Laboratorios de Inria analizan ataques cibernéticos

12 Jun Laboratorios de Inria analizan ataques cibernéticos

Los Laboratorios de Alta Seguridad (LHS) –de Rennes y Nancy, en Francia– trabajan para entender y prevenir ciberataques como el de WannaCry, que afectó a miles de empresas en todo el mundo.

 

ciberseguridad

 

El viernes 12 de mayo se desplegó a nivel mundial el malware WannaCry, un virus de un alcance sin precedentes. Este fue analizado en profundidad por los dos Laboratorios de Alta Seguridad de Inria (LHS), ubicados en Rennes y Nancy, respectivamente. Jean-Louis Lanet, responsable del primero y miembro del equipo TAMIS de Inria, y Frédéric Beck, ingeniero de investigación del equipo de experimentación y desarrollo de Inria Nancy y responsable del segundo laboratorio, comentan sus descubrimientos.

 

¿Qué es WannaCry?

 

Jean-Louis Lanet : El malware WannaCry es un ransomware muy clásico que busca  “secuestrar” el acceso a un sistema operativo en un navegador o en un disco duro a cambio de una recompensa. Este no es un problema nuevo. El primer ransomware –el Troyano AIDS– data de 1989, pero el fenómeno explotó con el progreso del cifrado y el desarrollo de monedas alternativas como Bitcoin. Hoy es muy fácil y rentable lanzar un ataque de este tipo y la probabilidad de ser descubierto en el acto es casi nula.  

 

Frédéric Beck : El ataque WannaCry no es particularmente sofisticado. Es una receta que se basa en tres ingredientes. El primero es Eternal Blue, una herramienta “robada” a la National Security Agency (NSA) de Estados Unidos  que aprovecha una falla dentro de un protocolo antiguo para compartir archivos de Windows. El segundo componente es la backdoor Double Pulsar que, como su nombre lo indica, funciona como una puerta oculta. Finalmente, está el malware propiamente tal, que usa a Eternal Blue para entrar al sistema y a Double Pulsar para quedarse el tiempo que quiera. ¡No es muy complicado!

 

Al parecer WannaCry tuvo muchas víctimas. ¿Cuál es el balance?

 

F.B. : Se habla de doscientas mil máquinas infectadas en ciento cincuenta países. Es un ataque de gran alcance, lo que le valió una mediatización sin precedentes. El botín parece modesto en comparación con otros ataques. Alcanzó los cien mil dólares, unos trescientos dólares por cada secuestro.

 

J.-L.L : En este asunto lo más inquietante es la facilidad con la que el malware se propagó, considerando que las precauciones básicas –sistemas operativos y software al día, un sistema de seguridad confiable y copias de seguridad regulares– habrían sido suficientes para mantenerlo lejos. La extensión de los daños dice mucho sobre el nivel de conciencia actual.

 

Vimos a grandes organizaciones afectadas. ¿Este tipo de ataques puede poner en peligro la seguridad de los países?

 

F.B.: Por suerte, este ransomware no era muy sofisticado. Hay que preocuparse más por los ataques dirigidos, botnets o emuladores, tales como Mirai que hizo noticia en octubre pasado y que atacó ciento cincuenta mil objetos conectados. Los botnets son amenazas que hay que tomarse muy en serio por su colosal potencial destructivo y en especial los que afectan a los objetos conectados, que de por sí son sistemas frágiles por la falta de vigilancia de la mayoría de los usuarios.

 

En Nancy y en Rennes, ambos laboratorios de alta seguridad de Inria se dedican a la  ciberseguridad. ¿Cuáles son sus actividades?

 

J.-L.L.: Creados en 2008, el de Nancy, y en 2014, el de Rennes, nuestros dos laboratorios se complementan. En Rennes nos interesa prioritariamente el estudio de virus. El equipo TAMIS cuenta además con un doctorante que escribe su tesis en ransomware. Desarrollamos una infraestructura de análisis de ransomware que utiliza mensajes informáticos vulnerables, intencionalmente creados así, que funcionan como cebos. La idea es dejarse infectar para poder analizar a posteriori el modus operandi de los ataques. Estos honeypots fueron testigos del paso de WannaCry y de sus numerosos descendientes. ¡Es importante saber que diferentes malwares aparecen cada día!

 

F.B : En Nancy, la prioridad es la investigación en seguridad de redes y de intercambios, así como también al análisis de código malicioso. Una de las misiones de nuestro laboratorio es observar el “ruido de fondo” de internet para intentar detectar lo antes posible las actividades fuera de lo normal. También tenemos un dispositivo de honeypots y, como nuestros colegas en Rennes, pudimos seguir de cerca la onda de propagación de WannaCry. Hoy trabajamos esencialmente en un post mortem, pero en un futuro próximo nos gustaría realizar un análisis en tiempo real. Lo ideal sería estar en condiciones de detectar los ataques antes de que ocurran y nos estamos preparando para lanzar un proyecto en este tema con varios socios universitarios.

 

¿Cuál es su estrategia en materia de asociación? ¿Están en contacto con las autoridades encargadas de ciberdefensa?

 

J.-L.L. : Para nosotros, asociarnos es fundamental. El laboratorio de Rennes fue creado en el marco del Pacto de Defensa Cibernética, el que busca hacer de Bretagne y la dirección general de las Fuerzas Armadas un polo de excelencia cibernética. Hay cuatro actores que participan en este pacto: Inria, el Instituto CentraleSupelec, el gobierno de la región de Bretagne y la Dirección General de las Fuerzas Armadas con quienes mantenemos contacto permanente, sobre todo cuando ocurre una crisis. No estamos limitados a la investigación teórica, sino también hacemos transferencia industrial.  

 

F.B. : El LHS Nancy está asociado a la Agencia Nacional de Seguridad de Sistemas de Información, así como también al Centro de Alerta y Reacción a los Ataques Informáticos del Sistema Nacional de Telecomunicaciones para la Tecnología, la Educación y la Investigación (CERT Renater). Al igual que nuestros colegas en Rennes, estamos muy comprometidos con la transferencia industrial y ya se han creado dos startups Inria en el LHS Nancy: Lybero.net y Cyber-Detect.

 

Fuente: Inria.fr

Share Button
Francisca Bastías
francisca.bastias@inria.cl