El ransomware WannaCry convirtió el 12 de mayo en un viernes negro

El viernes, 12 de mayo de 2017, un ciberataque mundial amenazó ordenadores de todo el mundo con la variante del ransomware WannaCrypt, conocida como WannaCry. De entre las víctimas, al menos diez grandes compañías españolas se vieron afectadas, según el Ministerio de Interior. Lo más preocupante es que 179 países han sido infectados, sumando un total de 230.000 equipos, tanto de organizaciones como de particulares, según las últimas informaciones publicadas por INCIBE el 15 de mayo. 

Las primeras noticias surgieron alrededor del mediodía del viernes, referidas especialmente al impacto que había tenido el ciberataque en la compañía Telefónica. El caos y la desinformación del momento produjeron una gran repercusión mediática.

Cómo actuó el ransomware en su ataque con WannaCry

Lo que diferencia este ciberataque de sus predecesores es la combinación de técnicas, método que, hasta ahora, no se había puesto en práctica. Aunque novedoso, era esperado por todos los analistas.

La herramienta que explota (exploit) la vulnerabilidad de Windows EternalBlue que utilizó el malware era previamente conocida:  había sido divulgada en CVE, el sistema para publicar vulnerabilidades, y Microsoft puso la solución el día 14 de marzo, a través de una actualización de sus sistemas.

El malware que actuó fue una variante del ransomware llamado WannaCrypt0r, denominado WannaCry V.2 y la herramienta que se utilizó para la instalación del malware fue DoublePulsar, herramienta supuestamente empleada por la NSA americana, que había sido filtrada por un grupo hacker llamado Shadow Brokers. Lo que le diferencia de otras versiones es que el malware fue modificado para usar el “modus operandi” de gusano, es decir, es capaz de propagarse sin intervención humana, infectando equipos vulnerables. Su medio de infección inicial se dio a través de correo phishing, expandiéndose, posteriormente, a través de la red interna.

Pese a que la técnica en sí no ha sido del todo sofisticada ya que se han utilizado herramientas y métodos ya conocidos, según nuestro CTO, Lino Prahov, la combinación de ransomware y gusano ha hecho que este ciberataque haya sido el más dañino de la historia de Internet. Ha puesto en evidencia dos cuestiones: la falta de concienciación en materia de seguridad y que, gracias al alto coste que supone para las empresas (y también para particulares) el mantenimiento de sus infraestructuras informáticas, la ciberseguridad se pasa por alto.

Por otro lado, Lino Prahov asegura que se ha dado un efecto diferenciador cualitativo, ya que los servidores no solían estar expuestos (aunque no así los datos que éstos contienen) por no haber usuarios trabajando en ellos directamente. Con este cambio a la propagación autónoma del ataque, sin necesidad de intervención humana, se producen efectos devastadores.

¿Quién ha sido el autor?

Puesto que no existen por el momento informaciones verídicas y concretas sobre la autoría de los hechos, en mrHouston tenemos algunas hipótesis sobre las causas del incidente:

  • Grupo de hackers. Conocida la vulnerabilidad, podría ser que un grupo de hackers no demasiado experimentado, la hubiera aprovechado para realizar un golpe con gran impacto.
  • Ensayo de ciberguerra. Aun siendo un ciberataque de bajo nivel técnico, puede ser una muestra de potencia o de capacidad de impacto. El hecho de que el ataque se haya producido sobre grandes empresas estratégicas como el Sistema Nacional de Salud de Inglaterra o Telefónica en España, la cual, hasta hace pocos años tenía propiedad estatal.
  • Operación de falsa bandera o engaño (false flag, military deception) en la que, el ataque se producía para provocar caos desviando la atención de otros acontecimientos que no han salido a la luz.

Recomendaciones para evitar ciberataques por ransomware

Sabiendo que los ataques de ransomware no cesan de crecer, debemos estar preparados para las futuras imitaciones y variantes, así como perfeccionamiento de técnicas. Los medios informáticos son imprescindibles para mantener nuestros equipos más protegidos:

  • Mantén actualizado tu sistema operativo según lo requiera el fabricante.
  • Cuenta con un antimalware actualizado en tu equipo.
  • Realiza copias de seguridad periódicamente y en dispositivos externos que no puedan ser infectados en caso de ataque.

Puesto que no existen soluciones 100% eficaces frente a este tipo (ni a ninguno) de ataques, nuestra recomendación primordial es usar el sentido común y ser prudente en internet:

  • Recuerda que existe un retraso temporal entre las medidas de seguridad y las amenazas.
  • No abras archivos adjuntos de remitentes desconocidos y menos aún los ejecutes.
  • No confíes en el remitente, aunque te resulte conocido, porque no hay garantías de que sea verídico.
  • No facilites datos personales bajo ningún concepto.
  • Para evitar gusanos, ten en cuenta que los archivos maliciosos llevarán una doble extensión similar a la de un archivo inocente. Por ejemplo: “foto.jpg.exe». En ordenadores que tienen activado «ocultar las extensiones del archivo para tipos de archivos conocidos» solo se mostrará: «foto.jpg». Desactiva la opción para tener mayor control de la situación.
  • Sigue en Youtube nuestro espacio de seguridad informática en el programa Viaje a Ninguna Parte para mantenerte informado con todos los consejos de nuestros expertos.

Glosario de conceptos básicos: vulnerabilidad, ransomware y gusano.

Para comprender a fondo este gran ciberataque y sus consecuencias, debemos exponer varios conceptos básicos:

  • Vulnerabilidad y exploit. La vulnerabilidad es una brecha de seguridad en una aplicación o sistema informático. De las vulnerabilidades se sirven los exploits, que son aquellos códigos o aplicaciones que aprovechan ese agujero previamente conocido por el atacante.
  • Ransomware. Los ataques de tipo ransomware se realizan mediante un malware (cualquier tipo de software malicioso) que, cuando se instala en el equipo, cifra los archivos del ordenador, secuestrándolos y dejándolos inaccesibles. Para poder recuperarlos se pide a la víctima un rescate monetario, generalmente en forma de bitcoins, cuyo precio este mes ha aumentado un 55%, superando incluso el precio del oro.
  • Gusano informático. Es un programa dañino que, una vez que infectan el ordenador, se extendiende por medio de red, correo electrónico, dispositivos de almacenamiento, programas P2P, mensajería instantánea, etc. Sin la intervención de un humano. La mayoría de los virus actuales requieren de una persona para transferirse de un ordenador a otro.

 

Entradas relacionadas