La pandemia digital comenzรณ el 12 de mayo en Asia y no tardรณ en extenderse por todo el globo. Cientos de miles de pantallas han tenido hasta la fecha el infortunio de mostrar a sus โdesorientadosโ administradores una ventana explicativa en color rojo y 28 idiomas que, en resumidas cuentas, les amenaza con borrar todos sus archivos si no pagan cierta cantidad en bitcoins. Este es el llamado WannaCry o WannaCrypt, considerado el mayor ataque de ransomware de toda la historia.
ยฟQuรฉ hace el WannaCry?
Se trata de un virus ransomware que, mรฉtodo de expansiรณn aparte, actรบa como cualquier otro ransomware: una vez en un computador, busca infectar toda la red conectada y cifra casi todos los archivos (en su caso de casi 200 tipos), incluyendo documentos, imรกgenes, vรญdeos, mรบsica e incluso bases de datos enteras y cรณdigo fuente de proyectos digitales. Los archivos adquieren la extensiรณn extra .WCRY, con lo que quedan inaccesibles. Entonces la imagen de fondo del computador cambia a un mensaje inquietante en letras rojas o bien aparece directamente la ventana con las instrucciones para llevar a cabo el pago en bitcoins a cambio de recuperar los archivos infectados.
Pese a que parece un ejemplo comรบn de ransomware, lo mรกs inquietante del WannaCry es su mรฉtodo de expansiรณn. Mientras que en otros ejemplares de su tipo la distribuciรณn se da gracias al phishing (correo electrรณnico y pรกginas web falsas), donde el usuario da click en links sospechosos o abre adjuntos en el correo que vienen infectados con el virus, el WannaCry no tiene que engaรฑar a sus vรญctimas. De hecho, estas no tienen que hacer absolutamente nada para resultar afectadas.
El grupo de hackers Shadow Brokers se encargรณ de robar y filtrar las armas cibernรฉticas creadas por otro grupo de hackers, el Equation Group, asociado a la Agencia Nacional de Seguridad (NSA) estadounidense. Entre esas armas estaba la EternalBlue, que aprovecha una vulnerabilidad crรญtica en Windows para โcolarseโ en el sistema. Y asรญ es como el WannaCry, hasta el momento, llega a un computador o red de computadores: escaneando la red en busca de dispositivos vulnerables a EternalBlue. Tal exploit apenas fue parchado por Microsoft en marzo, pero la mayorรญa de individuos y organizaciones no habรญan instalado aรบn esta actualizaciรณn en sus sistemas, lo que permitiรณ el gran alcance este ataque.
ยฟQuรฉ paรญses y organizaciones fueron afectados?
Hasta el 14 de mayo, segรบn Rob Wainwright, Director de la Europol, se habรญan reportado 200 mil vรญctimas en al menos 150 paรญses, de las cuales la mayorรญa son empresas, incluyendo grandes corporaciones.
Entre los casos mรกs destacados se encuentran las Policรญas de China y de Andhra Pradesh, un estado de India; los manufactureros automovilรญsticos Nissan Motor, Renault y Automobile Dacia, la compaรฑรญa de logรญstica FedEx, la gigante japonesa Hitachi, el Ministerio de Asuntos Exteriores de Rumania, la empresa estatal Ferrocarriles Rusos (una de las compaรฑรญas ferroviarias mรกs importantes del mundo); PetroChina, el mayor productor de petrรณleo de ese paรญs; la Corte de Justicia de Sรฃo Paulo, el Sberbank, el banco mรกs grande Rusia; el Servicio Nacional de Salud (NHS) del Reino Unido; la compaรฑรญa de medios de comunicaciรณn y entretenimiento Disney;ย y, hacia los hispanohablantes, la gigante de telecomunicaciones Telefรณnica, la aerolรญnea LATAM Airlines y el Instituto Nacional de Salud de Colombia.
Sin embargo, el conflicto en la informaciรณn que se ha dado sobre las vรญctimas en Mรฉxico, donde Kaspersky Lab afirma que al menos hay 500 vรญctimas corporativas mientras que la policรญa cibernรฉtica nacional informรณ que no se habรญan reportado infecciones, indica que muchas compaรฑรญas prefieren mantener a salvo su reputaciรณn ocultando el ataque. Asรญ lo afirmรณ Dmitry Bestuzhev, Director de Investigaciรณn y Anรกlisis de Kaspersky Lab en Amรฉrica Latina: โmuchas empresas deciden ocultar esta informaciรณn para proteger lo que ellos llaman su prestigioโ.
Por tanto, el nรบmero de vรญctimas contabilizado es tan sรณlo un aproximado: el nรบmero sin lugar a dudas es mayor y probablemente continรบa creciendo ahora mismo.
ยฟCuรกles son los costos?
Para empezar, el ransomware exige a sus vรญctimas entre 300 y 600 dรณlares en bitcoins por computador afectado, y dado que el WannaCry puede extenderse rรกpidamente por toda la red de computadoras conectada, estos pueden llegar a ser cientos y, por tanto, sumar varios miles de dรณlares por instituciรณn. Pero tal escenario es sรณlo si el individuo o la compaรฑรญa ceden a las exigencias de los hackers, algo que ha demostrado no ser tan usual, puesto que, pese a su magnitud, hasta los momentos las direcciones reportadas por Kasperky Lab sรณlo suman alrededor de 105.000 dรณlares en bitcoins.
El verdadero costo de este ataque va mรกs allรก del pago a los hackers. Segรบn ha calculado la firma de ciberseguridad Cyence, los costos potenciales del WannaCry pueden llegar a sumar 4 billones de dรณlares a nivel global dado que, de una u otra forma, los afectados tendrรกn que reponer sus archivos y sistemas, por no mencionar el tiempo que hayan estado detenidos a causa del ransomware. Todo lo cual se traduce, sin duda, en dinero.
ยฟCรณmo defenderse?
La respuesta mรกs evidente es actualizar Windows a la prontitud; aunque, por supuesto, esta es una medida preventiva y no paliativa. Una vez infectado totalmente por WannaCry, resulta imposible recuperar los archivos, quizรกs ni siquiera pagando el rescate, dado que hasta los momentos los pagos han sido mรกs bien pocos y ninguna de las organizaciones afectadas ha recomendado pagar.
Por otro lado, diferentes expertos y firmas de seguridad estรกn trabajando en sus propias medidas paliativas. Para empezar, el investigador britรกnico independiente Marcus Hutchins, conocido bajo el seudรณnimo de MalwareTech, logrรณ encontrar un bug en el WannaCry que permitรญa โapagarloโ y salvar los archivos tras la infecciรณn. Por desgracia, las versiones mรกs recientes del virus ya no cuentan con el mismo fallo.
No obstante, Telefรณnica, uno de las primeras infectadas, publicรณ su propia herramienta para la recuperaciรณn parcial de algunos archivos, siempre y cuando se apague o reinicie el ordenador apenas se contraiga el virus. Por el contrario, la compaรฑรญa de ciberseguridad Comae advierte que para utilizar su herramienta de descifrado, llamada WannaKiwi, no debe apagarse el computador; aunque tambiรฉn es parcial y debe aplicarse lo mรกs rรกpido posible.
Cuando se trata de ransomware โincluido el WannaCryโ la mejor opciรณn es siempre prevenir. Por ello, si eres usuario de Windows (o incluso si no), debes instalar las actualizaciones y respaldar toda tu informaciรณn.
Seรฑalando culpables
A la pregunta ยฟquiรฉn estรก detrรกs de todo esto?, la respuesta parece estar en Corea del Norte. Neel Mehta, investigador de Google, fue el primero en encontrar una importante similitud entre el cรณdigo del WannaCry y una herramienta previamente desarrollada por el Lazarus Group, un grupo de hackers vinculado a Corea del Norte. Otras firmas de ciberseguridad, como Kasperky Lab, Comae y Symantec han confirmado estas similitudes.
Sin embargo, esta es sรณlo una pista y no es concluyente. Se ha considerado que puede ser tambiรฉn un intento de culpar al Lazarus Group por parte de otros hackers, e inclusive que el cรณdigo ha sido reutilizado sin mรกs. Pero, mรกs allรก de los cibercriminales, no han tardado en seรฑalarse culpables del lado de la ley.
Quizรกs la mรกs seรฑalada ha sido la Agencia Nacional de Seguridad (NSA) de Estados Unidos, de donde proviene para empezar la ciberarma que permitiรณ la expansiรณn global del WannaCry. Y si bien es cierto que les fue robada, el simple desarrollo de la EternalBlue y, de hecho, el que su robo haya resultado posible, no ha sido visto con buenos ojos.
If @NSAGov had privately disclosed the flaw used to attack hospitals when they *found* it, not when they lost it, this may not have happened https://t.co/lhApAqB5j3
— Edward Snowden (@Snowden) 12 de mayo de 2017
Por otro lado, para el Reino Unido se ha convertido en un debate polรญtico. El Servicio Nacional de Salud, por falta de presupuesto, opera mayormente con Windows XP, un sistema operativo para el cual Microsoft ya ni siquiera ofrece soporte. Por tanto, el parche disponible desde marzo para los demรกs sistemas ni siquiera estaba entre las opciones de la NHS hasta este mes, cuando notando el alcance del ataque Microsoft ofreciรณ actualizaciones especiales para sus sistemas mรกs viejos.
La criticada seguridad de Windows es, de hecho, otro de los culpables que podrรญan seรฑalarse, junto al descuido de muchos usuarios. Aunque, si bien es cierto que el parche para la vulnerabilidad estaba disponible desde un mes antes del ataque, segรบn la firma de ciberseguridad Cylance este nunca constituyรณ una opciรณn plausible para las empresas.
Cuando se trata de instalar actualizaciones crรญticas, las compaรฑรญas deben estudiar en primer lugar si estas no afectarรกn sus propias aplicaciones. Con anterioridad, la instalaciรณn de este tipo de parches ha logrado malograr infraestructuras corporativas, por lo que la evaluaciรณn debe realizarse con cuidado y puede llegar a durar un mes. De este modo, las compaรฑรญas probablemente no tuvieron suficiente tiempo para instalar el parche antes de la infecciรณn.
Y cosas peores vendrรกn
Como ya hemos reportado, nuevas versiones de este ataque, como el Uixix, estรกn aprovechando la misma vulnerabilidad de Windows. El Adylkuzz, de hecho, probablemente empezรณ a aprovechar a EternalBlue mucho antes que el WannaCry, y dado que opera silenciosamente para minar Monero, lleva mรกs un millรณn de dรณlares recaudados.
Pero tal vez este es sรณlo el comienzo de la peor serie de ciberataques de la historia. Desde un post de Steemit, el grupo de hackers ShadowBrookers, quienes filtraron la EternalBlue en primer lugar, ha amenazado con publicar y vender en junio nuevas vulnerabilidades y ciberarmas, incluyendo esta vez al sistema Windows 10 โno afectado por el WannaCryโ y la red bancaria internacional SWIFT.
Ante ello, la mejor forma de estar preparado es instalar todas las actualizaciones disponibles y mantener un buen antivirus que ofrezca protecciรณn contra amenazas que puedan expandirse mediante vulnerabilidades, como los botnets y el ransomware.