El peligro al que se enfrentan las empresas de hoy en día es invisible y no conoce fronteras. La historia ha querido que tomemos consciencia de esta amenaza para empezar a actuar ya. Conciencia de cuán dependientes somos de la tecnología que hemos creado; conscientes de cuán vulnerables nos hemos vuelto a causa de esta dependencia.

El pasado viernes 12 de mayo se produjo un ciberataque a escala mundial que afectó a los equipos de decenas de grandes y medianas empresas, sembrando la incertidumbre y el alarmismo allá por donde se confirmaban afectados.

“Ramsonware” fue la palabra que más se repitió aquella mañana. Un tipo de virus que actúa secuestrando equipos y cifrando los archivos que contiene. A cambio de la liberación, los ciberdelincuentes que han soltado el virus piden el pago de una cuantía que normalmente se debe realizar en Bitcoins, la moneda virtual cuyas transacciones son difíciles de rastrear.

Dentro de este tipo de gusanos, el virus que se utilizó para este ciberataque a gran escala fue WannaCry o Wcry, una variante de WannaCrypt0r 2.0. En esta ocasión, la cuantía del rescate oscilaba los 300-600 dólares.

Este es el mensaje que aparecía en la pantalla del usuario cuando su equipo había sido infectado por el ransomware.

Cuando en su momento hablamos de cómo afectan los ataques con ransomware a las empresas, vimos que su pago no garantiza la devolución de los archivos. Aun así, hay quienes presos del pánico y de no saber cómo actuar ante estos casos, hicieron caso a la petición de rescate y terminaron pagando.

Cómo surgió el ataque ransomware WannaCry

Aún hay muchas conjeturas sobre lo que por el momento se conoce como el ciberataque del año. Es probable que muchas de las cuestiones que se plantean hoy en día se queden sin responder ante la opinión pública.

En primer lugar, nadie ha reivindicado la autoría del ataque. Fuentes de The Guardian apuntan a que los autores de este ransomware fue Lazarus Group, una organización norcoreana que estaría trabajando en la creación de este virus. A esta hipótesis se une The New York Times que señala que hay similitudes entre el código de WannaCry y otros ataques lanzados desde Corea del Norte.

A colación de esta teoría, otras fuentes apuntan a que un grupo de hackers llamado Shadow Brokers publicaron en la red ETERNALBLUE, un exploit que supuestamente fue desarrollado por la Agencia de Seguridad de Estados Unidos (NSA). El objetivo del exploit era el de meterse en los ordenadores con Windows aprovechando una vulnerabilidad en el protocolo de red, Server Message blog (SMB), y tomar el control de los equipos.

Al mismo tiempo, una vulnerabilidad de Windows fue filtrada por Wikileaks a través de un documento llamado Vault 7. En él, se desvelaron las técnicas que utiliza la CIA para espiar dispositivos con este sistema operativo aprovechando brechas de seguridad desconocidas por Microsoft (lo que se conoce como ataque de día cero).

Toda esta información fue útil para los ciberdelincuentes a la hora de desarrollar el gusano. Los creadores de WannaCry utilizaron el exploit para abrirse paso dentro de los equipos que no estaban actualizados, e introducir el virus que infectaba los equipos conectados a una red local. A su vez, este reproducía distintas IPs para extenderse por Internet, de ahí su virulencia.

Microsoft había hecho los deberes en cuanto Wikileaks hizo esta filtración. El 14 de marzo lanzó una actualización de seguridad para resolver estas vulnerabilidades. A tenor de los más de 300.000 equipos afectados en todo el mundo, la mayoría de usuarios no actualizaron sus máquinas en cuanto se publicó el parche. Un claro ejemplo de que mantener al día los equipos es una medida de seguridad sencilla de aplicar.

Mapa de los países afectados por el ataque. Tweet de @MalwareTechBlog, la persona que paró WannaCry.

¿Quiénes fueron los afectados?

Según la Europol, más de 150 países fueron afectados por el virus WannaCry, entre ellos, Rusia, Ucrania, China, India, Reino Unido y España. De hecho, España fue uno de los primeros países en saltar las alarmas. El Instituto Nacional de Ciberseguridad (INCIBE) apunta que hasta 600 empresas españolas tuvieron que paralizar su actividad debido al ataque informático, entre ellas, Telefónica.

La multinacional puso en marcha su protocolo de seguridad cuando el virus apareció en las pantallas de algunos equipos de la compañía. Entonces, los empleados tuvieron que apagar los ordenadores y desconectarlos de la red hasta nuevo aviso. Un hecho que afectó a parte de la productividad de la compañía, aunque los clientes pudieron continuar haciendo uso de sus servicios.

Tweet del Ministerio de Energía, Turismo y Agenda Digital español.

A nivel internacional Rusia fue el país más afectado. Sin embargo, los medios destacaron lo sucedido en Reino Unido: los ordenadores del Servicio Nacional de Salud (NHS) también fueron infectados por el virus. Esto hizo que se tuvieran que retrasar citas, desviar ambulancias y cancelar intervenciones quirúrgicas, a no ser de que se tratara de una urgencia.

Otras empresas afectadas por la empresa fue Renault, que suspendió la actividad de algunas de sus plantas situadas en Francia. El operador ferroviario alemán, Deutsche Bahn, reconoció que sus sistemas también habían sido atacados después de que apareciera el virus en algunos de los paneles de las estaciones de tren.

Algunos usuarios tomaron fotos de la aparición del Ransomware WannaCry en las pantallas de Deutsche Bahn.

¿Cómo se frenó la expansión del virus?

Aquel 12 de mayo reinó el nerviosismo entre empresas y particulares de todo el mundo, a medida de que se iban confirmando víctimas de WannaCry. Sin embargo, como si del argumento de una película se tratara, apareció la persona que pudo frenar la expansión del virus.

Marcus Hutchins, conocido por su cuenta de Twitter como @MalwareTechBlog, es un chico de 22 años, residente en la ciudad costera de Devon (Inglaterra). En una entrevista concedida a Associated Press, este experto en ciberseguridad informática explica que estaba de vacaciones cuando comenzó a analizar la forma en la que el virus infectaba los equipos. Se dio cuenta de que cada vez que se producía una nueva infección, WannaCry trataba de conectar con un nombre de dominio (gwea.com) que no estaba registrado.

Pensó que si compraba este dominio podría parar la reproducción del virus aprovechando dicha conexión, algo que en argot informático se conoce como “kill switch”. Y así fue.

Después de comprarlo por 10,69 dólares, apuntó el dominio a unos servidores situados en Los Ángeles a los que Hutchins tenía acceso. En cuanto lo hizo, se dio cuenta de la potencia del ataque, ya que se producían más de 5.000 conexiones por segundos. Finalmente, el ransomware entró en bucle y se apagó.

Hay quien apunta que este fallo en el código WannaCry se dejó adrede con el fin de poder apagarlo en caso de que el virus se fuera de las manos. Aunque WannaCry fue frenado, varias fuentes entre ellas Europol, advierten de que aún existe el peligro de que el virus vuelva con más virulencia.

Tweets de Hutchins advirtiendo que podríamos experimentar un segundo ataque.

Adylkuzz, Uiwix… esto es solo el principio

Hay quien a estas alturas se preguntará cuál fue el objetivo de WannaCry. Lo cierto es que hay muchas teorías al respecto, pero la más mencionada es que la motivación era económica. Según las declaraciones que hicieron nuestros analistas a El Confidencial; “alguien estaba creando el virus y se le escapó”. Además, añadieron que el código no estaba muy bien hecho y sin terminar.

Estos detalles apuntan a que podríamos enfrentarnos a unos ataques más estudiados y sofisticados y por tanto, más agresivo que el que hemos vivido. De hecho, los expertos en seguridad ya barajan nombres de los próximos virus que podrían expandirse por la red. Adylkuzz es uno de ellos.

Adylkuzz, el botnet que crea dinero virtual

Expertos informáticos afirman que desde el pasado 24 de abril se ha detectado un virus parecido a WannaCry llamado Adylkuss. Este se instala en varios ordenadores creando una red (botnet) para convertirlos en máquinas generadoras de criptomonedas parecidas a los bitcoins.

Mediante esta actividad, conocida como “minería de criptomonedas”, los hackers ganan dinero dado que los beneficios que les reportan los botnets los transfieren a una red bancaria. Se considera que este virus es mucho más peligroso que WannaCry, no solo porque roba dinero de los ordenadores que toma el control, sino que además explota la misma vulnerabilidad que WannaCry.

Uiwix, el ransomware que se autodestruye al descubrirse

Otra variante más peligrosa que WannaCry es Uiwix. Se trata de un virus que se ejecuta desde la memoria del equipo. Al no necesitar crear ningún archivo en él, es difícil que los antivirus lo detecten. A pesar de esto, también está diseñado para autodestruirse en caso de que sea descubierto.

A pesar de que también explota la misma vulnerabilidad encontrada en el protocolo SMB de Windows, en esta ocasión nos encontramos con un virus que no incluye “kill switch”, es decir, en su código no se han encontrado fallos que permitan apagarlo de la misma manera que se hizo con WannaCry. Según Heimdal Security, el procedimiento de este ransomware es el más conocido: secuestrar el equipo, cifrar los archivos y pedir un rescate en bitcoins.

Los ciberdelincuentes dan instrucciones a sus víctimas para pagar el rescate en bitcoins.

¿Estamos preparados para otro ciberataque como WannaCry?

El ataque dejó en evidencia que el mundo aún no está preparado para afrontar este tipo de ciberdelincuencia. Por una parte, los ataques informáticos no entienden de fronteras, por lo que se hace más difícil perseguirlos, así como aplicar unas leyes y castigos.

Por otra, empresas y particulares han de asumir parte de la responsabilidad de los daños al no tomar las medidas de seguridad que los tiempos requieren. Además, las revelaciones de organizaciones como Wikileaks, así como el robo y difusión de herramientas desarrolladas por los servicios secretos de los gobiernos del mundo no hacen más que empeorar la situación.

Actualizar los equipos es una medida de seguridad, pero también es importante formar a los empleados para que sepan cómo actuar ante una amenaza. Blindar tanto las redes como los servidores de una compañía, también son cuestiones que no pueden dejarse para otro momento. En los enlaces se encuentra la manera de mejorar la seguridad de cada componente.

La lección que WannaCry deja tras de sí es que la ciberseguridad no es un capricho de las compañías que deciden invertir en ella. No hacerlo pone en riesgo la productividad y confianza ante los clientes. Al final, todo esto se traduce en unos números y unas cuentas que ninguna empresa querría tener que presentar.[:]