Cómo un ransomware puede desencadenar 'la tercera guerra mundial'

Fue el pasado 12 de mayo cuando se produjo uno de los ciberataques a nivel global más importantes que se recuerda. WannaCry, un tipo de ransomware que aprovecha una vulnerabilidad de Windows, comenzó a “secuestrar” ordenadores, siendo España uno de los primeros objetivos del mismo.

La voz de alarma saltó con Telefónica. La operadora española confirmó que estaba siendo víctima de un ciberataque asegurando que WannaCry había logrado penetrar en su red interna. Los hackers solicitaron el pago de un rescate en bitcoin, la popular moneda virtual, de unos 275 euros por ordenador y dieron un plazo de una semana para pagar. En caso de que ésta se negase amenazaron con borrar los archivos a los que habían tenido acceso. Aunque Telefónica no comunicó el número de ordenadores a los que los hackers habían tenido acceso, sí que aseguro que eran “cientos”.

Pero Telefónica no fue la única gran empresa víctima de WannaCry en nuestro país. Gas Natural ordenó a los empleados que apagasen sus PC después de que apareciesen mensajes similares en la pantalla de los PC de algunos empleados exigiendo un rescate en bitcoin, la misma medida que puso en marcha Iberdrola.

Más sobre Ciberseguridad... Ataques con exploits: de las amenazas diarias a las campañas dirigidas Informe Symantec sobre la seguridad de Internet (ISTR 2017) Informe sobre la responsabilidad de las entidades financieras ante el fraude electrónico Informe global sobre Seguridad de la Información 2016-2017 de EY La paradoja tras la experiencia del usuario con el cripto-ransomware

En un primer momento, también se aseguró que otras empresas como BBVA, Vodafone o Capgemini habían sido víctimas del ataque, aunque las tres entidades negaron el hecho. Según INCIBE, el ataque afectó a 1.200 compañías y España ocupó el puesto 16 del ranking de naciones más atacadas.

Expansión internacional

España fue uno de los primeros países en ser atacado, pero no el único. Una de las víctimas más preocupantes fue el sistema de salud del Reino Unido. Este hecho puso de manifiesto la importancia que está adquiriendo la ciberseguridad, haciendo que llegase a la escena política. No en vano, el Partido Laborista acusó al Gobierno de Theresa May de dejar al Servicio de Salud vulnerable. “Para ser honesto, la respuesta del Gobierno ha sido caótica”, ha asegurado el portavoz de saludo del Partido Laborista, Jon Ashworth. “No han hecho caso de las advertencias de los expertos. Ahora entendemos lo que han hecho en las últimas semanas. Lo cierto es que si vas a recortar los presupuestos de infraestructura y no vas a permitir que el NHS invierta en mejorar su TI, vas a dejar a los hospitales abiertos a este tipo de ataques”.

Francia fue otro de los países que sufrió la virulencia de WannaCry, con Renault como máximo exponente. Giullaume Poupard, director de la agencia de seguridad cibernética de Francia, advirtió que los ataques continuarán “de manera regular” los próximos días o semanas.

En el caso de Rusia, éste fue el país más atacado por el gusano, afectando a miles de empresas entre las que se encontraban entidades bancarias como Sberbank, el mayor banco ruso.

Y tras Europa o Estados Unidos (otro de los grandes objetivos de WannaCry), llegó el turno de Asia. El ransomware logró atacar a la policía china y a autoescuelas, y, aunque el gigante asiático fue como “particularmente vulnerable” tanto fuentes oficiales como compañías de seguridad aseguraron que la intensidad del ciberataque comenzó a disminuir a medida que pasaba el fin de semana. No obstante, la compañía Qihoo señaló que WannaCry había atacado a cerca de 30.000 organizaciones hasta el sábado por la noche, con PetroChina como uno de los grandes nombres afectados. Más de 4.000 eran instituciones de educación.

En el caso de Japón, el ransomware atacó a cerca de 600 empresas, entre las que se encontraban Hitachi o Nissan, mientras que en Indonesia la víctima fue un hospital de lucha contra el cáncer.

En menos de una semana, WannaCry había atacado a más de 300.000 ordenadores de 180 países.

En una primera estimación, West Coast cree que el coste de este ciberataque podría alcanzar los 4.000 millones de dólares a nivel global. Por su parte, la Unidad de Consecuencias Cibernéticas de Estados Unidos (un instituto sin ánimo de lucro que avisa a gobiernos y negocios sobre los costes de los ciberataques) ha hecho una previsión más modesta al cifrar, el coste del ciberataque, en unos 1.000 millones de dólares.

Quizá te interese... El entorno de la pyme en 2017 Cómo ser flexible y apto para la transformación digital Cómo lograr el éxito en la gestión del rendimiento empresarial y la Inteligencia de negocio Impacto económico del desarrollo de aplicaciones de negocio con ServiceNow Rendimiento digital: la importancia para el retailer Informe e-Pyme 2016

¿Quién es el culpable?

¿De dónde provino? Tanto la Inteligencia de Estados Unidos como Kaspersky Lab o Symantec señalaron a Corea del Norte como el responsable del ciberataque de WannaCry, basándose en una versión anterior del ransomware, que apareció en programas utilizados por Lazarus, un grupo de hackers que varias compañías aseguran que forma parte de las operaciones de ciberataques dirigidas por Corea del Norte.

No obstante, si se ha señalado a alguien ha sido a la Agencia de Seguridad Nacional de Estados Unidos (NSA). En este sentido, y durante el mismo fin de semana en el que el gusano estaba atacando con toda su virulencia, Brad Smith, asesor legal de Microsoft, destacó que “hemos visto aparecer en WikiLeaks vulnerabilidades almacenadas por la CIA, y ahora esta vulnerabilidad robada a la NSA ha afectado a clientes en todo el mundo”. Como resultado “los hospitales, las empresas, los gobiernos y los ordenadores domésticos se han visto afectados” por el ciberataque.

“Este ataque es otro ejemplo de cómo almacenar vulnerabilidades por parte de los gobiernos es un gran problema” y comparó el mismo con “el robo de armas convencionales Tomahawk al ejército de Estados Unidos”. Smith consideró que es imperativo que se cambien los métodos y que los ciberataques se adhieran a las mismas normas que rigen el mundo físico.

“Los gobiernos de todo el mundo deben tratar este ataque como una llamada de atención. Necesitan adoptar un enfoque diferente, necesitamos que consideren los daños que provocan a los civiles la acumulación de estas vulnerabilidades y el uso de estos exploits”. Ésta es una de las razones por las que Microsoft solicitó “una nueva Convención Digital de Ginebra” en la que “informar de las vulnerabilidades a los proveedores, en lugar de almacenarlas, venderlas o aprovecharlas” sea un requerimiento gubernamental.

Por su parte, los medios de comunicación estatales de China criticaron la actuación de Estados Unidos en le ciberataque, asegurando que éste había obstaculizado la puesta en marcha de una serie de políticas para paliar las ciberamenazas a raíz del ataque e hicieron un llamamiento a su país para que sustituya “de manera urgente” la tecnología extranjera por la desarrollada por compañías chinas.

Nuevas variantes

Días y semanas más tarde se empezaron a descubrir nuevas amenazas como Adylkuzz, un malware que en vez de bloquear los equipos y pedir un rescate, se queda latente en miles de ordenadores, crea una red de robots informáticos o bots infectados para usarse en remoto a las órdenes de los ciberdelincuentes. Una vez que se ha instalado en el sistema operativo de un ordenador, Adylkuzz descarga una serie de instrucciones para generar criptomonedas de forma legal sin que sus dueños lo sepan, y luego robarlas.

Además, el Departamento de Seguridad Nacional de Estados Unidos advirtió, un par de semanas más tarde de que WannaCry amenazase la seguridad mundial, que había detectado otra amenaza similar. Ésta afecta a Samba, sistema desarrollado para su uso en Linux y Unix y que amenaza a más de 100.000 ordenadores que utilizan versiones del software. El organismo hizo un llamamiento a usuarios y administradores para que actualicen sus sistemas y apliquen el parche antes de que la nueva vulnerabilidad vuelva a sembrar el caos global.

Qué hacer para protegerse

Y tras el ataque, llegaron las recomendaciones. En el caso de Gartner, la consultora aconseja a las empresas poner en marcha tres tipos de acciones. La primera es dejar de culpar a los responsables y centrarse en las causas fundamentales. En este sentido, Microsoft Windows XP, un sistema operativo que ha sido golpeado duramente por WannaCry, puede ser integrado en sistemas clave como parte de los paquetes de control. En los sistemas embebidos, como terminales de punto de venta, equipos de imágenes médicas, sistemas de telecomunicaciones e incluso de producción industrial, hay que asegurarse de que el proveedor puede proporcionar una ruta de actualización. Y es imprescindible hacer esto, incluso si se usan otros sistemas operativos embebidos, como Linux u otras variantes de Unix, ya que es seguro asumir que todo el software complejo es vulnerable al malware.

En segundo lugar, hay que aislar los sistemas vulnerables. Habrá algunos que, aunque todavía no están afectados por el malware, siguen siéndolo. Es importante darse cuenta de que éstos son a menudo de los que más se depende. Una solución temporal útil es limitar la conectividad de red; es decir, identificar los servicios que puede desactivar, especialmente los vulnerables, como el intercambio de archivos de red.

Finamente, hay que mantenerse a la expectativa, asegurándose de que las herramientas de detección de malware están actualizadas, totalmente operativas y examinando el tráfico. Por otro lado, es aconsejable confirmar que los sistemas de análisis de comportamiento de los usuarios y de la entidad, análisis de tráfico de red e información de seguridad y administración de eventos no están teniendo un comportamiento inusual, y que los manejadores de incidentes responden. Asimismo, aconseja mantener al personal técnico enfocado en resolver asuntos claves y permitir que alguien responda preguntas externas.