Blog del CCI

lunes, 15 de mayo de 2017

I wanna cry! [#WannaCry]

I wanna cry!” [#WannaCry]


That must have been the feeling that gripped Mr. Ron Grimshaw when nurses told him they had to stop his MRI scan because of a cyber-attack.

None of them had even imagined having to give such news to Mr. Grimshaw and the rest of the patients who had come on that date - May 12th, International Nurses' Day - to receive their treatments at one of the centers of the British public health network (NHS) affected by the effects of ‘WannaCry’ ransomware. It was not the kind of 'virus' that neither they nor their patients were accustomed to.

I dare say that, even for ourselves, as professionals in the field, the situation has not been without a significant burden of novelty. The positive upside is that any challenging situation should always be taken as a learning opportunity.


I wanna cry, too!

I want to cry when I see governmental agencies identify and exploit software (and/or hardware) vulnerabilities, ‘for the benefit of us?’.

I want to cry when I see supposedly well-intentioned hacktivist groups disclose in the wild such governmental secrets, ‘for the benefit of who?’.

I want to cry when I see how such disclosed stuff has no other destination that being used by cyber criminals to generate chaos, ‘for the benefit of them!’.

I want to cry when I see how technology vendors make recommendations ‘for the benefit of everyone’ that no one follows.

I want to cry when I see how organizations leave their emergency communication plans in some of their executives’ hands  -or, even worse, social media accounts-,  ‘for the benefit of their battered egos?’.

I want to cry when I see those same organizations and their governments saying that the impact has not been so great, that it was almost all hype. I suppose 'for the benefit of a better learning of the lessons that the issue has left us'.

I want to cry when I see how 166 cyber-hit nations still trust on ‘national’ cyber strategies to face an international/borderless problem.

I want to cry when I see adult people still accepting candies  -i.e., e-mails-  from strangers, ‘for the benefit of their own curiosity?’.


This latter only proofs the effectiveness of the blue bomb  -i.e., VIAGRA®-;  I mean the effectiveness of commercial spam we have been suffering for years. Traditional spam seems to have been a sort of proof of concept for the massive ransomware attacks of today. Let’s see if these current attacks are just the training exercise of the new surprises of tomorrow.

Deepen these and other topics in our weekly "Newsletter". Subscribe here and enjoy reading!

PS: Last year CCI released a set of recommendations to prevent, defend and react before IACS ransomware. You can download it here.

¡Yo quiero llorar! [#WannaCry]

¡Quiero llorar!” [#WannaCry]


Ese debió ser el sentimiento que embargó al Sr. Ron Grimshaw cuando las enfermeras le comunicaron que debían cancelar su resonancia magnética a consecuencia de un ciberataque.

Ninguna de ellas había, siquiera, imaginado tener que dar tales noticias, ni a Sr. Grimshaw, ni al resto de pacientes que habían acudido ese día  -el 12 de mayo, “Día Internacional de las Enfermeras”-  a recibir sus tratamientos a alguno de los centros de la red sanitaria pública británica (NHS, por sus siglas en inglés) afectados por los efectos del ‘ransomware’ ‘WannaCry’. No era el tipo de ‘virus’ al que ni ellas, ni sus pacientes, estaban acostumbradas.

Me atrevo a decir que, incluso para nosotros, profesionales del sector, la situación no ha estado exenta de una notable carga de novedad. Lo positivo es que cualquier situación desafiantes debería ser tomada, siempre, como una oportunidad para aprender.


¡Yo también quiero llorar!

Quiero llorar cuando veo a agencias gubernamentales identificar y explotar vulnerabilidades del software (y/o del hardware), ‘¿en nuestro beneficio?’.

Quiero llorar cuando veo grupos hacktivistas, supuestamente bien intencionados, divulgar a los cuatro vientos esos secretos gubernamentales, ‘¿en beneficio de quién?’.

Quiero llorar cuando veo cómo ese material revelado no tiene más destino que ser empleado por ciberdelincuentes para generar caos, ‘¡en su propio beneficio!’.

Quiero llorar cuando veo cómo los fabricantes de tecnología emiten recomendaciones ‘para beneficio de todos’, que nadie sigue.

Quiero llorar cuando veo organizaciones que dejan la comunicación corporativa en las manos  -o, incluso peor, en las cuentas de las redes sociales-  de alguno de sus directivos,  ‘¿para beneficio de sus maltrechos egos?’.

Quiero llorar cuando veo a esas mismas organizaciones y sus gobiernos diciendo que el impacto no ha sido para tanto, que ha sido más el ruido que las nueces. Supongo que 'en beneficio de un mejor aprendizaje de las lecciones que el asunto nos deja'.

Quiero llorar cuando veo a ciento sesenta y seis paises cibergolpeados seguir confiando en sus ciberestrategias ‘nacionales’ para enfrentarse a un problema internacional/sin fronteras.

Quiero llorar cuando veo a personas adultas que siguen aceptando caramelos  -léase mensajes de correo-e-  de extraños, ‘¿en beneficio de su propia curiosidad?’.


Esto últmo no prueba sino la eficacia de la ‘bomba azul’  -sí, el VIAGRA®-;  me refiero a la eficacia del correo-e basura, comercial, que hemos venido padeciendo durante años. El correo-e basura, tradicional, parece haber servido de prueba de concepto para los ataques masivos de ‘ransomware’ que vivimos hoy. Veamos si los ataques actuales no son más que un ejercicio de entrenamiento para las sorpresas de mañana.

Profundice en estos y otros temas en nuestro "Boletín". ¡Suscríbase aquí y disfrute cada semana con su lectura!

PD: El año pasado CCI publicó una serie de recomendaciones para prevenir, defenderse de, y reaccionar ante, el ‘ransomware’ que afecta a los sistemas de control industrial. Podrá encontrarlas aquí.