Академический Документы
Профессиональный Документы
Культура Документы
ciberincidente de WannaCry
en nuestra economía?
Junio 2017 Cyber Risk
Contenido
Introducción 3
Reflexiones finales 26
Autores
Rubén Frieiro Barros
Socio, Cyber Risk, Deloitte Advisory S.L.
Introducción
Entre el pasado día 12 y 16 de mayo se
produjo un ciberataque que afectó a
más de 360.000 dispositivos electrónicos
de más de 180 países, bloqueándolos e
impidiendo su utilización; sin lugar a dudas
ha sido uno de los mayores ciberincidentes
de los que se tiene constancia.
3
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
Este ataque masivo al que nos referimos, En este sentido, Deloitte se hace eco de
acontecido entre el 12 y el 16 de mayo, los comunicados oficiales de organismos
representa una amenaza sin precedentes y empresas e informaciones aparecidas
en el ámbito de la ciberseguridad. Se en medios especializados a lo largo de
trata de un ransomware (de “ransom”, las últimas semanas, así como de sus
rescate en inglés, y “ware” por “software” propias fuentes de ciberinteligencia, que
o programa informático), un tipo de recogemos a través de nuestra red global
código malicioso que explota una serie de de Cyber Intelligence Centers (CICs) y la
vulnerabilidades en sistemas operativos labor investigadora y forense desarrollada
Windows y en varios protocolos de red, por nuestros profesionales de equipos de
bloqueando y encriptando documentos respuesta a incidentes de seguridad.
almacenados en los ordenadores de sus
víctimas con el objetivo de solicitar al El CERT de Seguridad e Industria
usuario el pago de una suma de dinero en (CERTSI) ha realizado una vigilancia de las
la moneda electrónica bitcoin (más difícil direcciones IP que se han visto afectadas
de rastrear) para permitirles volver acceder por el ransomware, permitiendo identificar
nuevamente a los archivos. los dispositivos infectados y valorando el
impacto tanto nacional como global.
Se estima que 360.000 ordenadores en
más de 180 países han sido afectados No obstante, otras fuentes consultadas
por una variante de ransomware conocida amplian la magnitud del alcance del
como “WannaCry” o “WannaCrypt”. incidente hasta los quince millones de
20.000
18.000
16.000
14.000
12.000
10.000
8.000
6.000
4.000
2.000
0
13 14 15 16 17 18 19
Fuente: CERTSI
4
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
115
100
85
70
55
40
25
10
-5
13-May 14-May 15-May 16-May 17-May 18-May
Fuente: CERTSI
2 Kryptos Research (2017): “WannaCry: Two Weeks and 16 Million Averted Ransoms Later”
3 https://www.incibe.es/sala-prensa/notas-prensa/actualizacion-informativa-los-ciberataques-producidos-1
5
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
6
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
6 MS17-010 – Soluciona la conocida y explotada vulnerabilidad en el protocolo SMB que permitía la ejecución de código. https://go.microsoft.com/
fwlink/?linkid=843149
7 MS17-012 – Corrige varias vulnerabilidades en Windows que podían permitir la ejecución remota de código en los sistemas afectados. https://go.microsoft.com/
fwlink/?linkid=842212
7
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
Mapa de infecciones de
dispositivos por WannaCry
Fuente: MalwareTech
8
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
9
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
Impacto económico
del ciberataque
¿Cuáles son los diferentes impactos motivaciones de este tipo de ataques
que puede tener un ciberataque? pueden ser múltiples y complejas, desde
Cuando se considera el impacto real que obtener una rentabilidad económica hasta
supone sufrir un ataque informático de generar daño por motivos competitivos.
estas características por parte de una Sin embargo, los múltiples impactos que
empresa, existen diferentes aspectos y pueden generar los atacantes casi siempre
riesgos a considerar: pueden traducirse en un daño económico
para las organizaciones afectadas.
•• Respuesta y notificación: impacto
generado por el coste de dar respuesta Por ejemplo, la pérdida de información
al incidente, realización de actividades crítica o estratégica por parte de la
forenses y servicios de asesoramiento, empresa puede generar una cobertura
gestión de las comunicaciones con los mediática y exposición de la misma
stakeholders y otros posibles gastos de haciéndola especialmente vulnerable. El
monitorización. daño a la reputación de la marca y de la
confianza en el mercado podría ocasionar
•• Costes productivos: interrupciones una pérdida de confianza por parte de
del servicio, depuración de los clientes actuales de la compañía, que
responsabilidades, pérdida y/o reposición finalmente se traduce en la disminución de
de activos, costes comerciales por sus ingresos.
retención de clientes y de reputación o
marketing. ¿Qué impacto ha tenido WannaCry?
En concreto, en el caso de WannaCry, su
•• Cumplimiento de obligaciones: impacto tiene diferentes vertientes:
sanciones o requerimientos adicionales
de terceros, rating de crédito y coste de •• Impacto directo, por los costes
financiación, compensación de clientes atribuibles de modo inmediato y fácil: la
o cumplimiento de acuerdos de nivel de pérdida del propio dispositivo afectado,
servicio (SLAs). los costes de remediación y recuperación
de equipos de las empresas afectadas, la
•• Refuerzo de la seguridad: Costes por pérdida de las horas de trabajo asociadas
la reparación de brechas, incorporación a dichos dispositivos, etc.
de nuevas medidas de seguridad,
verificaciones o auditorías adicionales •• Impacto indirecto, que viene dado
como consecuencia del ciberataque. tanto por el sobreesfuerzo y horas
extra derivado de la revisión y chequeos
Como puede verse, a través de un de seguridad y la inversión en la
ciberataque con escasos medios y implantación de medidas adicionales
partiendo de muy poco, se puede generar de seguridad, así como por los costes
una “reacción en cadena” que genera un reputacionales, legales y financieros
impacto muy relevante en una compañía, derivados de haber sido víctima de este
en un sector o incluso en un país. Las ataque.
10
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
11
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
12
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
Es importante recordar, con respecto de recursos internos en la organización, es suficiente con realizar copias de
al coste que genera el pago del rescate, el coste sería menor o incluso nulo, seguridad periódicas y olvidarse de las
que los ciberdelincuentes del malware redirigiendo recursos humanos de mismas, esperando que en el momento
WannaCry solicitaban que el pago se otras tareas a estas para recuperar la de necesitarlas vayan a funcionar a la
realizase en bitcoins. operatividad de los ordenadores. perfección y sin incidencias; es de igual
importancia realizar pruebas de las
El bitcoin es una moneda virtual que En general, se estima que los costes de copias de seguridad para comprobar
permite realizar transferencias entre recuperación de los dispositivos afectados que efectivamente el funcionamiento es
diferentes “carteras”. Por parte de por un ransomware podrían situarse en el esperado y si se puede mantener la
las autoridades, es complejo realizar torno a 300-500 euros. Considerando el continuidad del negocio a partir de ellas en
una investigación sobre este tipo de caso de WannaCry, podemos comprobar caso de incidencia.
transacciones e identificar a las personas cómo el coste del ataque empieza a
físicas que se encuentran detrás de las ganar en relevancia si dicha estimación Es momento de hacer mención a las
mismas. la aplicamos sobre los aproximadamente distintas regulaciones en materia de
360.000 dispositivos que se vieron protección de datos de carácter personal a
Sin embargo, es cierto que las afectados por el malware. la que se encuentran sujetas las empresas
transacciones realizadas en bitcoins en la mayoría de los países desarrollados,
son públicas y que se puede realizar Independientemente de que se tengan por las cuáles, y sin perjuicio de otras
un seguimiento de los diferentes pagos a disposición los recursos internos normativas, se encuentran obligadas a
realizados a las diferentes carteras. En destinados a labores de seguridad realizar copias de seguridad de los datos
el caso de WannaCry, se identificaron informática, el tiempo destinado a la cuya gestión quede supeditada a las dichas
múltiples direcciones de ellas a las que se restauración de equipos es un tiempo normas.
pudo realizar un seguimiento y comprobar perdido que podría haberse destinado
que efectivamente sí se hicieron pagos por a tareas habituales, por lo que suponer Impacto económico consecuencia de
rescates. que en este caso no existirían costes por la inactividad del personal y del propio
recuperación de la operatividad sería negocio
Según la empresa Elliptic8, especializada en un espejismo. En el siguiente apartado Se trata de un coste más relevante que los
actividades de forensics realizadas sobre se estudia la relevancia del coste de anteriores y probablemente uno de los más
operaciones en bitcoins, se identificaron inactividad del personal, con el cual podría complicados de estimar. Es el coste que
3 direcciones diferentes asociadas a relacionarse este aspecto. supone para una empresa la imposibilidad
WannaCry a las que hicieron seguimiento, por parte de su personal para realizar
comprobando los pagos que se iban Suponiendo una estimación conservadora sus tareas asignadas, debido al bloqueo
realizando a las mismas e identificando de 300 euros por dispositivo afectado, de su ordenador como herramienta de
más de 300 transacciones y más de estaríamos hablando de más de 100 trabajo y/o de la información mantenida
100.000 dólares acumulados en total. millones de euros de pérdida global por el en el mismo, o de la caída en los sistemas.
ataque del 12 de mayo. Más aún, incluso sin estar afectados, el
Impacto económico consecuencia de ataque global vivido el día 12 de mayo
los esfuerzos de recuperación Relacionado con este coste, es importante motivó que varias empresas solicitasen a
Otro de los costes que hay que tener recalcar la necesidad de disponer sus empleados apagar sus dispositivos y
en cuenta como consecuencia de un de una cultura, hábito y medios para abandonar sus puestos de trabajo como
ataque ransomware es el de recuperar la realizar copias de seguridad periódicas medida de contención contra el malware,
operatividad de los ordenadores afectados. de la información mantenida en los ya que tiene la capacidad de infectar, a
ordenadores. Es aplicable tanto a los partir de un ordenador, a otros conectados
El coste medio por dispositivo es complejo individuos como a las empresas; los a la misma red.
de estimar, ya que para particulares y expertos insisten en la importancia
empresas que no dispongan de servicios de realizar un backup periódico de la Entre estas empresas en España, cabe
internos de seguridad informática tendrían información personal y/o profesional. destacar que en los casos que sufrieron
que encargar a terceros su recuperación. algunas empresas de telecomunicaciones
En caso de disponer de conocimientos No obstante, y esto sería aplicable o energéticas, si bien el ataque no afectó
para la restauración de la información o generalmente a las empresas, no a los sistemas ligados a la operativa de sus
13
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
14
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
15
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
9 Cinco Días (25/05/2017): “Mercados: El bitcoin se revaloriza un 184% en el año y supera los 2.700”
16
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
17
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
40
400 La conversación va virando desde las
empresas afectadas durante el día 12,
inicialmente, hacia la generación y difusión
del ataque, las medidas preventivas y de
200 seguridad, las 2 variantes detectadas,
el denominado por los medios “héroe
20 accidental” de Malware Tech, la búsqueda
de culpables, con la acusación a través
12 13 14 15 de Twitter de Snowden, y la supuesta
confirmación de Microsoft contra la
“ciberarma” desarrollada por la ANS
(Agencia Nacional de Seguridad).
18
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
Destaca la influencia de algunos medios Evolución del volumen de menciones sobre el ciberataque en twitter
de comunicación, como la BBC, con sus
propios corresponsales especializados,
como Chris Baraniuk, reportero de
tecnología de este medio o, en España, El
País. Asimismo, ganan peso instituciones 300K
como la Europol o especialistas en
ciberseguridad de Kaspersky. También
destaca la CNN, que acompaña las noticias
200K
facilitando datos generales del incidente.
Además, algunos medios especializados
publican infografías didácticas.
100K
La segunda oleada del ataque genera un
incremento de la conversación en el día 15,
a la vez que el buzz disminuía. Esta oleada
de ataques parece centrarse en Asia, 0
especialmente, en la India. Sin embargo, en May 8 May 9 May 10 May 11 May 12 May 13 May 14 May 15
el día de hoy, ninguno de los conceptos son
tendencia en España o a nivel global.
19
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
20
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
A pesar de la relevancia informativa que ha suscitado Por ejemplo, en el caso de las empresas españolas
el ciberataque, el impacto realmente generado no ha presentes en el IBEX35, si se produjera un ciberataque
alcanzado el potencial que podría haber tenido un con mayor grado de sofisticación que fuese capaz
incidente análogo en el caso de no haberse concitado de afectar e inutilizar los equipos del 50% de los
los factores moduladores indicados con anterioridad. empleados de las mismas; si son aproximadamente
1,8 millones los empleados relacionados directamente
Del análisis del comportamiento de este criptogusano con las empresas del IBEX, nos encontraríamos ante
se concluye que la alta velocidad de propagación prácticamente un millón de personas que, ante un
es la verdadera razón de la enorme peligrosidad de bloqueo de sus equipos, se verían incapaces de realizar
WannaCry, teniendo una semana para desarrollarse sus tareas.
más rápido que una campaña de spam, o un exploit
kit o un hijacking (secuestro de página web), utilizando El salario medio en España de 26.700 euros y 170
una única vulnerabilidad. horas laborables mensuales, obtendríamos una
media de 13,09 euros de coste por empleado/
Imaginemos la magnitud del daño que este gusano hora. Así, suponiendo un impacto mínimo más que
habría desencadenado si el ciberataque se hubiera probable de 2 días (16 horas laborables) de bloqueo,
lanzado como Zero-day antes de que la vulnerabilidad nos encontraríamos ante un coste superior a los
no hubiera sido parcheada por Microsoft el 14 de 190 millones de euros, derivado del tiempo por
marzo, ocurriendo un par de meses antes: se estaría incapacidad para trabajar de los empleados de las
hablando de millones de equipos afectados, con unas compañías afectadas.
consecuencias desastrosas para la economía mundial.
Adicionalmente, suponiendo un coste medio de
Volviendo a los hechos acaecidos y únicamente recuperación del equipo de 300 euros, y 900 mil
atendiendo al coste directo del mismo. Si equipos afectados, alcanzaríamos los 280 millones
consideramos que las cantidades solicitadas por los de euros de coste directo para el restablecimiento del
ciberdelincuentes variaban entre 300 y 600 dólares servicio.
estadounidenses, y si aceptamos un promedio de 300
dólares y que difícilmente se habrían identificado todas En total, estaríamos hablando de un coste directo de
y cada una de las carteras asociadas al malware, la entre 450 y 500 millones de euros en tan solo 2 días
cantidad recaudada podría haber sido mucho mayor. de inactividad.
Simplemente tomando como premisa que el 5% de los
afectados podría haber aceptado realizar el pago del Y como se ha comentado, este impacto evidente no
rescate para recuperar el control sobre su dispositivo, sería el más relevante a medio plazo. Aún se tendría
la cantidad recaudada habría llegado a alcanzar los 4,5 que considerar el impacto oculto y no inmediato que
millones de dólares. supone el impacto reputacional, legal, financiero, etc.
Por otra parte, atendiendo al impacto menos En conclusión, esta simulación tiene como finalidad
evidente: si partimos del hecho que un ciberataque ayudarnos a reflexionar qué podía haber supuesto
de características similares se hubiera lanzado entre WannaCry y no llegó a ser, haciéndonos una idea de
semana, en plena actividad económica y, por tanto, la relevancia económica y el grave impacto real de un
afectando gravemente a la operativa y la continuidad ciberataque bien coordinado y con capacidad para
del negocio y sin la posibilidad de orientar recursos inutilizar gran cantidad de equipos.
en solucionar el problema durante el fin de semana,
¿qué impacto podría haber supuesto WannaCry para la
economía productiva española?
21
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
13 CCN-CERT
14 (www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com;
www[.]ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com)
22
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
23
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
24
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
–– www[.]iuqerfsodp9ifjaposdfjhgosuri
jfaewrwergwea[.]com
–– www[.]ifferfsodp9ifjaposdfjhgosurijfa
ewrwergwea[.]com
25
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
Reflexiones
finales
criptogusano –baste recordar el caso del
SQL-Slammer en 2003, o el gusano Sasser
en 2004–, si bien es cierto que ha sido el
que mayor repercusión mediática y social
ha suscitado15. Además, antes de final de
año asistiremos a rebrotes basados en
nuevas versiones de este ransomware o
incluso nuevas campañas de malware aún
más sofisticadas y movidas por grupos
criminales mejor organizados, que pueden
dar lugar a ciberincidentes de la misma o
de superior magnitud.
15 Por ejemplo, en el año 2003 el virus conocido como “SQL Slammer” provocó un colapso generalizado de Internet. En este caso, se trató de un gusano que
aprovechó una vulnerabilidad de las bases de datos SQL de Microsoft, e inundó de tráfico la red, consiguiendo colapsar millones de máquinas en apenas 15
minutos.
26
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
WannaCry no ha sido el
limitado en su actuación, lo que hacía
pensar en que quizás fuera un test de algo
peor.
El esfuerzo actual que se está realizando Precisamente por regulaciones como estas,
por armonizar legislaciones y concienciar las empresas comprenden la necesidad de
sobre la relevancia de los riesgos la ciberseguridad, lo que se ha traducido
cibernéticos motiva a que se realicen no solo en mejores medidas técnicas, sino
mayores esfuerzos por mejorar la también en una mayor concienciación de
preparación y flexibilidad de respuesta sus empleados, consiguiendo evitar que el
ante ataques informáticos. error humano pueda suponer una vía de
entrada para el malware.
Una mayor concienciación junto con
los recientes cambios regulatorios han Otro indicador de esta situación es la
propiciado que las organizaciones inviertan contratación de las llamadas ciberpólizas,
en actividades de protección de su consistentes en un seguro cibernético
información y sus sistemas. Este aspecto contratado por una compañía para
las hace, a su vez, más resistentes frente a cubrirse por los daños que pueda
ataques informáticos y más rápidas para ocasionarle un ataque informático. Existen
recuperarse de su operatividad en caso de múltiples conceptos por los que una
incidencia. empresa quedaría cubierta, ya sea por
posibles pleitos de personas afectadas
En la UE y España, distintas normativas por la sustracción de información
(GDPR, Directiva NIS o incluso LPIC) regulan personal o por demandas de accionistas.
la obligatoriedad de notificar la existencia La proliferación de este tipo de seguros
de brechas de seguridad, así como su muestra una vez más que existe una mayor
naturaleza, impacto, tipo de información concienciación y aceptación de que la
afectada, etc. De forma que las empresas, seguridad informática es una necesidad
en caso de sufrir una brecha de seguridad, real para las empresas.
tienen la obligación de notificar dicha
incidencia y, por tanto, es mucho mayor Finalmente, el hecho de que todos
la notoriedad y alcance que puede darse los operadores estratégicos, tanto
28
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
La heterogeneidad y el cambiante
escenario del estado de riesgo del
ciberseguridad, los recientes
ciberespacio suponen un desafío
continuo para los ciudadanos, empresas
cambios regulatorios junto con
y administraciones de nuestros
países. Ninguna organización a título la mejora en las capacidades
de detección, alerta temprana
individual, por sí misma, dispone de las
capacidades necesarias para garantizar su
y compartición de información,
ciberseguridad, así como los estados del
ciberespacio nacional.
29
¿Qué impacto ha tenido el ciberincidente de WannaCry en nuestra economía?
Contactos
Alfonso Mur César Martín Rubén Frieiro Xavier Gracia
Socio de Risk Advisory IT Socio de Cyber Risk Advisory Socio de Cyber Risk Advisory Socio de Cyber Risk Advisory
amur@deloitte.es cmartinlara@deloitte.es rfrieiro@deloitte.es xgracia@deloitte.es
+34 914432103 +34 914381416 +34680544759 +34 649448255
30
Deloitte hace referencia, individual o conjuntamente, a Deloitte Touche Tohmatsu Limited (“DTTL”) (private company limited by guarantee, de acuerdo
con la legislación del Reino Unido), y a su red de firmas miembro y sus entidades asociadas. DTTL y cada una de sus firmas miembro son entidades
con personalidad jurídica propia e independiente. DTTL (también denominada "Deloitte Global") no presta servicios a clientes. Consulte la página
http://www.deloitte.com/about si desea obtener una descripción detallada de DTTL y sus firmas miembro.
Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión del riesgo, tributación y otros servicios relacionados, a clientes
públicos y privados en un amplio número de sectores. Con una red de firmas miembro interconectadas a escala global que se extiende por más de
150 países y territorios, Deloitte aporta las mejores capacidades y un servicio de máxima calidad a sus clientes, ofreciéndoles la ayuda que necesitan
para abordar los complejos desafíos a los que se enfrentan. Los más de 244.000 profesionales de Deloitte han asumido el compromiso de crear un
verdadero impacto.
Esta publicación contiene exclusivamente información de carácter general, y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro o entidades
asociadas (conjuntamente, la “Red Deloitte”), pretenden, por medio de esta publicación, prestar un servicio o asesoramiento profesional. Antes
de tomar cualquier decisión o adoptar cualquier medida que pueda afectar a su situación financiera o a su negocio, debe consultar con un asesor
profesional cualificado. Ninguna entidad de la Red Deloitte será responsable de las pérdidas sufridas por cualquier persona que actúe basándose en
esta publicación.