los hospitales y sus pacientes? ¿o para una factoría de coches no poder producir??
    Esto son algunos casos que han salido ya en noticias, pero ¿Cuál es el alcance real?? ¿Cuántas empresas han visto su día a día alterado con las consiguientes pérdidas? Y el número del que hablemos será el número que lo haya hecho público, pero ¿Cuál es el alcance real? Creo que es bastante difícil estimarlo y no solo ya para las grandes empresas de las que se está hablando si no de todos los que día a día sean pequeños o grandes intentan mantener y hacer crecer sus negocios.
    Cierto que podía haber sido mucho más alto y más si consideramos que hoy en día TODO está controlado por ordenadores.
    Pero realmente Chema creo que este Ramsonware ha conseguido un impacto Real muy alto, aunque por suerte no se estén pagando los rescates. Pero no creo que la medida del impacto sea lo que ellos estén recaudando si no las pérdidas que han provocado a un gran número de empresas y personas.
    Un saludo.

    ResponderEliminar
  101. Gracias, Sistemas desde cero, por la informacion.

    ResponderEliminar
  102. Como bien han comentado antes, ¿nos estamos perdiendo algo en cuanto a la ejecución del programa? Para que un archivo adjunto se ejecute hay que abrirlo, ¿no?

    Esperando encontrar información más concreta acudo a este blog y me encuentro con la frase "Cuando se descarga el dropper se infecta con el ransomware la máquina." Entonces, o bien obvias el paso de ejecución del programa (por obvio, valga la redundancia), o de verdad me estoy perdiendo algo. La web del CCN tampoco aclara esto y, como digo, no sé si por obvio.

    Por otra parte, el virus solo se propaga por la LAN. ¿No hay forma que salga de ella e infecte automáticamente a través de internet a equipos no actualizados? Evidentemente no entiendo casi nada acerca de redes e imagino la cantidad de protecciones que existen como firewalls, el NAT del router particular de cada uno y demás, y la realidad de que, en el caso de proveedores de internet como Telefónica, nada tiene que ver la LAN de la empresa con el servicio de internet a los clientes; pero este incidente me hizo recordar el famoso Blaster de XP, y creo recordar que era automático sin necesidad de descargas ni intervención alguna del usuario, aunque imagino que son conceptos totalmente diferentes.

    Espero que las preguntas no os las toméis como el intento de querer que me den un curso gratis acelerado de seguridad y redes. Pero en este caso creo que la curiosidad está más que justificada tanto desde el punto de vista de un particular como el de un trabajador preocupado por sus datos y los de su empresa. En mi caso la empresa donde trabajo está en una intranet a nivel nacional y el viernes recibimos un email ordenando que apagáramos todos los ordenadores inmediatamente. Aunque en mi oficina todos los equipos con Windows tenían la actualización, aún disponemos de un par de equipos con XP, y además el Server 2012 creo que no estaba actualizado. Imagino que cuando llegue el lunes tendré que preguntar primero a la central si han reportado incidencias y actualizar el server a través de internet cruzando los dedos, o aplicando el parche manualmente sin estar conectado a la red. También hay unas cuantas impresoras multifunción en red que utilizan SMB para transferir archivos del escáner, pero eso sería demasiado rizar el rizo ya que en realidad no utilizan windows ¿no?

    Y, como no suelo escribir nunca y mucho menos dar consejos, me animo a ofrecer unas pautas básicas de seguridad a nivel usuario normal, aunque esta web especializada no sea el sitio para ello y seguro que las empresas tienen más que estudiada la forma de enseñar a sus trabajadores. Por supuesto hay miles de tipos de amenaza, pero, a nivel de "usuario normal" sin conocimientos de informática ni ganas o tiempo de adquirirlos, uno de los problemas es que la mayoría no sabe distinguir las fuentes de confianza, van a ciegas, o simplemente manipulados a través de un sinfín de anuncios que no saben interpretar y que la mayoría podrían evitarse con un sencillo bloqueador, y enseñando a reconocerlos y navegar a través de ellos. Debemos conocer nuestro SO, al menos los tipos de archivo y para que sirve cada uno; si quiero descargarme una imagen desde luego el archivo no se va a llamar "formatc.exe". En cierta medida, nos dejamos engañar con relativa facilidad.

    Dicho esto, excelente blog y post. Un saludo.

    ResponderEliminar
  103. Genial artículo, sigue así ^^

    ResponderEliminar
  104. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  105. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  106. Pues claro que se puede el 100%. Apaga todo y al campo con las vacas 😂😂😂

    ResponderEliminar
  107. Chema, una perfecta explicacion, no solo de este probkema, sino de lo que sufrimos en el mundo de las Tecnologias.
    Un crack

    ResponderEliminar
  108. Chema, tu entrada de blog, me ha parecido muy coherente y real, como es la situación en empresas, grandes .. No es lo mismo que en las pequeñas.. El factor humano es el más débil .. Necesita formación e información sobre seguridad y buenas prácticas con la tecnología, dentro y fuera del ámbito laboral. Sería interesante que al igual que se están introducciendo nociones de económica, salud y seguridad en el ámbito escolar, seguridad vual , también nociones de ciberseguridad ... Desde los niveles más básicos de le educación primaria (a partir 4 o 5 de primaria) ...

    Estoy contigo, coincido con tu visión.

    Animo Chema

    ResponderEliminar
  109. No es por defender a Chema, pero estas cosas pasan con más frecuencia de lo que se hace público. Tampoco criticaré que aún habiendo podido contar con mejores políticas de seguridad (todo se puede mejorar) como se ha evidenciado, y aunque (seguro) Chema es consciente de ello, en las corporaciones grandes no siempre todo es como uno quiere -por muy CDO que se sea-. Por último, sólo un par de puntuslizaciones: 1) ya van más de 20 secuestros/donaciones pagadas :-( y 2) quizás fuera importante resaltar que NO hay que pagar nunca y que tarde o temprano se suele encontrar la forma de recuperar los datos sin necesidad de pagar (si este mecanismo sirve para que los malos ganen dinero, cada día habrá más ataques por ransomware)

    ResponderEliminar
  110. Gracias Chema, su explicación al problema nos aclara mucho el panorama...

    ResponderEliminar
  111. Si bien es cierto que ayer marexia que te ponias de lado, entiendo que la prioridad era atajar el problema y no era momento para ateneder las RS.

    Gracias por tu artículo y la explicación ofrecida, si que tengas tal obligación.

    ResponderEliminar
  112. Hola, excusas excusas y mas excusas... es una verguenza que una empresa como Telefonica no tenga los filtros de seguridad minimos para evitar este tipo de ataque, mi empresa si los tiene y no se nos cuela ni uno y eso que recibimos varios cientos de correos maliciosos al dia, y tu como el estandarte de la seguridad de la empresa es vergonzoso que que hagas unas declaraciones diciendo que estabas de vacaciones o que no va contigo la cosa... es un fallo grave de seguridad, como es la actualizacion de los equipos que en tantas charlas abogas, deberias dimitir y dedicarte a otra cosa porque la confianza en tu seguridad se ha perdido

    ResponderEliminar
  113. Chemita, entiendo que tu cargo en la empresa es fruto de un movimiento de puro marketing, pero no nos cuentes mandangas. No hay ningún motivo por el que no haya que tener los equipos de usuario actualizados (por lo menos los parches críticos), el "proceso de verificación de las actualizaciones" se hace para máquinas/servidores de producción, y si estoy equivocado por favor cuéntanos que aplicación ad-hoc de usuario es suceptible de cascar por un parche de seguridad crítico, y si merece la pena el riesgo dejarlo pasar. Lo que os ha sucedido es una cagada de la persona o del equipo que supervisa el WSUS, pero el responsable último eres tú. ¿O sólo cobras por ir con ese look grunge de Mango y soltar bullshit corpartivo al mass media? A ver si va a ser eso...

    ResponderEliminar
  114. witter blogger MalwareTech has accidentally stopped WannaCry spread through registering a domain name hidden by hackers in ransomware source code - https://malwareless.com/wannacry-ransomware-attack-temporarily-stopped-accidental-hero/. But they can start again soon if they change ransomware kill-switch mechanism a bit

    ResponderEliminar
  115. Parece que en este país esperamos a que ocurra la mas mínima cosa para poder despellejar a la gente que se lo curra día a día, y que aún por encima intenta hacer de este mundo, un mundo mejor.

    Sobra cualquier cosa que diga, mis ánimos a todo el equipo que conforma Telefónica y desde aquí, un fuerte abrazo y sigamos trabajando.

    "Ladran, luego cabalgamos" (Nota: No, no es del Quijote amigos! :D)

    ResponderEliminar
  116. Estimado Chema, no voy a negar que esperaba con ansias tus comentarios al respecto luego de ver ayer en los informativos y leer luego en la prensa digital los estragos que estaba haciendo este bichito. Me sonó a noticia inflada, amarilla al 100% sobre todo por el machaque a Telefónica una y otra vez. Hoy leo tu publicación y me parece excelente lo que explicas.
    Es cierto que al principio parecía que venía por el lado de las excusas (le pasó a otros, me pilla de vacaciones, etc), pero es como tu dices, hay un muy buen equipo en Telefónica que sabe lo que hace y deben tener definidos protocolos de actuación para estos casos. Lo importante, como tú lo has hecho, es ponerse a disposición para ayudar, sin esquivar el bulto como se dice, para así evitar entorpecer a los compañeros.
    En mi experiencia laboral hemos tenido, años atrás, un episodio de Ransomware y la directiva fue la misma, desconecten el equipo y recuperen los archivos del backup de la noche previa, luego analizar el equipo infectado y repararlo. Es lo que hay que hacer, punto.
    Chema, sos un Profesional con mayúsculas y es un placer leer tus comentarios, consejos y anécdotas.
    ¡Arriba!

    ResponderEliminar
  117. Como siempre eres un crack y no Mr has defraudado. Ayer fue un día muy movido, muchas llamadas y problemas. Pero una vez más poco a poco se van solucionando los problemas del Ransomware y Cryptoleker. Muy buen artículo hoy. Saludos de un admirador cada día aprendo en el lado del mal.

    ResponderEliminar
    Respuestas
    1. No debía de haber sucedido.

      Así , así de claro.

      Han perdido por goleada.

      Esto no es ni mucho menos un ataque.

      Recuerdo a la gente que es de niños

      Eliminar
  118. Como siempre eres un crack y no Mr has defraudado. Ayer fue un día muy movido, muchas llamadas y problemas. Pero una vez más poco a poco se van solucionando los problemas del Ransomware y Cryptoleker. Muy buen artículo hoy. Saludos de un admirador cada día aprendo en el lado del mal.

    ResponderEliminar
  119. Hola, me interesaría poder obtener dos fotos .jpg, una encriptada con Ransomware y la misma sin encriptar, no mer gustaría ser personalmente infectado para conseguirlas.
    He buscado y no encuentro información de si encripta los ficheros completos, o solo el cuerpo y no el header, de si busca fichero a encriptar con una extensión dada o los analiza directamenta para saber si es una foto o no.

    ResponderEliminar
    Respuestas
    1. Usa una máquina virtual si quieres jugar con estás historias.

      Eliminar
  120. Chema la verdad es un Excelente artículo, mi opinión es que la seguridad 100% no existe. Un saludo desde Cuba.

    ResponderEliminar
  121. Suena muy bien el articulo, pero en este caso mas que nunca me esperaba un poco mas. Supongo que tocaba esa parte de parafernalia de Telefonica y un poco menos de tecnicismos. Los de seguridad jabali han hecho un documento mas tecnico de que es lo que ha pasado y explicando como se cuela el script del correo. De todas formas animo, nunca esta de mas poner los pies en la tierra. Un saludo y animo!!!

    ResponderEliminar
  122. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  123. Mis respetos a los hackers que usan el hack para defender el ciberespacio y no para destruirlo.

    ResponderEliminar
  124. El manejo de crisis es fundamental y en ese sentido lo han hecho bien, pero descuidaron un punto muy importante en la gestión de riesgo que es la prevención. Te compro la idea que el sistema informático tiene mucho código y es sensible a actualizaciones del S.O., en ese sentido los servidores críticos no pueden recibir actualizaciones sin ser probadas antes, pero además existen servidores que no son críticos y en un mundo completamente separado se encuentran las estaciones de trabajo, las principales responsables de la propagación del virus. Existen estrategias de parchado en ambientes complejos para instalar actualizaciones de seguridad de manera progresiva en equipos no críticos primero y que sirvan como prueba en los críticos. La virtualización, el uso de la filosofía de devops y herramientas para la automatización de procesos complejos facilita la generación de ambientes para realizar estas pruebas en ambientes más complejos. Estoy completamente de acuerdo que es imposible tener el 100% de los equipos actualizados, siempre existen aplicaciones legacy corriendo sobre un windows demasiado antiguo que ya no se puede actualizar, sin embargo es nuestra responsabilidad trabajar para tener la mayor parte del equipamiento protegido. Como informático me ha impactado observar que gran parte de la propagación de este virus se haya realizado a través de estaciones de trabajo, por lo que he visto en fotografías enviadas por twitter, y me decepciona mucho ver que tu post carece de autocrítica respecto de la gestión de seguridad y la horrible estrategia de no parchar y concentrarse en la contención. Conociendo ese enfoque, a partir de ahora cualquier delincuente con conocimientos puede dirigir nuevos ataques de seguridad directamente a telefónica, solo va a tener que esperar que Microsoft publique una actualización crítica para hacerle ingeniería reversa y luego enfocar el ataque. Es sabido por Microsoft que todo ese proceso hoy en día puede tardar 2 semanas y ustedes no tenían instalado un parche que podría haber evitado la distribución del ransomware, publicado hace un mes y medio!!!. Y para qué hablar de la seguridad en sistemas Unix/Linux, donde las amenazas son más complejas de detectar. Impresentable Chema!!!

    ResponderEliminar
  125. Una pena Chema que te encuentres en esta situación, estás haciendo cosas en telefónica de un enorme valor, pero piensa que una compañía que vende seguridad debe dar más explicaciones sobre como esto le ha ocurrido porque no puede permitirse perder credibilidad de cara a sus clientes.
    El software de telefónica dista mucho de ser seguro, y telefónica nunca ha dado importancia a esto. Todos tenemos software a medida en la empresa del que no nos sentimos orgullosos y en telefónica contratando,como han estado haciendo, a factorías de software lo más baratas posible tendrá mucho más.
    Si un software se rompe por las actualizaciones del sistema operativo es porque no se ha programado de acuerdo a las mejores prácticas en el mismo. Una buena arquitectura de software limita mucho las líneas de código que se vean afectadas por cambios en el sistema operativo.

    Sin quitarte el merito por todo lo que has hecho, mi opinión se acerca mucho a la gente mas critica en sus comentarios. Estás en la Cúspide de la organización de Telefónica, no existiendo ningún técnico en el mismo nivel tuyo, por lo que si no te sientes responsable es que no entiendes tu cargo. Esa primera reacción tuya ha sido malísima debido a que en ella no has defendido la profesionalidad de los que están a tu cargo. Si no tienes confianza en la gente a tu cargo, debes de trabajar por cambiarla. Un "Chief" no es un llanero solitario, es el líder de la manada, y debe esforzarse por tener la mejor manada. Por eso este post es muy triste de nuevo porque ni si quiera se realiza autocrítica y se intenta minimizar lo sucedido.
    En muchos comentarios anteriores al mio se cuestiona la seguridad de la que hablas en el post porque no has explicado la vía de infección en telefónica. Tener a TODA la empresa sin la posibilidad de encender su ordenador hasta nuevo aviso no es algo que se pueda minimizar cómo has hecho.

    Tu reputación como experto en seguridad no debe verse mermada pero la capacidad de telefónica para abanderar la seguridad en la empresa gracias a que tu trabajas en la empresa estará por los suelos tras todas tus reacciones.

    O reconduces esta crisis de otra forma o puedes olvidarte de que la compañía en la que trabajas sea líder en prestar servicios de seguridad informática.

    De esta crisis debe salir un nuevo plan estratégico, para que internamente Telefónica sea un ejemplo de lo que quiere ofrecer a sus clientes.

    En casa del herrero no puede haber cuchillo de palo.

    Ser una persona tan mediática y conocida te ha puesto en el cargo que ostentas, Telefónica contratándote compró reputación. Y lo que te ha permitido estar en el puesto que estás, en el que cualquiera querría estar, es lo que ahora hace que tu problema tenga la repercusión que tiene.

    ResponderEliminar
  126. Muy buen artículo, Chema; ¡Gracias!

    He sido CISO en una multinacional durante más de 15 años y, estoy absolutamente de acuerdo, la seguridad 100%, ni en los mundos de Yupi.

    Saludos.

    ResponderEliminar
  127. Me surge una duda que no se si ha comentado alguien en algún otro mensaje ¿Como quedan las soluciones antivirus ante un asunto como este? ¿Puede ser el remate que faltaba para quedar como un medio de protección obsoleto?

    ResponderEliminar
  128. Buenas tardes
    He tenido el placer de conocer a Chema y no es justo aprovechar esta ocasión para "machacarlo" cuando al menos ha tenido la intención de hacernos partícipe de ello. Un ransomware es un script que cifra los archivos de la víctima y como tal, surgió del proyecto de Uktusen, el conocido Hidden Tear. No sé si lo sabemos, pero la actualización del 14 de marzo de este año no es para los equipos Windows 7.

    No podemos cubrir el 100% porque el conocimiento nunca acaba y mientras colocamos un muro o protección, otros paralelamente crean como derribarlos. Además en grandes corporaciones es muy difícil que se aplique las Políticas de Seguridad en todos los ámbitos cuando existen clientes, terceros, proveedores, franquicias, etc etc.

    Qué le puedo reprochar a Chema? las frases de que no es un área suya o que estaba de vacaciones. Pero ésto es una raya más al tigre y si al menos se toma la molestia de mantener un blog para compartir el conocimiento pues cumple con una de las premisas de todo hacker "el conocimiento es libre".

    @lberto, Kennobi, Gonzalo, etc no es nada en contra vuestra pero ha pasado ésto como en octubre ocurrió el ataque DDOs con servidores DNS.

    Seguramente se puede minimizar el impacto de la Ingeniería Social, pero también estoy de acuerdo con lo que dice Chema cada empresa es un mundo.

    **Si no nos detenemos a aprender, no estamos listos para nuevos retos**

    ResponderEliminar
  129. Algunas medidas generalistas que se pueden tomar para proteger un poco la red corporativa Windows ante ataques de ransomware:

    http://www.hackplayers.com/2016/04/de-como-protegerse-contra-cryptolocker-2.html

    http://www.sysadmit.com/2015/04/windows-gpo-para-prevenir-cryptolocker.html

    No son infalibles, pero ayudan.

    ResponderEliminar
  130. Buen Articulo Chema. Saludos

    ResponderEliminar
  131. Muy bien explicado Chema.
    Aún sin ser un "conocedor" de la seguridad de sistemas,no comprendo bien como no están parcheados, con las últimas actualizaciones, los equipos de usuario de Telefónica.
    No me acaba de entrar en la cabeza.
    Por lo demás, mis felicitaciones por tu gran trabajo en la seguridad y en la divulgación. Eres muy grande.
    Ánimo Chema.!!

    ResponderEliminar
  132. Buenas Chema, aunque estarás curado de espanto, mandarte mucho ánimo porque parece que muchos esperaban algo así para desacreditarte. No tienes porque gustar a nadie, pero creo que nadie puede debatir tu profesionalidad.

    Mucha fuerza y gracias.

    Un abrazo.

    ResponderEliminar
  133. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  134. El virus más grande jamás creado es el que se encuentra entre el teclado y la silla, y no hay sistemas de protección a día de hoy que puedan disuadirlo.

    ResponderEliminar
  135. @Hector Pauta, la actualización del 14 de Marzo sí incluye windows 7:

    For all supported x64-based editions of Windows 7:
    Windows6.1-KB4012212-x64.msu Security only

    La puedes descargar desde:
    http://www.catalog.update.microsoft.com/Search.aspx?q=4012212

    Más info en:
    https://support.microsoft.com/en-us/help/4013389/title

    No es mi intención machacar a Chema, creo que este post equivale a su versión oficial (técnica) de lo sucedido y no estoy de acuerdo con sus planteamientos respecto del parchado de los end points.

    Saludos,
    /Christian

    ResponderEliminar
  136. Chema... y si me tuviera ese problema del virus. Que se debe hacer para eliminarlo?. Saludos desde El Salvador. Giovanni Del Cid.

    ResponderEliminar
  137. Dice que se invierte más en rollbacks en caso de infección que lidiar con parches que podrían tener problemas de compatibilidad. Pero si pueden hacer rollbacks ante una infección, también pueden hacerlo ante una actualización incompatible, o no?

    ResponderEliminar
  138. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  139. Parchado o no parchado, una solución aunque fuera mediocre de control de APTs hubiera mitigado el problema.
    Si Telefónica no cuenta con una, deberían pensar en ella. Si es que si la tienen, me encantaría saber de qué fabricante se trata para NUNCA utilizarla.

    ResponderEliminar
  140. Sin entrar a valorar si Chema Alonso es el mejor o el peor hacker que cualquiera de los que se llama a si mismo hacker, Creo que el Twitter de ayer diciendo que no era responsabilidad suya no ha sido muy afortunado, que aun siendo verdad puede pecar de poco solidario.

    No obstante quiero decir que en este blog he aprendido lo poco o mucho que sé es sobre seguridad y quiero dar las gracias a Chema Alonso por compartirlo mucho o poco que sabe con nosotros, no creo que merezca la caña que le están dando y a cualquiera de los que lo están poniendo a parir se puede ver mañana en "los papeles" así que vamos a levantar un poquito el pie del acelerador y a solidarizarnos un poco más con los que tiene problemas hoy ... Por ti y mañana por el que abre la boca.

    Ánimo y a arrimar el hombro. A ver si cuando vuelva todo la tranquilidad nos explicas un poco más sobre medidas que se pueden tomar tanto a nivel particular como profesional y profundizar sobre este caso para seguir aprendiendo.

    Aprovecho para decir que el artículo del mundo echando la culpa a WikiLeaks por haber dado "claves" a los hackers me parece nefasto, dan la impresión de no saber de lo que están hablando o lo que es peor, están exculpando a quien no deben. Están matando al mensajero cuando el culpable han sido primeros Microsoft lo la NSA por fabricar jugetitos y por último los usuarios y responsables de las empresas que han permitido que esto pueda ocurrir.

    Os recomiendo que si tenéis un rato echéis un vistazo a la entrevista de Iñaki Gabilondo a uno de los guros Geopoliticos de nuestra época, Julian Assange, una mezcla perfecta entre tecnólogo, político y periodista. Algunas de las opiniones que vierte son realmente sorprendentes. A mi me ha encantado la entrevista.

    https://www.youtube.com/channel/UCPgvCUSmHWm2177LkwLtZQw

    Un saludo Chema y ánimo con la que te está cayendo, gracias de nuevo.

    Un lector asiduo.

    ResponderEliminar
  141. Es cierto que el virus lo desactivaron porque compraron el dominio gwea.com que coge la información de encriptwcui. De ordenadores y lo reenviaron a los angeles. Los dueños desactivaron porque sabían que alguien podía hacer esto

    ResponderEliminar
  142. Hola Chema:

    En mi humilde opinión creo que este post del Chema deja claro que está tratando de atenuar el tema, principalmente indicando que es una empresa grande y que el proceso de parches se debe probar etc, etc...pero como ya comentó alguien...en equipos cliente también?...y probablemente fue algún usuario final quien abrió algún adjunto en un mensaje de correo electrónico, es poco probable que en uno de los sistemas de misión crítica algún admin haya causado esto...Lo realmente increíble para mí es que el Chema indique que tardan tanto en tiempo en desplegar un parche y máxime sabiendo que Microsoft indicó que era un parche de seguridad CRITICO...vamos Chema tu eres MVP y sabes que significa un parche catalogado así, cómo las otras empresas no se vieron tan afectadas como Telefónica? también son grandes como tú dices, solo puedo decir algo es inadmisible desde cualquier punto de vista que un parche crítico no sea desplegado lo antes posible. Ya sabemos cuándo salga una vulnerabilidad crítica y el fabricante saque un parche, queridos amigos ciberdelincuentes, e incluso Lammers, tienen más de DOS MESES!!! Pueden esperar con tranquilidad el exploit y ya saben...el primer objetivo… Telefónica, ya Chema acaba de revelar que los parches críticos no se implementan de inmediato...

    My two Cents

    ResponderEliminar
  143. ¿Se sabe si la infeccion es capaz de propagarse alojandose en medios de almacenamiento externos, USB o discos duros, o solo lo hace a traves de la red? Gracias.

    ResponderEliminar
  144. ... otra opinión más al respecto... (después de leer casi todos estos posts)

    Esto seguirá pasando mientras se "gestione la derrota", en base a los esfuerzos económicos que nos supone --> error cometido por muchas grandes empresas. https://goo.gl/Q3rd8J

    No creéis que también se esta gestionando mal la información interna ofrecida al exterior en este tipo de Feeds con la audiencia a la que va dirigida? --> otro error (saludos al empleado de Telefónica, o subcontrata del reply más arriba que pudiera no cumplir con los contratos de confidencialidad que le habrán hecho firmar)

    Lo que hay entre la silla o sillones y la pantalla pueden ser el problema, me reconozco como uno de ellos, un usuario que a veces le dan más permisos dentro de DA, de los que le gustaría tener que responsabilizarse por el sueldo que percibe, pero creo que hay usuarios y usuarios desde banquetas (temporales, externalizados y sin vacaciones) que tienen mucho mas cuidado que muchos de los que ocupan sillones, mal gestionando la seguridad en muchas grandes empresas, y como prueba, un botón. --> será necesaria más boletines de seguridad para los empleados, o que estos realmente lo lean?

    No gestionar el impacto mediático de este desliz, amplificado por un día con pocas noticias en el telediario --> otra cagada! (¿dónde esta vuestro Chief Digial Officer para controlar la visión que se ha dado de esta problemática?)
    o realmente ha sido el tipo de mail que madasteis a los empleados el que lo ha hecho "viral" ya que por normativa los incidentes de seguridad los teneis que publicar no? (http://www.expansion.com/2014/06/05/juridico/1401993840.html)

    Saludos, a los que hoy sábado, mañana domingo y el lunes, festivo en Madrid, estarán remaquetando como locos y restaurando copias de seguridad.. que también tienen que vivir las cárnicas de TI.
    Saludos, también al del sillón que se quejaba de volver de vacaciones para echar una mano.. qué menos ... };-)

    Como reflexión, cada vez serán más estos casos en los que un sistema se ve afectado por vulnerabilidades conocidas o no... pero que haya alcanzado la repercusión que ha alcanzado sin llegar a ser un 0DAY, me hace reflexionar acerca de lo que pasaría si esto ocurriera con un 0DAY... o esos no salen en las noticias?

    De todo este post, me quedo con la aportación que más arriba Carlos ha realizado para mitigar esta problematica,
    http://www.hackplayers.com/2016/04/de-como-protegerse-contra-cryptolocker-2.html
    http://www.sysadmit.com/2015/04/windows-gpo-para-prevenir-cryptolocker.html

    ... y perdonar por dar otra opinión más.

    Saludos!

    PD: Cerrando comentarios en 3, ... 2, ... 1, o igual no...

    ResponderEliminar
  145. Para Chema: ya sabes como es este país. En España, y en otros países intuyo que también , un fracaso se puede perdonar pero un éxito....nunca!!!!!!

    Tú, Chema, has tenido y tienes mucho éxito y eso no se perdona. Como la frase que se atribuye al Quijote:"ladran, luego cabalgamos". Cabalga Chema!!!! Cabalga!!!!

    ResponderEliminar
  146. Una sola palabra: subocupación.

    ResponderEliminar
  147. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  148. Bueno chema, se comprende tu modestia al respecto en este articulo sabemos que no eres culpable si no que la infección se dio por otros puntos ciegos.

    por mi parte también ando reportando los binarios en virus total, etc.

    "Todo lo que el ser humano puede hacer por dinero(Bitcoins)"
    Saludos desde Perú amigo mio.

    ResponderEliminar
  149. He pasado ya por 3 intentos de ransomeware, el primero nos jodio 10000 archivos, por suerte recuperables. Los siguientes ya "aprendimos" a concienciar al usuario y detenerlos. Veo una cagada no tener los equipos del personal actualizados.. pero también digo que en cada casa cada uno conoce el porque de las cosas. Aún así, sea culpa o no de un fallo de seguridad señores, nadie es perfecto y ni a Chema hay que arremeterle la culpa ni al equipo que hay detras. Nadie esta libre de cosas así y los expertos que critican deberian ser mas humildes porque si todo fuera tan facil como decir: estas mal pagado porque con esto lo hubieras solucionado, entonces sysadmins seriais vosotros los que cobrarias la pasta.

    Chema y equipo, si me leeis, no soy fan ni seguidor pero si estoy mas o menos al dia del trabajo que desarrollais. Estad orgullosos y pensad que esto pasa en las mejores casas. De todo se aprende y seguro que haceis un trabajo extraordinario. Nadie esta a salvo al 100% y seria de tontos pensarlo.

    Saludos

    ResponderEliminar
  150. Enhorabuena y gracias Chema.
    un par de preguntas.

    1. ¿si en un entorno de red un firewall pudiera bloquear la localización del dominio el ransomware podría ponerse a trabajar?

    2. ¿sabes si los filtros de seguridad de office365 bloquea este virus?

    3. Lo mas importante, ¿Hay forma de identificar los emails que contienen el bicho?

    mil gracias.

    ResponderEliminar
  151. De esta situación lo que no me gusta es que haya empresas que digan: "Si le ha pasado a Telefónica..." y de esa manera justifiquen la falta de inversión en seguridad.

    ResponderEliminar
  152. Estimado Unknown, para hacer un rollback primero es necesario hacer un snapshot y las nuevas infecciones no avisan!! no es ese el punto. ...

    ResponderEliminar
  153. Buenas , hay 3 carteras conectadas a este WCrypt ransomware.

    https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw

    https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn

    https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94

    ResponderEliminar
  154. Chema muy buena carta, soy de Argentina y estoy a cargo de la seguridad de una empresa con decenas de equipos, y puedo darme una idea de los dolores de cabeza que debes tener vos y todos los que están ciberseguridad de Telefónica. En lo personal creo y muchos que estamos en el rubro este es sólo la antesala de algo más grande, debemos estar más que vigilantes. Saludos malignos.

    ResponderEliminar
  155. http://www.elladodelmal.com/2017/05/pentesting-windows-buscar.html

    ResponderEliminar
  156. La verdad es que creo que son explicaciones y excusas, muy bien por aclarar la situación lo cierto es que el aviso de este problema o fallo fue arrojado en febrero-marzo tiempo suficiente para que un buen equipo se seguridad pudiera haber prevenido cualquier ataque que afectará bajo ese fallo, muchas empresas que utilizaron el parche no se vieron afectadas pero otras que prefirieron no aplicarlo sufrieron perdida de más de algún dato...admiro tu capacidad de dar explicaciones ante tal ataque a una empresa de gran envergadura la cual, no debería ser vulnerada tan fácilmente pero como dices nadie está 100% libre, solo queda aprender de esta situación y velar por como aplicar mejoras de seguridad sin entorpecer el negocio de cada compañía.

    Bless!!

    ResponderEliminar
  157. 'Gracias Chema por el excelente post, mientras muchos critican desde la comodidad de su sofá, tú explicas estando de vacaciones. El sacrificar el tiempo en familia no está pagado.

    Gracias por hacer ver que los equipos de profesionales están por encima de los lideres. El que no haya estado nunca en un Gabinete de crisis no puede entenderlo.

    Gracias por hacerme sentir orgulloso de trabajar en la misma compañía. El que piense que después de LUCA y AURA ya está todo hecho es que no apuesta por Elegir Todo. Algunos tenemos ideas para la 5a Plataforma, otros sólo opinan.

    Gracias por dedicarnos parte de tu tiempo libre, que seguro que es escaso. Otros en cambio lo malgastan.

    ResponderEliminar
    Respuestas
    1. Hola Lui, habéis hecho trabajos excelentes. Seguro que haréis muchos más.
      Pero os habéis relajado.
      Y vuestros productos en este momento se encuentran cuesta arriba, porque habéis perdido mucha credibilidad.
      No esque os hayan hecho un superhackeo....no que va.....Esto que han hecho es de risa.....Esto es de niños.
      Es más, habéis oxidado todo el buen trabajo que habéis hecho.
      Porque una cosa te digo, pueden hackear a 10000 millones de empresas, pero a vosotros..... no podéis permitirlo, porque estáis vendiendo seguridad, y además dando a conocer a gente como Chema que cada 2 x 3 , anda haciendo conferencias.

      Somos humanos, pero Joder dejaros de gilipolleces y no justifiqueis lo injustificable.

      Más vale que digáis que os vais a dejar los huevos en mejorar y punto.

      HACK MK3R

      Eliminar
    2. Este comentario ha sido eliminado por el autor.

      Eliminar
  158. has olvidado dar el codigo del ransomware para que podamos reutilizarlo.

    ResponderEliminar
  159. Excelente informe y excelentes acciones de equipo!

    ResponderEliminar
  160. Hola Chema, yo tengo un trabajo muy parecido al tuyo en una empresa norteamericana, y en mi opinión creo que deberías de empezar a dar tus conferencias con el personal que tienes trabajando allí en Telefónica, y no dar conferencias a gente que no sabe ni lo que es el protocolo tcp para engrandecerte personalmente de la gente de la calle.

    Nosotros los expertos en seguridad nos valemos de nuestra credibilidad, y si encima pasa en Telefónica.....pues tu me dirás.

    También decirte, que Esto te reconoce como humano que eres, pero deberías de considerar que tu tirón mediático no justifica los medios.
    Es tan sencillo como imponer un protocolo de seguridad para no permitir la apertura de ningún archivo que corresponda con el formato que trabajais a nivel de oficina.

    Siento muchísimo lo sucedido, a nosotros no nos pasó porque tenemos otras medidas que no permiten nada de este tipo. A veces optamos por formar al personal nosotros mismos dando instrucciones sobre este tipo de incidentes, y no dejando en manos del sistema la situación para que pueda pararla. Como hacker ético sabemos que lo nuevo nunca está probado, por lo que siempre tendremos nuevas amenazas en nuestro cara. A veces el sentido común Es más fuerte que cualquier medida por buena que pueda ser.

    PD: HE HABLADO EN UN LENGUAJE CLARO PARA QUE TODO EL MUNDO ME ENTIENDA A LA PERFECCION.

    Un fuerte abrazo, y seguro que todo irá bien.

    Att Mike M. ( HACK MK3R)

    ResponderEliminar
  161. Después de leer mi propio comentario, tal vez he sido un poco duro al principio, y quería decirte también que eres un excelente profesional, pero tal vez no fueron acertadas tus primeras declaraciones en twitter, dando a entender que tu preocupación era más personal, y no por tu empresa.

    Quitando ese desafortunado comentario sigo creyendo que tenéis equipo (equipazo) de sobra para resolver cualquier problema que se ponga.
    Tienes mucho talento y nadie podrá decirte lo contrario.

    A veces en nuestro trabajo vamos ciegos buscando gigantes y no nos damos cuenta de las pequeñas cosas de nuestro alrededor.

    SALUDOS

    HACK MK3R

    ResponderEliminar
  162. Animo son cosas que pasan y cuando uno es famoso lo es para lo bueno y para lo malo. No te extrañe que estés fuera de telefónica antes de acabar el año, siempre hay una cabeza de turco en estas situaciones.

    ResponderEliminar
  163. Hola Chema,
    Te sigo no hace mucho, no entiendo mucho de seguridad, por lo que aunque lea estos artículos alucine más que lo que pueda aprender. Cuando hice la mili... estábamos en unas maniobras y nos preparábamos para un ataque enemigo... teníamos que hacer todos los preparativos para mantener mejor nuestra posición... y cuál fue la lección que aprendimos entonces es que esos preparativos no acaban nunca, siempre se puede hacer algo más, se acaban solo cuando llega el ataque. Por eso gracias por tu blog y por tu humildad. A veces ser el blanco de los chistes de las redes sociales es el precio que pagar por estar en la brecha tanto tú como telefonica, pero llevándolo con humildad y dando la cara te hace más grande. Sigue así,ánimo y gracias.
    Javier

    ResponderEliminar
  164. Chema, me consta que no intentaste escurrir el bulto pero creo que alguno de tus tweets fue tremendamente desafortunado y se podía interpretar en ese sentido. Lo digo porque eso me ha llegado de algunos ex-compañeros de Telefónica que el viernes tenían un cabreo monumental.

    ResponderEliminar
  165. Hola,

    Aqúi hay varios temas.


    - En cuanto al virus, ningún periódico lo ha explicado bien: Información errónea, copias de noticias, especulaciones,... lo de siempre en otros ámbitos. Lo que mas me ha sorprendido de los últimos datos que se conocen es el "kill switch" que tenía. Desconozco si algún niño chino se descargó el virus y lo lanzó o si se trata de una creación o un tuneo mas profesional, pero desde luego no me parece un despiste, puesto que es algo puesto adrede. El código es muy simple e implementar esa puerta que puede abrir CUALQUIERA facilmente para evitar su propagación da que pensar sobre las intenciones reales. Me parece de una imbecilidad supina, desde el punto de vista de alguien que quiera hacer daño. La mejor forma de implementar ese switch si es que quieres tenerlo sería por ejemplo una solución basada en el anonimato del blockchain unido a lo que tu tienes y los otros no: la clave RSA, AES o lo que sea(Tb hay contradicciones respecto a esto).

    - En cuanto a la seguridad, es obvio que es imposible garantizarla al 100%, es de sentido común, no hace falta ser experto en ello para comprenderlo. Solo se puede conseguir ponerselo más difícil a los atacantes. Conozco Teléfonica internamente y es complicado asegurar todo masivamente(por muchas razones). Aún así, da muy mala imagen que una empresa de tecnología sufra estos ataques. Iberdrola o los hospitales de UK por ejemplo, es más comprensible, aunque no aceptable.

    -Chema Alonso: Desconozco si es un gran profesional de la seguridad o no. Lo que he visto en videos de él le puede sorprender a un neófito pero obviamente alguien que sepa un poquito (no mucho tampoco), sabe que son cosas básicas. Obviamente hay mucho marketing en su personaje, pero bien por él también.. hacedlo vosotros y nos os quejéis tanto. En cualquier caso creo que se le ha atacado demasiado y sobre todo sin conocimiento, sin argumentos concretos.

    En lo que creo que quizás te has equivocado Chema es en la respuesta... Si es cierto que la seguridad interna no depende de tí (me lo creo), no hace falta que te defiendas diciendo que a otros también les ha pasado, que no ha sido para tanto, que estabas de vacaciones, etc... No hacía falta dar esas explicaciones porque creo que te hacen mas mal que bien, como se está viendo... Si hubieras dicho por ejemplo, algo similar a: "Hemos sufrido un ataque y estamos haciendo todo lo posible por solucionarlo cuanto antes" con los días ya alguien habría salido a decir que no era tu responsabilidad y habrías quedado muy bien, precisamente por centrarte en solucionar el problema, sin más.

    Un saludo Chema y espero que lo solucioneis pronto con los menores daños posibles.

    ResponderEliminar
  166. Hola Chema,
    Estoy de acuerdo con los compañeros que han dicho que tus primeras declaraciones en twitter no han sido acertadas.Denotan que eres humano; y sobre todo que querías dar la cara. Mi enhorabuena por esto último.
    El asunto es que la responsabilidad de la seguridad informática de una empresa recae sobre muchas personas dentro de la organización; y más teniendo en cuenta el tamaño de Telefónica. Pero es que además el último responsable de un ciberincidente es el director de la compañía; él es quien debiera haber hecho ya una declaración pública asumiendo su culpa y tranquilizando a sus clientes. Y que yo sepa esto no ha sucedido aún. Al menos un portavoz oficial de Teléfonica debería haber dado alguna explicación. Una noticia de 4 lineas en la página oficial lo veo completamente insuficiente https://www.telefonica.com/es/web/sala-de-prensa/-/incidencia-ciberseguridad
    Con todo esto quiero reforzar la idea de que en mi opinión tu no eres el responsable del ciberincidente; aunque si espero que publiques las lecciones aprendidas más interesantes que obtengáis de él. Los que te responsabilizan creo que están desinformados.
    Mi enhorabuena al equipo de respuesta a incidentes porque el principal objetivo que es seguir dando servicio a los clientes se ha conseguido.
    Mucho ánimo para todos los que estáis trabajando para recuperar la normalidad en Telfónica, y también para el resto de equipos de respuesta a incidentes que están trabajando en otras compañías que no han tenido la valentía de reconocer la debilidad de sus sistemas.

    ResponderEliminar
  167. Es increible la falta de capacidad crítica de cierta gente sólo porque este señor se haya creado una imagen determinada y cierto numero de personas le admiren .

    Telefonica le puso allisobretodo por una cuestion de imagen y por puro marketing para crear una visión diferente de su direccion que fuera mas atrayente y cercana .

    El es responsable de ciberseguridad y por eso está allí.Entre otras cosas por eso le pagan diez veces como minimo que a cualquiera de vosotros .

    Para ser la imagen de la seguridad de la empresa no ha sabido manejar la crisis y la incertidumbre a nivel de redes sociales ,cuando se supone que sabe moverse en ese terreno.Unicamente se ga entendido de forma reiterada del problema diciendo cosas como que estaba de vacas ,eso no es cosa mia ,pero que sí tengo que colaborar colaboro aunque no pueda dormir esta noche .Obvio No eres cajero del Dia .Y ellos sí que se sacrifican por un sueldo misero .

    EN fin,qué más .

    La mayoria de los que estan aqui y están en seguridad saben como funciona ese tipo d programas ,que son programas al fin y al cabo y saben de que forma se transmiten según la configuracion de l LANA y sí no se dedican a eso ,es sencillamente leer un poco algun artículo en internet .

    No diga que eso ha sido porque ese programa ha sido descargado por algun incauto ese día cuando saben perfectamente quellevaban semanas con el virus en alguno de esos equipos que no han actualizadp porque les ha pillado el puntr y saben perfectamente que se ha activado porque estaba programado asi .

    Tamb saben que no afecta a funciones fundamentales del sistema ,ni a clientes ni servidores .No es que se hayan vestido de gala ,es que suerte que el sector afectado no es fundamental y la informacion perdida es posible que sea irrelevante .

    En vez de indicar a sus seguidores en twitter que lean su blog porque evitadar explicaciones ,porque no le apetece aunque deba hacerlo ,al menos podria escribir un artículo mejor fundamentado ,con mayor análisis y no una forma de decirnos que el es maravilloso y sí no os gusta os aguantais .Que el artículo es mediocre .Por favor .

    ResponderEliminar
  168. Gracias por la explicación ,la coherencia y el aporte.
    Desgraciadamente siempre la envidia ha sido algo muy dañino en este país. Desde aquí te mandamos un abrazo y un gracias por la transparencia.

    ResponderEliminar
  169. @Maria T. Te equivocas, Chema no es el responsable de seguridad interna en Telefónica. La responsabilidad de la seguridad de la información en Telefónica, es del responsable corporativo de seguridad de la información (CISO) que es un cargo vinculado a Telefónica S.A.

    Además, cada una de las compañías del grupo, tiene su propio CISO que reporta tanto al CISO corporativo como, orgánicamente, al área a la que esté asignada la seguridad de la información en la empresa concreta. Chema no es, a día de hoy, CISO ni en el corporativo ni en ninguna de las empresas del grupo.

    Por otra parte, la parte de sistemas de información (que es la afectada por el ataque y la responsable de la aplicación de los parches de seguridad, antivirus, etc.) depende de los correspondientes directores de sistemas de información (CIOs) de cada una de las empresas y, de nuevo, Chema, no tiene responsabilidad en ese ámbito.

    Por último, el correo electrónico, que, parece ser, ha sido el camino de entrada de la infección, es responsabilidad de Telefónica Tecnologías Globales (TGT) en la que Chema, no tiene (de nuevo) ningún cargo.

    Sin embargo, sí creo que los tweets son desafortunados y, para la gente que estaba dejándose los cuernos, para contener la infección, en esas primeras horas supusieron una fuente más de tensión y cabreo. No os quiero contar, el carácter y la forma de trato de alguno de los que forman parte del comité de crisis.

    ResponderEliminar
  170. Gran artículo. Ánimo Chema. Salu2.

    ResponderEliminar
  171. Buenos días, yo de Colombia, trabajo para digitex una empresa vinculada para telefónica, si nos vimos también afectados y un poco aterrados con lo que estaba pasando, pero como bien explicas es imposible tener garantía del 100% en seguridad, pero al menos ahora sé que estamos en buenas manos, gracias por tu gestión y la de tu equipo de trabajo, esperando que todo siga funcionando tan bien como siempre, por cierto, excelente blog!

    ResponderEliminar
  172. Oh please Chema, everyone knows that you have to run, not legacy programs, but everything on virtual machines. At least we did that when i was working on a 3 letter word company... btw if you have any job available. contact me at admin at

    ResponderEliminar
  173. No se si entre tanto comentario de critica y peloteo se dejara ver alguno de consejo, asi que voy a gritar en mayusculas, disculparme:

    NO BORREIS LOS LOGS DE ERRORES DE DNS, LOS PODEIS USAR PARA ENCONTRAR AL PACIENTE CERO.

    Por supuesto los logs de scaneo de smb tambien dan una pista. Pero el hecho de que usara una conexion a esa url inexistente iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com en vez de esconderse en onion a la primera hace que este gusano sea rastreable por operadores de dns. Que por cierto estan de congreso en Madrid.

    Tambien ha habido una segunda release este domingo, con un killswitch distinto, ifferfsodp9ifjaposdfjhgosurijfaewrwergwea

    ResponderEliminar
  174. Un artículo para lavarse las manos y unos pocos comentaristas que más que profesionales, parecen unas groupies con aspiraciones ocultas... Todo muy protocolizado, muy "Itil", pero en serio, sr. Alonso... Hay que tener bemoles de quitar hierro al asunto (cara a su compañía lo entiendo...), cuando se han visto afectados hasta sistemas que controlan servicios core como sanidad o transporte en algunos casos.

    Como experto en ciberseguridad (cuánto daño ha hecho ud mediáticamente a los miles de admins de red, sistemas y seguridad), si en unos años se generan miles de accidentes de circulación por el "hackeo" de sistemas de vehículos a motor... ¿Quitará hierro también usted a ese hipotético hecho, porque no le hubiese afectado de lleno?.

    No, no es un tema menor éste y créame, como es obvio, no le acuso de lo sucedido, pero es excelsamente osado pensar que si a los medios ha saltado la noticia del WannaCry, no hay tanto motivo para preocuparse, cuando el grueso de empresas que han tenido afectación poseen tanto equipos de seguridad y de reacción rápida y temprana... Como herramientas de monitoring y seguridad más que conocidas... Cuidado con escupir hacia arriba, señoras y señores...

    ResponderEliminar