Nombre: Horacio García del Camino Reza.

País: México
Master: Gestión de Riesgos
Curso: EVALUACIÓN DEL RIESGO.
Mtro. Sergio Simón.
EALDE Business School

Caso Práctico 3. Caso de Control Interno.

Antecedentes:
El viernes 12 de Mayo de 2017, la compañía de telecomunicaciones Telefónica, sufrió un ciberataque con el virus “wanna cry”. Este virus atacó el
sistema de la empresa aprovechando vulnerabilidades presentes en los servidores que utilizaban sistemas operativos como Windows XP (al que
Microsoft ya no le da mantenimiento ni ofrece actualizaciones), Windows 7 (sin las últimas actualizaciones), etc.
El ataque generó una caída de la productividad de la empresa, afectó los servicios prestados a los usuarios y tuvo un impacto económico que todavía
no se ha podido calcular.

1. Indique los controles preventivos que debieron ejecutarse para evitar que ocurriera este ataque, o para reducir el impacto del ataque
Los controles preventivos son aquellos controles que reducen las causas que generan los siniestros, por lo que reducen la frecuencia con la que
ellos ocurren.
Una breve reseña de como se suscitaron los hechos sobre este ciberataque.
Ciberataque mundial con el virus WannaCry:
Este virus WannaCry es un fragmento de software que secuestra los archivos de una computadora para posteriormente pedir su rescate a los
usuarios a cambio de una suma de dinero. Varias empresas, hospitales e incluso entidades gubernamentales paralizaron parcial o totalmente
sus operaciones tras haber sido infectadas.
El ataque de ransomware se extiende a escala global:
Este virus, conocido como ransomware, afectó, entre otros, a los equipos de la sede de Telefónica en Madrid, al sistema de salud británico o el
ministerio del Interior ruso. El ransomware causa un secuestro exprés de datos y pide un rescate para liberar el sistema. En un tuit, Costin Raiu,
el director global del equipo de investigación y análisis de Kaspersky Lab, empresa de seguridad informática, estimó que ayer se habían
registrado más de 45.000 ataques en 74 países. De momento, ninguna infraestructura crítica ha resultado afectada.
Numerosas organizaciones, incluyendo la operadora Telefónica y los hospitales de Reino Unido, han caído víctimas de un ataque masivo de
ransomware, un tipo de código malicioso que cifra los ficheros del ordenador a modo de rehén para solicitar un rescate económico. El pago de
este rescate, que se debe hacer en bitcoins, una criptomoneda que evita los rastros bancarios, no garantiza el descifrado de los archivos.
"De momento, hemos detectado más de 45.000 ataques en 74 países repartidos por todo el mundo. Y sigue extendiéndose rápidamente", dijo
Costin Raiu, director del equipo de análisis e investigación de Kaspersky Lab, una compañía multinacional especializada en seguridad informática.
La empresa de seguridad informática Avast eleva la cifra de países afectados por el ciberataque a 99.

Controles Preventivos:
Este ataque consta de dos partes, tal y como han concluido varios expertos en seguridad: un gusano informático que extiende la infección a los
equipos de la misma red desactualizados y el código Wanna Cry que secuestra los ficheros de la máquina infectada. El agujero de seguridad en
el protocolo de red de las versiones de Windows afectadas fue empleado por la Agencia de Seguridad Nacional estadounidense (NSA) para
obtener información, según filtró el grupo Shadow Brokers. Su funcionamiento se hizo público, y este viernes el mundo ha comprobado el
resultado.
Edward Snowden se hizo eco de la noticia: "Si la NSA hubiese comunicado el fallo de seguridad de forma privada cuando lo encontraron, y no
cuando lo perdieron en la filtración, esto podría no haber pasado".
Microsoft envió un parche de seguridad "crítico" el 14 de marzo del mismo año. Pero las organizaciones afectadas no lo habían aplicado todavía.
Casi dos meses desde el lanzamiento del parche hasta la infección por el virus que sigue propagándose por Europa, Rusia o Estados Unidos.
Mapa de Malware Tech con los sitios en los que se detectó el virus informático.
Los expertos en seguridad descartan que haya sido un ataque diseñado y desarrollado por y para comprometer los equipos de Telefónica o el
Sistema Nacional de Salud de Reino Unido.
"No creo que los cibercriminales detrás de Wanna Cry hayan establecido a los hospitales como objetivo", dice Matthew Hickey, cofundador de
Hacker House, una compañía especializada en ofrecer soluciones de seguridad informática, a EL PAÍS. "Son víctimas del ransomware porque
no instalaron los parches en una franja de tiempo razonable".
La peligrosidad del virus radica en su capacidad de propagación. Basta con que una máquina infectada entre en la red para infectar a las demás.
PREVENCIÓN.
Lo que vienen a demostrar estos incidentes es que en la Red, la seguridad 100% efectiva no existe. El número de amenazas es tan diverso y
mutable que hace imposible que una compañía, por mucho que invierta en proteger sus sistemas, sea inmune a las amenazas de Internet.
"Grandes empresas como Telefónica dedican mucho dinero a proteger sus equipos pero es precisamente su tamaño lo que las convierte en
objetivo de los hackers y hace difícil que puedan protegerlo todo"
"Muchas empresas no se han tomado en serio la ciberseguridad", se tiene que apostar por la prevención y, sobre todo, tener en cuenta la opinión
de los expertos en las organizaciones
Al no poder cuantificar la seguridad, en ocasiones no entra en ningún plan estratégico la gestión de riesgos y esto puede provocar negligencias
que un gestor de riesgos sí tomaría, en referencia a la vulnerabilidad de Windows responsable de la expansión global del virus y para la que
existía un parche de seguridad desde el mes de marzo de ese año.
Muchas empresas no han tomado en serio la seguridad y las políticas de parcheo.
A manera de prevención podemos preguntarnos ¿Por qué ha afectado el ataque más a las empresas que a los particulares? Porque los
particulares cambian los ordenadores cada dos o tres años y suelen mantenerlos actualizados. Mientras que las empresas y las instituciones
manejan PC a lo mejor de hace diez años.
Esto representa Riesgos operacionales, dado que el riesgo operacional es el que puede provocar pérdidas en las operaciones de la empresa
como en este caso a Telefónica, debido a falta de procesos internos en gestión de riesgos, fallos en los sistemas, errores humanos y/o como
consecuencia de acontecimientos externos.

Estos controles preventivos que a desarrollar deben minimizar las condiciones mencionadas y de esta forma mantener las operaciones de la
empresa.

También generó Riesgos financieros, refiriéndose a la incertidumbre de perdida por este ciberataque, afectando en el rendimiento de la
inversión, por consecuencia la inestabilidad de los mercados financieros, por lo que los controles preventivos sirven para evaluar los escenarios
posibles de todas las inversiones, así como el control del pago de clientes y proveedores afectados por dicho ataque.
 Se expuso también a Riesgos Reputacionales, ya que los consumidores o clientes de la empresa dejan de comprar o usar sus productos debido
a algún evento negativo que impactó la reputación del producto o de la empresa.

2. Indique los controles detectivos que debieron ejecutarse para detectar de forma temprana el ataque.

CONTROLES DETECTIVOS:
Los controles detectivos son aquellos que detectan las causas de los riesgos cuando han ocurrido los siniestros. En cierta forma sirven para
evaluar la eficiencia de los controles preventivos.

MICROSOFT PUBLICA ACTUALIZACIONES DE SEGURIDAD

Microsoft ha publicó una actualización de seguridad para sus sistemas operativos Windows XP, Windows 8 y Windows Server 2003 en respuesta
al ataque de ransomware que se propagó por medio mundo. Es una maniobra de excepción. Estas versiones no reciben actualizaciones a no
ser que una organización las solicite y las pague.
Los usuarios que tenían sus equipos actualizados estaban protegidos ante la propagación del gusano informático. A los que no, Microsoft les
invitó a instalar el parche MS17-10.
La compañía dice que el este ataque puede evolucionar con el tiempo y recomienda defenderse activamente deshabilitando protocolos de red
en desuso que pueden ser una puerta de entrada para los ciberdelincuentes.
"Wanna Cry no es el gusano informático", ha concluido Hickey tras su análisis independiente del ejecutable. "El ransomware se propaga a través
de un código que explota la vulnerabilidad MS17-010". Los expertos mencionan que el gusano se puede usar para inyectar otro tipo de código
malicioso y alerta de que está programado para que sea sencillo hacerlo.

Se detecta el cómo se propaga el virus a través de la vulnerabilidad corregida (MS17-010), pero los expertos todavía desconocen el foco de la
infección. Vicente Díaz, investigador de seguridad en Kaspersky, cree que un archivo adjunto en un email podría ser una de las puertas de
entrada del ransomware.
"Desconocemos todavía cómo logran infectar la primera máquina al cien por cien, pero creo que Telefónica ha adoptado medidas muy drásticas
que han ayudado a que se cree un estado de pánico general en todas las empresas españolas", menciona en un comunicado.
"Nos habíamos olvidado de estos ataques gusano y creo que su propagación estará sorprendiendo incluso a sus creadores".
 EL PAÍS se puso el viernes en contacto con Telefónica para averiguar por qué no había actualizado el parche habilitado por Microsoft, pero la
empresa no dio explicaciones. Unas horas después, el responsable de Big Data e Innovación de Telefónica, Chema Alonso, aclaró a través de
su blog que el virus se ha distribuido a través de emails enviados de forma masiva.

"En algunos segmentos internos de algunas redes, el software en los equipos necesita ser probado previamente y el proceso de verificación y
prueba de los parches no es tan rápido como en los externos porque el volumen de software suele ser mucho mayor y de mayor sensibilidad
para la continuidad del negocio",
En realidad el motivo por el que Telefónica no actualizó sus máquinas a tiempo, fue porque en redes de empresas como la de Telefónica no se
puede arriesgar la continuidad de negocio de un sistema que da servicio a los clientes por un problema con un parche, así que se invierte más
en responder ante un posible riesgo de que sea explotado con medidas de detección y respuesta, en lugar de arriesgarse a que algo falle en la
prevención rápida.

Este tipo de crímenes informáticos de alguna forma se piensa que irá en aumento, ya que es un ataque de bajo riesgo y gran rentabilidad,más
aún con el auge del Internet de las Cosas, cuyos equipos son mucho más fáciles de comprometer, puesto que las empresas no los tienen en
cuenta ni se actualizan a tiempo.

3. Indique los controles correctivos que se deben implantar para evitar que estas situaciones se repitan en la empresa Telefónica.

CONTROLES CORRECTIVOS:

Cómo recuperar los datos cifrados: El Incibe, a través del CERT de Seguridad e Industria (CERTSI), dispone de un servicio gratuito de análisis
y descifrado de ficheros afectados por ciertos tipos de ransomware. Pagar sirve para recuperar los archivos: El Incibe recomienda no pagar el
rescate, porque no existen garantías de recuperar los datos y la víctima puede sufrir ataques posteriores. El Instituto también señala que esa
práctica fomenta el negocio de los ciberdelicuentes, que pueden empezar a pedir cifras más altas, una vez efectuado el primer pago.
Cómo desinfectar el ordenador: Para eliminar la infección se podría utilizar cualquier antivirus o antivirus auto-arrancable actualizado. Es
recomendable realizar un clonado previo de los discos (copia de la información del disco duro en otro soporte), según la importancia de los datos
afectados. El clonado también es importante para interponer una denuncia, pues todos los archivos serán necesarios para la investigación,
además es muy probable que exista alguna herramienta capaz de descifrarlos en el futuro.
Microsoft hizo los deberes al publicar pronto el parche de seguridad que solventaba la vulnerabilidad en su protocolo para compartir en red. El
culpable nunca es la víctima, pero no puede obviarse el poco cuidado que ponen las empresas y organizaciones que tratan con información muy
importante en sus sistemas de seguridad informática.

Incluso las organizaciones con grandes presupuestos en seguridad como Telefónica pueden fallar en cosas básicas como actualizar
frecuentemente sus equipos,
Aplicar una actualización en decenas de miles de equipos puede llevar tiempo porque hay muchos factores a tener en cuenta. Pero hay que
tomar en cuenta que el parche se publicó en marzo de ese mismo año.

Normalmente las empresas no suelen actualizar porque consideran que el riesgo es mayor que actualizar de forma lenta y solo atendiendo a los
parches críticos, menciona en conferencia de prensa Eduardo Gutiérrez de Oliveira, jefe de soporte en tecnologías de la información y negocios
de la compañía financiera DLL. "Se mienten a sí mismas. Si la infraestructura es buena y se comprende que no se controla cuándo se actualizan
los equipos ni se pone en riesgo los archivos importantes, ya que tienen que estar en la carpeta que hace copia de seguridad, esto no es un
problema".

Pero para poder tener una red de equipos actualizada regularmente se requiere de una implementación previa bien pensada y bien desarrollada.
A menudo, se elevan los costos. Es muy común culpar al usuario por utilizar software desactualizado o a las empresas por no invertir lo suficiente
en seguridad, pero eso no va a cambiar, es mejor adoptar modelos más seguros como iOS y Chrome OS y mover todo a la nube. De esta forma
se solucionan los problemas de raíz, ya que se eliminan de la ecuación los quebraderos de cabeza al actualizar".

Por mencionar algunas medidas de prevención y mitigación de este virus son:

 Actualizar los sistemas a su última versión o parchear según informa el fabricante.
 Para los sistemas sin soporte o parche, se recomienda aislar de la red o apagar según sea el caso.
 Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
 Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo
caso deben ser aislados, actualizados y/o apagados.
El CCN dispone de un Informe de Medidas de Seguridad contra el Ransomware en el que se incluyen pautas y recomendaciones generales y
en el que se detallan los pasos del proceso de desinfección y las principales herramientas de recuperación de los archivos para este tipo de
ataques.
Tal y como se indica en el informe de amenazas de ransomware, efectuar el pago por el rescate del equipo no garantiza que los atacantes
envíen la utilidad y/o contraseña de descifrado, sólo premia su campaña y los motiva a seguir distribuyendo masivamente este tipo de
código dañino.
En el caso de haberse visto afectado por este ataque y no disponer de copias de seguridad, se recomienda conservar los ficheros que hayan
sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro aparezca una
herramienta que permita descifrar los documentos que se hayan visto afectados.

NOTA ADICIONAL:
Telefónica se blinda contra los 'hackers' con seguros de ciberriesgos por 405 millones de euros como control correctivo.

Telefónica contrata seguros para ciberriesgos por 105 millones de euros y para errores y omisiones por medios tecnológicos por 300 millones
de euros, de esta manera trata de protegerse de los ciberataques. Consciente del impacto de Riesgos que sobre sus finanzas y Riesgos
de reputación podría tener un incidente de ciberseguridad, ha decidido contratar dos seguros para cubrirse ante cualquier ciberriesgo.
Así consta en su último informe de auditoría y cuentas anuales remitido a la CNMV, correspondiente a su ejercicio de 2018.

Telefónica precisa que durante el periodo 2015-2018 y hasta la fecha dispone de diversos programas de seguros, de forma que se
mitigue el impacto en el balance derivado de la materialización de un gran número de riesgos. En concreto, la operadora de pr eside
José María Álvarez-Pallete tiene contratadas dos coberturas, una para ciberriesgos que ocasionen una pérdida de ingresos y de clientes,
costos extra o gastos de recuperación de activos digitales, entre otros, y una segunda que llaman de “Errores y Omisiones
tecnológicas” para el caso de reclamaciones por perjuicios ocasionados a clientes y terceros en general.

La cobertura actual contratada a nivel global para el primer seguro es de 105 millones de euros; una cifra que se eleva hasta los 300
millones en el segundo. En total, 405 millones de euros.
Es la primera vez que la compañía detalla esta información en su informe.
 Telefónica crea una alianza global de ciberseguridad con grandes empresas en telecomunicaciones y enciende un 'antivirus' global
desde su red como medida correctiva y preventiva.
El CEO de Eleven Paths, unidad de Ciberseguridad de Telefónica, Pedro Pablo Pérez, destacó en unas jornadas en Sevilla que “ todas
las empresas están amenazadas independientemente de su tamaño y han sido hackeadas, pero algunas lo saben y otras no”, según
informó Europa Press. Y añadió que “el costo medio de una brecha de seguridad se sitúa en más de tres millones de euros”.
En este contexto, Carlos Rodríguez, especialista de AIG España, reivindicó hace unos días en unas jornadas sobre gestión de
ciberincidentes organizada por KPMG que “el seguro de ciberriesgos es la póliza de incendios del siglo XXI”. “Es primordial h acer
frente tanto a la pérdida financiera que pueda sufrir una empresa atacada como a la reputacional, algo que se puede paliar transfi riendo
los perjuicios a través de una póliza de seguros”.

UNA ESTRATEGIA DE LARGO PLAZO

Telefónica mantiene desde hace años una fuerte apuesta por la ciberseguridad. Como vía de negocio (cuenta con su unidad Eleven
Paths) y como política estratégica para evitar los ciberataques. La empresa creó a mediados de 2018 un consejo de ciberseguridad
como palanca para apoyar su estrategia de seguridad integral y digital. Dicho órgano asesor está integrado por personalidades como
Javier Solana o Mike Rogers, ex congresista de EE UU y experto en ciberseguridad que fue miembro del Comité de Inteligencia d e la
Cámara norteamericana y del FBI.
Privacidad. La teleco tiene un comité de Seguridad Digital, que creó en 2018, y para impulsar un entorno digital seguro, también decidió
contar con un chief data officer, que forma parte del Comité Ejecutivo. Y con un delegado de protección de datos (aunque en este caso
una figura exigida para algunas empresas por la Agencia española de Protección de Datos en aplicación del nuevo GDPR).
Recompensa. La compañía cuenta, según indica en su informe, con un programa de recompensa por el descubrimiento de
vulnerabilidades con empresas seleccionadas expertas en ciberseguridad.

Conclusiones:
Este tipo de incidentes impacta financieramente en los negocios, tanto por los pagos de rescate que se efectúan así como por el costo que implica
desconectar equipos y dejar de estar operativo hasta que se resuelve el problema.
 La prevención es fundamental y comienza con pequeñas cosas. Un trabajo de Gestión de Patchs, complementado con Gestión de
Vulnerabilidades habría evitado este inconveniente.
 Realizar copias de seguridad con frecuencia es fundamental
  La utilización de herramientas para la microsegmentación reduce los estragos. Al aislar sistemas por microsegmentos, el movimiento lateral
realizado por el malware se contiene, y no contamina una gran cantidad de equipos en red. Se sugiere optar por la microsegmentación por
software, enfocándose inicialmente en sistemas más críticos. Eso permitirá la adopción rápida, sin impacto en la arquitectura de la red y con
reducción de costos. A mediano y largo plazo, la técnica aumentará la seguridad y permitirá la simplificación de la red al reducir la complejidad
de firewalls internos y segmentación vía VLAN.
 Prepararse para el malware nuevo requiere de un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés) más inteligente, que
identifique comportamientos anómalos incluso cuando se presente un ataque nuevo con firma desconocida. En el caso de WannaCry, la
comunicación mediante la puerta de SMB, el comportamiento de moverse lateralmente dentro de la red, y la dirección de su "maestro" que
intenta contactar, son indicios típicos de que algo extraño está sucediendo y que permitirán a un SOC inteligente detectar la nueva amenaza
a tiempo.
 Una vez detectada la nueva amenaza, se requiere de una rápida respuesta. Las respuestas automáticas o manuales podrían bloquear el
tráfico sospechoso y eliminar de la red a los equipos contaminados. La utilización de una Arquitectura de Seguridad Adaptable es
recomendada para responder de modo dinámico, cambiando la arquitectura de subredes a la medida en que las contaminaciones sean
identificadas. Un ejemplo es colocar en cuarentena los equipos contaminados y evitar que los mismos contaminen a otros.

BIBLIOGRAFIA:

https://elpais.com/tecnologia/2017/05/13/actualidad/1494661227_809039.html

https://www.infobae.com/america/tecno/2018/05/12/como-surgio-y-se-propago-wannacry-uno-de-los-ciberataques-mas-grandes-de-la-historia/