Actualidad

Un ciberataque masivo con 'ransonware' afecta a 150 países

Europol reconoce que el ciberataque es de un "nivel sin precedentes"

Fotografía de Carl Court/Getty Images

Como si fuera un sarpullido que va a extendiéndose imparable por el cuerpo. La urgencia informativa durante la tarde de ayer podría describirse de esa manera. Una urgencia marcada por un goteo de noticias que hablaban de entidades afectadas por ciberataques en diversas partes del mundo. Hospitales del Sistema Nacional de Salud británico, el Ministerio de Interior ruso, empresas como Renault, Telefónica o FedEx...

En cuestión de pocas horas, el mapa del mundo se llenó de puntos rojos que señalaban más y más afectados, y todos estaban conectados. Todos los ataques respondían a un mismo patrón: ordenadores infectados por WannaCry, un 'ransonware'que secuestra el sistema y solicita el pago de un rescate (300 dólares) si quieres recuperar el control sobre tus programas y archivos.

La escala del ataque es inusualmente masiva: cientos de miles de ordenadores de usuarios particulares y entidades infectados en casi 100 países

¿Quién está detrás del ciberataque? Aún no se sabe, aunque las sospechas apuntan a hackers rusos. Lo que sí se sabe es que se perpetró gracias a una herramienta presuntamente creada por la Agencia de Seguridad Nacional (NSA) estadounidense que explota una vulnerabilidad de Windows conocida como 'EternalBlue'.

La herramienta fue filtrada el mes pasado por un grupo de hackers junto a otros varios instrumentos creados, supuestamente, por la NSA para ser utilizados en labores de espionaje al más alto nivel. Los expertos en seguridad ya avisaron entonces: aquel material podía causar mucho daño.

“Esta filtración pone una poderosa herramienta de ataque de nivel estatal al alcance de cualquiera que quiera bajársela y comenzar a asediar servidores” advertía Matthew Hickey, fundador de Hacker House.

Dicho y hecho.

El ataque se ha perpetrado gracias a una herramienta presuntamente creada por la Agencia de Seguridad Nacional (NSA) estadounidense que explota una vulnerabilidad de Windows conocida como 'EternalBlue'

La escala del ataque de ayer es inusualmente masiva: más de 200.000 ordenadores de usuarios particulares y organizaciones infectados en 150 países.

Entre las entidades afectadas se cuentan hasta 16 hospitales del Servicio Nacional de Salud (NHS) británico. Algunos de esos hospitales tuvieron que paralizar su actividad casi por completo y desviar a sus pacientes a otros centros.

El héroe accidental y el interruptor de emergencia

En la tarde de ayer, la preocupación entre los expertos era máxima. “El problema va a seguir extendiéndose a lo largo y a lo ancho de los sistemas internos de muchas organizaciones”, avisaba Kevin Beaumont. “Esto se está convirtiendo en el mayor incidente de ciberseguridad que yo haya visto nunca”, matizaba.

“La herramienta cuenta con un módulo 'cazador' que busca PCs en tus redes”, explicaba Beaumont a CNN. “Por ejemplo, si tu laptop está infectado y te conectas a la red pública de un café, la infección se extenderá a todos los PCs conectados a la red del café que no hayan sido actualizados con el patch de seguridad correspondiente. Esos ordenadores luego llevarán la infección a otras compañías”.

Sin embargo, a las horas de reconocerse la magnitud del ataque, alguien encontró, un poco por causalidad, un 'kill switch'. Una manera de matar la propagación del malware. Y sorprende, por sencilla y por barata.

Detrás del hallazgo están dos expertos en seguridad informática del Reino Unido. Uno responde al nombre de MalwareTech en Twitter. El otro es Darien Huss de la firma Proofpoin.

Analizando el funcionamiento del malware, encontraron que lanzaba una petición a un dominio de nombre largo que consistía en una gran cantidad de letras y números sin aparente sentido cuyo final siempre era gwea.com. Pensaron que aquello podía ser una pista de algo. Hicieron una búsqueda y dicho dominio no estaba registrado. Así que la persona detrás de MalwareTech decidió registrarlo a su nombre.

La compra de esa dirección web le costó 10,69 dólares. Lo adquirió en NameCheap.com e hizo que apuntase a un servidor 'sinkhole' que tenía bajo su control, con el objeto de poder obtener información de los atacantes. Inmediatamente, el dominio comenzó a registrar miles de conexiones por segundo. Habían dado en el clavo.

El dominio funciona como mecanismo de seguridad. Si al lanzar su petición no recibe respuesta, el malware sigue su propagación. Pero si recibe respuesta, es decir, si el dominio aparece activo, el “kill switch” se activa, deteniendo el avance del malware

Según han explicado a Daily Beast, es muy probable que el autor del código malicioso fuese consciente de ese "fallo" y lo mantuviera como un interruptor de emergencia para desactivarlo.

El dominio funcionaría como mecanismo de seguridad. Si al lanzar su petición no recibe respuesta, el malware se ejecuta y sigue su propagación. Pero si recibe respuesta, es decir, si el dominio aparece activo, el “kill switch” se activa, deteniendo el mecanismo que permite el avance del malware.

“Para ellos el premio a héroes accidentales del día”, dice Ryan Kalember de Proofpoint. “No eran conscientes de que haciendo lo que hacían iban a contribuir muchísimo a la ralentización de la propagación”.

Aún así, el problema no está, ni mucho menos, resuelto. El hallazgo no va a ayudar a los cientos de miles de ordenadores ya infectados y es posible que existan otras variantes del malware con diferentes 'kill switches' que van a seguir propagándose.

Una amenaza creciente

Los ataques con ransonware van en aumento. Según la compañía de seguridad SonicWall, en 2016 se registraron un 167% más de esos ataques que en 2015. Si ponemos el foco en el último lustro, el porcentaje se eleva hasta el 500%.

Y, quizás más preocupante, con el aumento de los ataques, aumenta también el daño potencial que pueden llegar a causar. Un daño que va mucho más allá de los sistemas informáticos que infecta.

“El ataque contra el NHS demuestra que los ciberataques pueden llegar a tener consecuencias, literalmente, de vida o muerte”, señala Mike Viscuso, jefe de tecnología de Carbon Black, en declaraciones a The Guardian.

“El peor escenario que podemos imaginar es que algún actor malicioso pueda llevar a cabo un acto de terrorismo y a la vez dificultar la respuesta local a ese ataque, por ejemplo, interrumpiendo las comunicaciones con el 911 y otros servicios de emergencia”, explicaba Trey Forgety, de la National Emergency Number Association estadounidense, al mismo diario.

¿Debemos permitir a las agencias de inteligencia que sigan aprovechándose de las vulnerabilidades tecnológicas con el argumento de combatir a terroristas o deben informar de esas vulnerabilidades a los fabricantes para que puedan solventarlas?

El ataque de ayer también eleva preguntas que tienen que ver con la legitimidad de las prácticas de los servicios de inteligencia de las principales potencias del mundo.

Como señala la Unión Estadounidense por las Libertades Civiles, “estos ataques subrayan el hecho de que las vulnerabilidades no solo van a ser explotadas por las agencias de seguridad, sino también por hackers y criminales de todo el mundo”.

El debate lo resume bien Jay Kaplan, CEO de Synack y ex funcionario de la NSA, cuando se pregunta: en medio de esta situación de lucha constante, ¿permites a las agencias de inteligencia que sigan aprovechándose de las vulnerabilidades tecnológicas con el argumento de combatir a terroristas o informas de esas vulnerabilidades a los fabricantes para que puedan solventarlas?

¿Te ha gustado este contenido?...

Hoy en PlayGround Vídeo:

Ver todos los vídeos

Hoy en PlayGround Video



 

cerrar
cerrar