Aunque no hayas oído hablar del protocolo SMB, millones de personas lo utilizan cada día. Sin embargo, tiene una vulnerabilidad revelada en un ciberataque masivo que afectó a cientos de miles de personas. Lo peor es que simplemente dejar de usarlo no es una solución válida. Afortunadamente, hay una forma de utilizar este protocolo de forma segura. Pero primero: ¿qué es SMB?
El Bloque de Mensajes del Servidor (SMB) es un protocolo de red que permite a los usuarios comunicarse con ordenadores y servidores remotos, para utilizar sus recursos o compartir, abrir y editar archivos. También se conoce como el protocolo servidor/cliente, ya que el servidor tiene un recurso que puede compartir con el cliente.
Como cualquier protocolo de intercambio de archivos de red, SMB necesita puertos de red para comunicarse con otros sistemas. Originalmente, utilizaba el puerto 139 que permitía a los ordenadores comunicarse en la misma red. Pero desde Windows 2000, SMB utiliza el puerto 445 y el protocolo de red TCP para «hablar» con otros ordenadores a través de Internet.
¿Cómo utilizamos el protocolo SMB?
El protocolo SMB crea una conexión entre el servidor y el cliente mediante el envío de múltiples mensajes de petición-respuesta de ida y vuelta.
Imagina que tu equipo está trabajando en un gran proyecto que implica muchas idas y venidas. Es posible que desee ser capaz de compartir y editar archivos que se almacenan en un solo lugar. El protocolo SMB permitirá a los miembros de su equipo utilizar estos archivos compartidos como si estuvieran en sus propios discos duros. Incluso si uno de ellos se encuentra en un viaje de negocios a medio mundo de distancia, puede seguir accediendo y utilizando los datos.
Digamos que la impresora de su oficina está conectada al PC de las recepcionistas. Si quieres imprimir un documento, tu ordenador (el cliente) envía al ordenador de las recepcionistas (el servidor) una solicitud para imprimirlo y utiliza el protocolo SMB para hacerlo. El servidor devolverá una respuesta, indicando que el archivo está en cola, que se ha impreso o que la impresora se ha quedado sin magenta y no puede realizar la tarea.
¿Qué es la autenticación SMB?
Como cualquier otra conexión, el protocolo SMB necesita medidas de seguridad para que la comunicación sea segura. A nivel de usuario, la autenticación SMB requiere un nombre de usuario y una contraseña para permitir el acceso al servidor. Está controlada por el administrador del sistema, que puede añadir o bloquear usuarios y vigilar a quién se le permite la entrada.
A nivel de recurso compartido, los usuarios tienen que introducir una contraseña de un solo uso para acceder al archivo o servidor compartido, pero no se requiere autenticación de identidad.
Diferentes variantes del protocolo SMB
En 1996, Microsoft intentó cambiar el nombre de SMB por el de CIFS (Common Internet File System). Era una versión actualizada del mismo protocolo y tenía más funciones, pero el nombre no se mantuvo. Por eso, muchos siguen pensando que es lo mismo. CIFS es ahora sólo uno de los muchos dialectos (variantes) de SMB.
Aquí están todas las variantes del protocolo SMB:
- SMBv1 fue lanzado en 1984 por IBM para compartir archivos en DOS. Microsoft lo modificó y actualizó en 1990.
- CIFS fue lanzado en 1996 con más características y soporte para archivos de mayor tamaño. Llegó junto con el nuevo Windows 95.
- SMBv2 debutó en Windows Vista en 2006. Presentó un notable aumento en el rendimiento debido a una mayor eficiencia – menos comandos y subcomandos significaron mejores velocidades.
- SMBv2.1 llegó con Windows 7, trayendo un rendimiento mejorado.
- SMBv3 se introdujo con Windows 8 con muchas actualizaciones. La más notable de ellas es la seguridad mejorada: el protocolo comenzó a admitir el cifrado de extremo a extremo.
- SMBv3.02 llegó junto con Windows 8.1. Ofrecía la posibilidad de aumentar la seguridad y el rendimiento desactivando por completo SMBv1.
- SMBv3.1.1 se lanzó en 2015 con Windows 10. Añadió más elementos de seguridad al protocolo, como el cifrado AES-128, la protección frente a los ataques del hombre en el medio y la verificación de la sesión.
Es importante saber qué versión del protocolo SMB utiliza tu dispositivo, sobre todo si tienes una empresa y tienes muchos equipos Windows conectados entre sí. Sería difícil encontrar un PC con Windows 95 o XP (y que utilice SMBv1) en una oficina moderna, pero puede que todavía estén funcionando en servidores antiguos. Por qué es importante?
El ataque del ransomware WannaCry
En 2017, la Agencia Nacional de Seguridad de Estados Unidos (NSA) encontró una vulnerabilidad en el protocolo SMBv1. Esta permitía a un atacante ejecutar su código sin que el usuario se diera cuenta de nada. Cuando un dispositivo se infectaba, el hacker podía acceder a toda la red y a todos los dispositivos conectados a ella.
Este exploit se llamó EternalBlue. Un grupo de hackers llamado Shadow Brokers supuestamente lo robó de la NSA y lo filtró en línea en 2017. Microsoft lanzó una actualización para parchear la vulnerabilidad, pero solo un mes después de eso, estalló el ransomware WannaCry. Este ataque masivo afectó a casi 200.000 dispositivos Windows en 150 países. Cifró todos los datos del ordenador de la víctima y exigió un rescate en Bitcoin. WannaCry le costó al Servicio Nacional de Salud del Reino Unido unos 120 millones de dólares en concepto de rescate, por no hablar del caos que crearon miles de ordenadores cifrados e inutilizables.
¿Debo desactivar el protocolo SMB?
Desgraciadamente, todavía hay más de un millón de máquinas Windows que ejecutan la versión sin parches del protocolo SMBv1. Es probable que la mayoría de ellos estén conectados a una red, lo que hace que otros dispositivos de la misma red sean vulnerables, independientemente de la versión de SMB que estén utilizando.
Si está ejecutando un equipo o servidor Windows que todavía utiliza SMBv1, debe instalar inmediatamente la actualización o, mejor aún, actualizar a una versión más reciente del protocolo. ¿Es seguro el uso de SMB? Por ahora, parece que sí. Pero cualquier día pueden aparecer nuevas vulnerabilidades. Los usuarios que quieran rebajar el riesgo pueden ir un paso más allá y cifrar sus conexiones SMB.
Pero si no utilizas ninguna aplicación que requiera SMB, lo mejor es desactivarlo por completo y proteger tu dispositivo de posibles ataques. SMB no está habilitado por defecto en Windows 10 a partir de octubre de 2017, por lo que solo debes tomar medidas si utilizas una versión de Windows más antigua.
Tomar medidas adicionales lleva mucho tiempo, y las actualizaciones constantes pueden ser molestas, pero siempre debes instalarlas en cuanto estén disponibles. Nunca asuma que las vulnerabilidades no le afectarán. Cualquiera puede convertirse en un objetivo, así que lo mejor es proteger tus dispositivos y datos antes de que ocurra nada.
Para obtener más información sobre ciberseguridad y privacidad, suscríbete a nuestro boletín mensual del blog a continuación!