Taller de Ciberseguridad

Caso de Estudio 5: WannaCry

Analice Todos los contextos asociados al Wanacry.

Caso de Estudio: WannaCry

Determine: Responda a cada items

1. Diseñe una línea de tiempo

- Abril de 2016: Shadow Brokers filtra la vulnerabilidad de Windows que será
explotada por WannaCry.
- Mayo de 2017: WannaCry se propaga a nivel mundial.
- Mayo de 2017:Windows lanza parches para la vulnerabilidad SMB.
- Mayo de 2017:Adrien Guinet descubre cómo recuperar la clave RSA.
- Mayo de 2017:Finaliza la propagación de WannaCry.
- Mayo de 2017: Se estiman miles de millones en daños y pérdidas de datos.
2. Análisis detallado de causa y efecto
- Causa: Vulnerabilidad de Windows filtrada por Shadow Brokers.
- Efecto:Propagación global de WannaCry y miles de millones en daños.
3. Lecciones aprendidas catalogadas
1. Mantener sistemas actualizados con parches de seguridad.
2. Realizar análisis forenses digitales para rastrear ataques.
3. Tener estrategias de respuesta a incidentes preparadas.
4. Controles de Ciberseguridad
- Actualización constante de sistemas.
- Seguir las mejores prácticas de seguridad.
- Implementar firewalls y sistemas de detección de intrusiones.
5. Estrategias Cibercriminales
- Explotación de vulnerabilidades conocidas.
- Uso de malware que se propaga como gusano.
- Extorsión mediante ransomware.
6. Determine las TTPs
- Uso de EternalBlue y DoublePulsar.
- Uso de cifrado RSA y AES para ocultar archivos.
- Extorsión de víctimas mediante notas de rescate.
7. Enfoques Ofensivos y Defensivos de la Ciberseguridad
- Ofensivo: Explotar vulnerabilidades, utilizar gusanos para propagar malware.
- Defensivo: Parches de seguridad, sistemas de detección y respuesta a incidentes.
8. Protocolos de Red
- Uso de SMB (Server Message Block) para explotar la vulnerabilidad.
- Conexiones a dominios aleatorios como parte de la estrategia de cifrado.

Discusión y Análisis
 Taller de Ciberseguridad
Caso de Estudio 5: WannaCry

1. Cuales fueron las vulnerabilidades que dieron origen a la materialización del

ransomware. Vulnerabilidades: Las vulnerabilidades clave fueron la falta de
actualización en sistemas Windows, la filtración de la vulnerabilidad por Shadow Brokers
y la falta de parches de seguridad.
2. Quedando el dispositivo comprometido por el ransomware cuales serian las
acciones que usted ejecutaría, explique y justifique el por qué a este
planteamiento. Acciones en caso de compromiso: Desconectar el dispositivo infectado
de la red, notificar a los equipos de respuesta a incidentes, intentar recuperar la clave
RSA si es posible, y no pagar el rescate, ya que no garantiza la recuperación de archivos.
3. Plantee los argumentos necesarios que ayuden al CEO de la organización a
tomar una acción, ante la paralización de las operaciones de la organización
Argumentos al CEO: Se debe resaltar el impacto financiero de las pérdidas de datos y la
paralización de operaciones, la importancia de invertir en ciberseguridad y la necesidad
de tener un plan de respuesta a incidentes efectivo..
4. Cuales informaciones y por que serian necesarias para realizar un análisis
forense digital. Información para análisis forense:Se necesitarían registros de red,
registros de actividad de sistemas, registros de acceso y copias de los archivos cifrados y
notas de rescate para realizar un análisis forense.
5. Cuál fue el rol del área de Tecnología de la Información, desde la postura de
Infraestructura TI Rol de TI: TI debe asegurarse de que todos los sistemas estén
actualizados, implementar medidas de seguridad como firewalls y sistemas de detección,
y colaborar en la recuperación de datos.
6. Que elementos utilizo el cibercriminal antes de ejecutar su estrategia para dar
origen al ataque y por que. Elementos utilizados por el cibercriminal: Explotación de
vulnerabilidades, uso de malware que se propaga como gusano, extorsión de víctimas y
uso de cifrado para ocultar archivos.
7. Explique y de análisis a detalles que impacto podría tener en la organización
el caso desde aspectos financieros, reputaciones y de riesgos tecnológicos.
Impacto en la organización: Desde un aspecto financiero, habría pérdida de productividad y
costos para recuperar sistemas. Desde el punto de vista de la reputación, la confianza de los
clientes podría verse afectada. En cuanto a riesgos tecnológicos, se evidencia la importancia de la
ciberseguridad y la necesidad de proteger los activos digitales de la organización.