Mitos y verdades sobre el ciberataque global #wannacry

por | 15 Mayo, 2017

Comenzando la jornada del pasado viernes 12 de Mayo de 2017, la empresa Telefónica (España) suspendió sus operaciones debido a un ataque informático por infección viral tipo “ransomware”. Poco después nos enteramos de que no había sido la única institución afectada, sino que sólo una de muchas víctimas, que comenzaron a infectarse inicialmente en Europa, Rusia y Taiwán, pero que aumentaron rápidamente con cada hora, alcanzando los cientos de miles de infecciones en prácticamente todo el mundo.

Diversas obras de ficción, tales como la fascinante y aclamada serie de 2015, “Mr. Robot”, que trata sobre ciberseguridad, hacktivismo y locura, “Yo, Robot”, de Isaac Asimov, o la tradicional saga “Terminator”, con SkyNet, han especulado largamente sobre ciberataques de alcance global. Usualmente desconocidas por el público general y debajo del radar de los medios generales, las redes de computadores zombie (“botnets”) son enemigos habituales en los entornos profesionales de seguridad informática desde hace más de una década. Casos como éste traen a la memoria antiguas infecciones mundiales de antología, como lo fueron en su momento los virus Blaster y Sasser, prodigando pantallas azules por doquier.

¿Qué es un ransomware?

Un ransomware es un software malicioso que infecta un computador encriptando su información, de tal modo que la víctima no puede acceder a ella y sólo puede recuperarla con ayuda del atacante, quien tiene la “llave” para desencriptarla. El delincuente informático extorsiona entonces a la víctima, solicitando un rescate a cambio de la desencriptación. Las víctimas pueden ser tanto personas naturales en sus computadores personales como grandes instituciones, con toda su dotación de terminales y servidores. La distribución de este tipo de malware puede realizarse de modo viral, utilizando los computadores infectados para infectar a otros más, o por otros medios de distribución tales como e-mails con adjuntos o enlaces, pendrives o sitios web infectados. En este caso, se distribuyó inicialmente vía e-mail, pero una vez realizadas las primeras infecciones, la propagación continuó mediante infección viral remota, sin que fuera necesaria mayor intervención por parte de los usuarios ni para infectarse ni para propagarse, aprovechándose de una vulnerabilidad que permite invocar programas arbitrarios, es decir, a gusto del atacante, en las máquinas vulnerables.

Cabe mencionar que, como suele ocurrir al lidiar con delincuentes, no hay garantía de que el atacante entregue la clave para recuperar los archivos una vez realizado el pago, siendo perfectamente posible que, simplemente, se arranque con el dinero.

¿Qué ocurrió? (y sigue ocurriendo)

El director de la Agencia de Policía de la Unión Europea (Europol), Rob Wainwright, dijo el domingo que el virus, una variante del llamado “wannacry” (“quieresllorar”), ha infectado hasta el momento a más de 200 mil computadores en al menos 150 países, paralizando un enorme número de empresas e instituciones tales como tiendas, fábricas, universidades, compañías ferroviarias, bancos, compañías de telecomunicaciones, logística y servicios básicos, automotoras, policías y hospitales, esperándose que este número crezca con el reinicio de las actividades laborales este lunes cuando todo el mundo encienda sus computadores, motivo por el cual un enorme número de técnicos informáticos se encuentran trabajando sin parar. Los afectados serían principalmente dispositivos sin las actualizaciones adecuadas de software y seguridad, lo que se exacerba en unidades con sistemas operativos obsoletos, pero que afecta también a instalaciones modernas que no hayan aplicado el correspondiente parche de seguridad disponible desde hace un par de meses.

En Marzo de este año, un grupo de hackers, conocidos como Shadow Brokers, subieron a la web un código bautizado como “Eternal Blue”, que permite explotar una vulnerabilidad en Windows. Afirmaron que lo habían robado de entre un grupo de herramientas de hackeo a la Agencia de Seguridad Nacional (NSA) de Estados Unidos. El virus wannacry aprovechó esta vulnerabilidad para provocar la actual pandemia informática, pese a que Microsoft publicó hace más de un mes el parche para corregirla. Muchísimos terminales no lo han instalado, como suele ocurrir con las actualizaciones en general.

Para desencriptar los computadores, los atacantes están exigiendo un pago del equivalente a US$300 en moneda BitCoin. Según la agencia Reuters, ya habían recibido US$32.500 hacía las 11:00 del domingo (GMT), número que podría aumentar pese a que las autoridades han recomendado fuertemente no ceder a la extorsión, ya que esto podría incentivar nuevos ataques en el futuro.

Respecto de este ataque, la recomendación de los expertos es parchar de inmediato los computadores con Windows no parchados, aunque temen que a partir de este virus puedan surgir copias mejoradas y futuros nuevos ataques todavía más peligrosos.

Cibermitos

El alto impacto de una infección como ésta, masiva y la alarmante, sumado al desconocimiento general de la población y a su atendible temor, hacen difícil discriminar la realidad de la ficción, dándose un ambiente ideal para la proliferación de noticias y alertas falsas.

Al igual que con otros asuntos de impacto mediático que resultan inicialmente confusos, es recomendable tener mucho cuidado con la desinformación. Esto no se trata de un robo de cuentas bancarias o de otro tipo de información personal, como ya han comenzado a sugerir algunas cadenas de Whatsapp y otras redes sociales, que alertan respecto de no usar cajeros automáticos o de no conectarse vía Internet a las cuentas bancarias; afirmaciones que no tienen ningún sustento para el ataque en cuestión.

Un sistema debidamente actualizado no puede ser infectado por la variante original del virus. En cambio, un sistema desactualizado sí debería precaverse de conectarse a una red, ya sea cableada o Wi-Fi, en la que pueda haber otros sistemas infectados. Variantes nuevas al WannaCrypt.A o WannaCrypt.B bien podrían incluir nuevos vectores de infección, por lo que siempre es recomendable cuidar la securitización de nuestros dispositivos (ver acápite final).

Como suele ocurrir con eventos mediáticos de alto impacto en la población, a poco andar aparecerán sitios ofreciendo programas para quitarse el virus de encima o prevenir su infección; aprovechando la oportunidad, justamente, para ofrecer al usuario la instalación de un programa que efectivamente le hará algún daño. La víctima que se encuentre con sus archivos encriptados, poco podrá hacer para desencriptarlos más allá de la buena voluntad del atacante para hacerle llegar la clave tras haber pagado. Un programa que se ofrezca para recuperar los archivos será, casi con total seguridad, un fraude. Por otra parte, Microsoft, el proveedor oficial, sí ha publicado un parche para solucionar la vulnerabilidad. Al buscarlo, los usuarios deben cerciorarse de descargar el original desde el proveedor oficial, pues también es posible que aparezcan versiones fraudulentas.

Recomendaciones generales de seguridad contra ciberataques

  1. Mantener el sistema operativo y las aplicaciones actualizadas.
  2. Conservar un respaldo regularmente actualizado de los archivos relevantes.
  3. Instalar software desde fuentes confiables.
  4. Desactivar o desinstalar aplicaciones y servicios no utilizados.
  5. Configurar un firewall y bloquear los puertos de red correspondientes en caso de no usarlos.
  6. Utilizar regularmente el computador mediante una cuenta de usuario con restricción de privilegios, relegando la cuenta de administración exclusivamente a labores de mantención, instalación o configuración.
  7. Instalar alguna suite antivirus y mantenerlo actualizado.
  8. Precaverse respecto de e-mails desde direcciones sospechosas, de seguir enlaces sospechosos o de abrir adjuntos no solicitados.
  9. Los smartphones y tablets requieren los mismos cuidados.

Referencias

Autores

  • Roberto Brücher U.,
  • Luis León Cárdenas Graide,
    Ingeniero Civil en Computación, Universidad de Chile,
    Diplomado en Seguridad Computacional.
  • Alexei Morales

    Me parece inexacto el articulo, se utiliza varias veces la palabra encriptación, cuando debería ser la palabra cifrado y se habla que si el sistema está actualizado el equipo no podría ser afectado, pero uno podría tener un equipo actualizado y con el backdoor doublepulsar desde antes y sería afectado de todas formas.