Accidentalmente, un investigador británico de 22 años,
que de momento quiere permanecer en el anonimato, ha sido quien ha conseguido
frenar la propagación del virus Wannacry, responsable el 12 de mayo de 2017 de
un ciberataque a escala mundial sin precedentes. Su éxito se debe a que compró
el nombre de un dominio, según publica el diario francés L’Express con información
de Kacper Pempel, de la Agencia Reuters. El virus ha afectado durante cuarenta
y ocho horas a un centenar de países y alterado el funcionamiento de empresas y
organizaciones.
«Twiteando a partir de @Malwaretechblog,
el joven investigador en ciberseguridad ha explicado que descubrió como parar
el virus, comprando por unos cuantos dólares el nombre de un dominio utilizado
por el código informático del virus”. Después ha explicado a la Agencia France
Press: «Generalmente un programa maligno se lanza desde un dominio que no está
registrado. Simplemente basta registrar el nombre de ese dominio para conseguir
frenar la propagación».
En Twitter ha explicado que, en el momento de
registrar el dominio, no sabía que bastaría para frenar el virus y que, en ese
sentido, su actuación ha sido «accidental». Sin embargo, el National Cyber
Security Centre (CCSC), centro británico de ciberseguidad, le ha llamado
públicamente «héroe del día».
Los ultimos días hemos hablado mucho de Wannacryptor,
el virus –ransomware- que ha desencadenado el ataque cibernético mundial que ha
afectado a unas 200.000 personas, empresas y organizaciones, entre las que se
encuentran Teléfonica en España, Renault en Francia, la empresa de mensajería
internacional FedEx en Estados Unidos, el Ministerio ruso de Interior, la
compañía ferroviaria alemana, el Servicio Nacional de Salud británico y varias
universidades chinas.
Un ransomware (también conocido como rogueware o
scareware) es un programa informático maligno que restringe el acceso al
sistema y exige el pago de un rescate para eliminar la restricción. El
ransomware lo crean estafadores con gran conocimiento en programación
informática. Puede entrar en los PC mediante un archivo adjunto de correo
electrónico, o a través del navegador cuando se visita una página web infectada
con este tipo de malware. También puede acceder al PC a través de la red.
Este tipo de programas malignos secuestra los datos
personales del usuario y luego le pide dinero a cambio de la clave para
desbloquearlo. Los modelos modernos de ransomware aparecieron inicialmente en
Rusia pero en los últimos años han proliferado ataques de este tipo procedentes
de otros países, como Australia, Alemania y Estados Unidos. En noviembre de
2012, el editor de programas de seguridad McAfee tenía registradas 120.000
nuevas muestras de este tipo de virus.
El virus que nos ha invadido ahora -un programa
maligno denominado WCry, WannaCry, WannaCryptor, WannaCrypt o WannaDecryptor- se
ha propagado a una velocidad de alrededor de cinco millones de emails
contaminados por hora según Forcepoint Security Labs, especialista en seguridad
informática. En las pantallas aparecía un mensaje reclamando la suma de 300
dólares en Bitcoins a cambio de una clave para poder desbloquear el ordenador
o, en caso de no hacerlo, desaparecerían los contenidos. Al parecer, según la
información de L’Express, solamente se han pagado 6.000 dólares en todo el
mundo.
Ha sido un fallo en la seguridad de Windows, más
exactamente del Server Message Block (SMB) de Microsoft Windows, –Windows XP,
Windows 8 y Windows Server 2003-, que permitía la ejecución de un código a
distancia, el que han utilizado los estafadores para desarrollar el programa
del virus, que no ha afectado a Windows 10. Según la sociedad Kaspersky, un
grupo de piratas llamado “Shadow Brokers” lo puso en marcha en abril de 2017 y
ha sido la NSA (organismo nacional de seguridad de Estados Unidos, dependiente
del Ministerio de Defensa) quien lo ha descubierto. Microsoft ha corregido
inmediatamente el fallo pero no ha evitado la contaminación en los PC’s no
actualizados.
Hace ya mucho tiempo que el Laboratorio F-Secure
advierte del «crecimiento exponencial de los ransomware y los peligros de las
herramientas de vigilancia gubernamentales. El Crypto-ransomware WannaCry –que
se propagó por todo el mundo el 12 de mayo- parece reunir lo peor de ambas
advertencias», se puede leer en un artículo publicado por un tal Guillaume
(foto de carnet en modo hipster) en el blog de la compañía. «Es un delito, como
lo son todos los ransomware. Perto, en este caso, WannaCry se ha servido de una
vulnerabilidad conocida a través de las herramientas desarrolladas por la NSA,
incluidas en el ataque de The Shadow Brokers de abril pasado”. F-Secure ha
recibido informes de más de 60 países de lo que Mikko Hypponen,
Chief Research Officer o responsable del Laboratorio, llama «el mayor delito de
ransomware de la historia».
«El ransomware se distribuye a través del spam y se
propaga como un gusano informático (IWarm). No habíamos visto nada parecido
desde el Conficker de 2008, que se propagó de forma similar. Sabemos que se
trata de una forma de ‘crimen organizado’, para conseguir dinero, mucho dinero,
como todos los estafadores que llevan años utilizando ransomwares (…) Existe la
amenaza de que este tipo de ataques puedan a dar a algunos estados la idea de
crear ciberarmas parecidas. De momento, el mejor consejo para los usuarios es
que actualicen sus PC’s y, en el caso de los usuarios de XP que ya no puede
actualizarse, lo cierren indefinidamente”.
«Para evitar en el futuro este tipo de ataques es
necesario que los gobiernos dejen de utilizar este tipo de vulnerabilidad en su
propio interés”, dice en el blog Sean Sullivan, consejero finlandés de
seguridad de F-Secure. “La situación podría sido mucho peor si la NSA no
hubiera sabido que se habían divulgado sus herramientas. Y hubiéramos asistido
a una auténtica catástrofe si, en lugar de pedir dinero, los piratas hubieran
tenido intenciones destructoras (…) La buena noticia es que no ha sido el
ataque de un grupo terrorista ni de un estado. WannaCry se creó únicamente para
conseguir dinero. Sin embargo, ha demostrado el dramático impacto que podrían
tener ataques similares, efectuados con otros fines, por ejemplo políticos”.
Los
países ricos son las principales víctimas
La técnica del ransomware (o
programa de rescate) se ha desarrollado en los últimos años porque es
lucrativa. Quienes no poseen un servidor seguro se ven obligados a recuperar
sus datos pagando a los “secuestradores”. El pago, que va desde algunos cientos
de dólares para los particulares hasta muchos miles para las empresas, según el
Kaspersky Lab, se solicita en bitcoins para que no puedan seguirle la pista los
investigadores.
Según las cifras de Kaspersky
Security Network, el número de ataques de este tipo se ha multiplicado por
cinco entre 2014 y 2016, pasando de 131. 111 a 718.536. Un informe de MacAfee
de mayo de 2015 asegura que "estas campañas de petición de rescate buscan
sus víctimas en los países relativamente ricos, porque son más propicias a
pagarlo». El informe dice que el 7% de las víctimas lo pagan.
Los piratas se han organizado en
una suerte de cooperativa para repartirse las ganancias. Esconden sus
servidores de control en la “red Tor”, una red informática superpuesta, mundial
y descentralizada. Se compone de varios servidores llamados ‘nudos’ de la red,
que permite hacer anónimo el origen de las conexiones TCP (Protocolo de Control
de Transmisiones, un protocolo de transporte fiable en modo conectado), se
agrupan en torno a un virus para multiplicar la capacidad de envío de spams, y
se reparten los beneficios. En un foro clandestino, uno de esos piratas asegura
que consigue entre 8.000 y 10.000 dólares mensuales, una vez deducidos los
gastos.
Según el último informe de MacAfee,
el número de ataques se acercó a los cuatro millones en 2016, “año del ransomware”
por excelencia. «Pero, al hacerse cada vez más visibles, con ataques como el
que acabemos de sufrir, los piratas se exponen a que cada vez se puedan
contraatacar mejor sus técnicas, sobre todo porque todas las ciberpolicías les
van pisando los talones”.
No hay comentarios:
Publicar un comentario