Más sobre Donwadup/Conficker

Hola,

He recibido una crítica en forma de mensaje de contacto. Es anónima (bueno, está firmada por alguien apodado tup), pero eso no le resta valor, porque es educada y porque el debate siempre es bienvenido.

Antes de ayer hablé sobre Downadup/Conficker, y me expresé en términos de masacre (no soy el único, por cierto). También opiné que este tipo de amenazas causa impacto real en los bolsillos de empresas y de usuarios. Este usuario anónimo me viene a decir que, respetando mi opinión, no cree que los impactos económicos sean relevantes. Que no es para tanto.

A este usuario y a los que piensen igual no voy a tratar de convencerlos, porque no es mi misión. Este blog no es un púlpito para correligionarios, ni tampoco hago comentarios orientados y tendenciosos ni para mejorar mi posición ni para satisfacer a nadie. Tampoco me untan el bolsillo con regularidad a cambio de dar opiniones pactadas, así que cuando comento y opino lo hago siempre a título estrictamente personal, lo que inexorablemente conduce a que puedo equivocarme (de hecho, me equivoco con frecuencia), pero siempre lo haré defiendiendo lo que creo que es cierto anteponiendo mi criterio a las interferencias de intereses de terceros.

Tampoco seré yo el que saque a la luz los números definitivos que permitan traducir las amenazas digitales y las deficiencias en la tecnología en efectos directos en la tesorería de las empresas o en el patrimonio de los usuarios. Entre otras cosas, porque no tengo los datos suficientes para hacer una valoración suficientemente rigurosa de esta traducción para todos y cada uno de los miles de casos que existen, y que bastante tengo ya con 8 horas al día dedicándome precisamente a eso. A lo que me puedo limitar es a realizar una estimación basada en mi experiencia y en lo que yo puedo considerar como sentido común, y por tanto, como cualquier otra estimación, será mejor o peor, pero en ningún caso debería ser para nadie el credo definitivo a enarbolar.

Haciendo una estimación muy básica

Imaginemos un entorno empresarial compuesto de 50,000 máquinas a parchear. Puede resultar un número elevado, pero además de ser un número redondo que facilita cálculos, no es un disparate en el mercado empresarial, donde hay muchas organizaciones donde ese número es perfectamente factible. El primer error en la calibración de amenazas es siempre la suposición de que todo el mundo tiene en sus oficinas 8 PCs y que las labores de parcheo las hace el informático de turno paseándose con un pendrive por las instalaciones. No haríamos mal en situar los problemas un poco mejor en ese sentido.

Supongamos que en ese entorno, precisamente por ser masivo, tiene herramientas de despliegue de actualizaciones automatizadas. Sí, puede resultar trivial, pero os aseguro que hay personas que creen que 50,000 puestos se actualizan a mano tecleando en todos y cada uno de ellos http://www.windowsupdate.com. Me da igual el producto, paquetería Tivoli, SMS, el que prefiráis. Normalmente, estos gestores saltan al iniciar sesión, y considerando las normativas y directrices energéticas actuales, la mayoría de las personas apagan sus máquinas o reciben señales de apagado cuando no están en las oficinas (sí amigos, 50,000 PCs funcionando sin nadie delante consumen MUCHA energía y no está el horno para bollos). Vamos, que por la mañana lo normal es encender el ordenador porque está apagado, y que si hay parches pendientes de aplicar, los gestores saltan antes de iniciar sesión.

Supongamos también que hemos trabajado alguna vez conectados a una red de muchos puestos. Esto es importante, porque quien no lo hemos hecho tiende a pensar que las cosas en redes masivas funcionan como en casa, y no, no es así. Presuponer que la descarga de un par de paquetes de seguridad de un servidor de actualización, la aplicación de esos parches, los reinicios necesarios y volver a conectarse a un dominio es algo que se puede llevar fácilmente 5 minutos. Incluso más. Adicionalmente, como estas tareas saltan al inicio, suele haber una elevada concurrencia que enlentece los procesos de actualización.

Hagamos una cuenta de sentido común. Si tenemos 50,000 máquinas, y cada una de ellas requiere 5 minutos de inactividad para ser parcheada ante una vulnerabilidad como la que ha posibilitado que Conficker se extienda rápidamente, parece sensato pensar que se consumen 250,000 minutos de tiempo en actualizar los equipos.

Imaginemos que la empresa paga a sus empleados a razón de 10 euros la hora. Sí, no son los más estirados del planeta, pero gente cutre y malos pagadores hay en todos lados. Las hay que pagan más, y las hay que pagan menos, pero hay que partir de una suposición inicial. Haciendo las conversiones necesarias, el coste del tiempo improductivo de en la aplicación del parche masivo es de 41,666 euros.

Sí, tranquilos, no saltéis. Cuando se reinicia la máquina se puede llamar por teléfono, tirar de PDA y trabajar, de modo que no se pierden siempre los 5 minutos completos ni existe concurrencia en 50,000 personas mirando la pantalla como bobos a la espera de poder meter su usuario y su clave. Repito, esto es una estimación que pretende ofrecer un ejemplo simplificado, no un cálculo real, así que tómese el supuesto con las debida cautela.

Jugando con los distintos parámetros, se podría construir una tabla similar a la que sigue:

tabla costes

Faltan por añadir, entre otras cosas:

  • Todos los costes que derivan de las amenazas consumadas (equipos infectados, personal de soporte en edificios, personal de análisis de seguridad lógica, personal de gestión antifraude, el uso de telecomunicaciones para notificaciones, la pérdida o corrupción de datos críticos comprometidos o dañados, el trabajo que hay que rehacer porque el cafre de turno ha eliminado el virus y todo lo que había en los discos de red, los gastos en servicios jurídicos para hacer reclamaciones y/o atenderlas, y un largo etcétera, tan largo como podáis imaginar.
  • Coste de oportunidad (negocio cesante por no atenderlo)
  • Daños de imagen y legales derivados de la inactividad
  • Coste de los productos de actualización (licencias, mantenimiento, consultoría) y los procesos de puesta en producción de un parche (pruebas, validaciones, certificaciones, generación de paquetes …) (que de veras os lo digo, que esto no va de sale-un-parche-me-lo-bajo-y-lo-instalo-y-que-feliz-me-quedo)
  • Coste del hardware de la infraestructura de actualización masiva (siempre que no uses el pendrive, que sale barato)
  • Coste de los anchos de banda consumidos en el transporte de paquetes. Cuando estamos a 10,000 kilómetros de la sede no sale rentable enviar al informático con el pendrive a dar vueltas con la Iberia Plus bajo el brazo.
  • Costes indirectos repercutibles a la inactividad, porque aunque no trabajes, los impuestos, seguros sociales, alquileres, servicios, etc. se siguen pagando. En el país de las maravillas no hay problema, pero en la vida real todo cuenta a la hora de completar una cuenta de gastos.
  • Daños provocados por el malware que se instala por acción y mediación de este gusano. Aquí que cada cual le eche imaginación que quiera.
  • En general, otros gastos que impliquen consumo de recursos por tener que actuar ante una amenaza. Las empresas funcionan para dar servicios, no para consumir tiempo parcheando. En el país de las maravillas tampoco hay problema por esto, todo sea dicho.

Como véis, el ejemplo es trivial e infantil, pero creo que la idea está clara: valorar el impacto de una amenaza exige estudiar con mucha profundidad cada caso en particular, siendo muy complicado traducir problemas a euros. Lo que es obvio es que ante este tipo de eventos, si no se tiene la capacidad de valoración suficiente, al menos hay que evitar ser una persona corta de miras incapaz de razonar que los procesos de cambio en infraestructuras de tecnología consumen MUCHÍSIMOS recursos. Y si a mí como empresa me cuesta muchísimo, a 1000 empresas les costará 1000*muchísimo.

Lo que puede parecer una chorrada (pues yo en mi casa me bajo el parche y en 15 minutos tengo mi mésenyer y mi Facebook otra vez a tono) puede acabar costando y de hecho, cuesta, una cantidad brutal de dinero en las redes profesionales de empresas y organizaciones. Y a los usuarios, les cuesta tiempo. Y el tiempo es oro.

Para profundizar sobre la comprensión del tema de costes, podéis ojear este documento, que aún siendo un FUD como un piano en su planteamiento, tiene una estructura fácilmente comprensible y arroja cifras interesantes. Entre 1,500 y 2,000 USD por máquina y año en concepto de costes de gestión de parches.

Observar los problemas a distintas escalas

Ahora pensemos en las miles de empresas que emplean soluciones Microsoft. Y no digo que sean miles porque ellos mismos dediquen el 90% de su tiempo a vanagloriarse a los cuatro vientos de las elevadas cuotas que tienen, es que a poco que uno se mueva y vea redes, se dará cuenta de que tienen razón: son la solución mayoritaria para el escritorio, y con una fortísima presencia en servidores de pequeño y medio alcance. ¿Puede resultar que la simple acción de parchear acabe costando millones de euros en términos globales? Pues parece que sí.

¿Carnicería?

Por estos factores que comento (me importan más que los números) considero que Donwadup/Conficker es una masacre. El otro día cité a F-Secure, que están realizando un excepcional seguimiento a esta carnicería, y hoy voy a citar a Panda Labs, que estiman en un 6% del parque mundial de ordenadores (se dice pronto) el volumen de PCs infectados por Donwadup/Conficker. Cito a Luis Corrons, uno de estos que tiene poca idea, y lleva poco en la industria del malware:

Que de cada dos millones de ordenadores que se analicen, cerca de 115.000 estén infectados con un mismo ejemplar de malware es algo que no se veía desde los tiempos de las grandes epidemias como las de Kournikova o Blaster”, afirma Luis Corrons, director técnico de PandaLabs. «Estamos ante una auténtica epidemia y lo peor es que este gusano aún puede hacer mucho daño, ya que en cualquier momento puede comenzar a descargar más malware en los equipos o propagarse por otros medios.

Otro de Panda, Ryan Sherstobitoff, aclara que el 6% puede quedarse corto:

El 6% del que se habla eran personas que venían a nuestro sitio y decidían analizar sus navegadores. Teniendo en cuenta esto, los datos reales podrían ser aterradores”, señala Shertobitoff. “Si estuviéramos analizando la base de usuarios general, todas las personas que no tienen antivirus o que los tienen pero no han actualizado sus definiciones… podríamos estar hablando de niveles de infección de entre un 20 y un 30%

El mensaje está bastante claro. También quiero citar a otros de esos que no tienen ni idea, Sophos, que ha elaborado una encuesta sobre Conficker. Me alegro de que la mayoría culpe a los creadores del gusano, y no al fabricante, que insisto una vez más ha actuado de modo ejemplar.

Volviendo a los orígenes de este texto, creo que doy por zanjada mi argumentación de por qué creo que este asunto es grave. Y más grave que se va a tornar, porque los gusanos de hoy no son como los de antaño, llevan cual huevo Kinder, regalito. Y cuando hablamos de regalitos, hay que pensar en troyanos y phishing, ransomware, accesos indebidos que pueden dejar tu documentación confidencial a la venta en maleteros de coches

Muchos son los medios que discuten si estamos ante un hype o no. Que cada cual piense, haga y diga lo que quiera. Yo mientras siga viendo grifos non stop que manan euros destinados a combatir estas amenazas y sus colaterales, tengo bastante clara mi postura.

Un saludo,