Accidentalmente, un investigador británico de 22 años, que de momento quiere permanecer en el anonimato, ha sido quien ha conseguido frenar la propagación del virus Wannacry, responsable el 12 de mayo de 2017 de un ciberataque a escala mundial sin precedentes que ha afectado durante 48 horas a un centenar de países y alterado el funcionamiento de empresas y organizaciones.
Su éxito se debe a que compró el nombre de un dominio, según publica el diario francés L’Express con información de Kacper Pempel, de la Agencia Reuters: «twiteando a partir de @Malwaretechblog, el joven investigador en ciberseguridad ha explicado que descubrió como parar el virus, comprando por unos cuantos dólares el nombre de un dominio utilizado por el código informático del virus”.
Después ha explicado a la Agencia France Press: «Generalmente un programa maligno se lanza desde un dominio que no está registrado. Simplemente basta registrar el nombre de ese dominio para conseguir frenar la propagación».
En Twitter ha explicado que, en el momento de registrar el dominio, no sabía que bastaría para frenar el virus y que, en ese sentido, su actuación ha sido «accidental». Sin embargo, el National Cyber Security Centre (CCSC), centro británico de ciberseguidad, le ha llamado públicamente «héroe del día».
Los ultimos días hemos hablado mucho de Wannacryptor, el virus –ransomware– que ha desencadenado el ataque cibernético mundial que ha afectado a unas 200 000 personas, empresas y organizaciones, entre las que se encuentran Teléfonica en España, Renault en Francia, la empresa de mensajería internacional FedEx en Estados Unidos, el Ministerio ruso de Interior, la compañía ferroviaria alemana, el Servicio Nacional de Salud británico y varias universidades chinas.
Un ransomware (también conocido como rogueware o scareware) es un programa informático maligno que restringe el acceso al sistema y exige el pago de un rescate para eliminar la restricción. El ransomware lo crean estafadores con gran conocimiento en programación informática. Puede entrar en los PC mediante un archivo adjunto de correo electrónico, o a través del navegador cuando se visita una página web infectada con este tipo de malware. También puede acceder al PC a través de la red.
Este tipo de programas malignos secuestra los datos personales del usuario y luego le pide dinero a cambio de la clave para desbloquearlo. Los modelos modernos de ransomware aparecieron inicialmente en Rusia, pero en los últimos años han proliferado ataques de este tipo procedentes de otros países, como Australia, Alemania y Estados Unidos. En noviembre de 2012, el editor de programas de seguridad McAfee tenía registradas 120 000 nuevas muestras de este tipo de virus.
El virus que nos ha invadido ahora -un programa maligno denominado WCry, WannaCry, WannaCryptor, WannaCrypt o WannaDecryptor– se ha propagado a una velocidad de alrededor de cinco millones de emails contaminados por hora según Forcepoint Security Labs, especialista en seguridad informática. En las pantallas aparecía un mensaje reclamando la suma de 300 dólares en Bitcoins a cambio de una clave para poder desbloquear el ordenador o, en caso de no hacerlo, desaparecerían los contenidos. Al parecer, según la información de L’Express, solamente se han pagado 6000 dólares en todo el mundo.
Ha sido un fallo en la seguridad de Windows, más exactamente del Server Message Block (SMB) de Microsoft Windows, –Windows XP, Windows 8 y Windows Server 2003-, que permitía la ejecución de un código a distancia, el que han utilizado los estafadores para desarrollar el programa del virus, que no ha afectado a Windows 10. Según la sociedad Kaspersky, un grupo de piratas llamado “Shadow Brokers” lo puso en marcha en abril de 2017 y ha sido la NSA (organismo nacional de seguridad de Estados Unidos, dependiente del Ministerio de Defensa) quien lo ha descubierto. Microsoft ha corregido inmediatamente el fallo pero no ha evitado la contaminación en los PC no actualizados.
Hace ya mucho tiempo que el Laboratorio F-Secure advierte del «crecimiento exponencial de los ransomware y los peligros de las herramientas de vigilancia gubernamentales. El Crypto-ransomware WannaCry –que se propagó por todo el mundo el 12 de mayo- parece reunir lo peor de ambas advertencias», se puede leer en un artículo publicado por un tal Guillaume (foto de carné en modo hipster) en el blog de la compañía. «Es un delito, como lo son todos los ransomware. Pero, en este caso, WannaCry se ha servido de una vulnerabilidad conocida a través de las herramientas desarrolladas por la NSA, incluidas en el ataque de The Shadow Brokers de abril pasado”. F-Secure ha recibido informes de más de 60 países de lo que Mikko Hypponen, Chief Research Officer o responsable del Laboratorio, llama «el mayor delito de ransomware de la historia».
«El ransomware se distribuye a través del spam y se propaga como un gusano informático (IWarm). No habíamos visto nada parecido desde el Conficker de 2008, que se propagó de forma similar. Sabemos que se trata de una forma de ‘crimen organizado’, para conseguir dinero, mucho dinero, como todos los estafadores que llevan años utilizando ransomwares (…) Existe la amenaza de que este tipo de ataques puedan a dar a algunos estados la idea de crear ciberarmas parecidas. De momento, el mejor consejo para los usuarios es que actualicen sus PC y, en el caso de los usuarios de XP que ya no no puede actualizarse, lo cierren indefinidamente”.
«Para evitar en el futuro este tipo de ataques es necesario que los gobiernos dejen de utilizar este tipo de vulnerabilidad en su propio interés”, dice en su blog Sean Sullivan, consejero finlandés de seguridad de F-Secure. “La situación podría sido mucho peor si la NSA no hubiera sabido que se habían divulgado sus herramientas. Y hubiéramos asistido a una auténtica catástrofe si, en lugar de pedir dinero, los piratas hubieran tenido intenciones destructoras (…) La buena noticia es que no ha sido el ataque de un grupo terrorista ni de un estado. WannaCry se creó únicamente para conseguir dinero. Sin embargo, ha demostrado el dramático impacto que podrían tener ataques similares, efectuados con otros fines, por ejemplo políticos”.
Los países ricos principales víctimas
La técnica del ransomware (o programa de rescate) se ha desarrollado en los últimos años porque es lucrativa. Quienes no poseen un servidor seguro se ven obligados a recuperar sus datos pagando a los “secuestradores”. El pago, que va desde algunos cientos de dólares para los particulares hasta muchos miles para las empresas, según el Kaspersky Lab, se solicita en bitcoins para que no puedan seguirle la pista los investigadores.
Según las cifras de Kaspersky Security Network, el número de ataques de este tipo se ha multiplicado por cinco entre 2014 y 2016, pasando de 131 111 a 718 536. Un informe de MacAfee de mayo de 2015 asegura que «estas campañas de petición de rescate buscan sus víctimas en los países relativamente ricos, porque son más propicias a pagarlo». El informe dice que el 7 % de las víctimas lo pagan.
Los piratas se han organizado en una suerte de cooperativa para repartirse las ganancias. Esconden sus servidores de control en la “red Tor”, una red informática superpuesta, mundial y descentralizada. Se compone de varios servidores llamados ‘nudos’ de la red, que pemite hacer anónimo el origen de las conexiones TCP (Protocolo de Control de Transmisiones, un protocolo de transporte fiable en modo conectado), se agrupan en torno a un virus para multiplicar la capacidad de envío de spams, y se reparten los beneficios. En un foro clandestino, uno de esos piratas asegura que consigue entre 8000 y 10 000 dólares mensuales, una vez deducidos los gastos.
Según el último informe de MacAfee, el número de ataques se acercó a los cuatro millones en 2016, “año del ransomware” por excelencia. «Pero, al hacerse cada vez más visibles, con ataques como el que acabemos de sufrir, los piratas se exponen a que cada vez se puedan contraatacar mejor sus técnicas, sobre todo porque todas las ciberpolicías les van pisando los talones”.