- Samuel Prieto Rodríguez
WannaCry: cibersecuestro masivo, espionaje y crimen en la vida real
El virus que atacó a miles de computadoras en más de una centena de países se llama WannaCry (Quiero llorar) o WanaCrypt0r 2.0, buen nombre si se trata del secuestro de la información almacenada en una computadora con todo y la exigencia del pago de un rescate. Es el ransomware (ransom = rescate, ware = software) más popular entre los que utilizan los ciberdelincuentes para cometer sus fechorías.
No se sabe con certeza quién es el creador de WannaCry o quién lo esparció en los sistemas de cómputo del planeta, pero el exanalista de la CIA, Edward Snowden, acusa a la NSA (National Security Agency) de Estados Unidos.
La cosa es más o menos así: la NSA investiga y desarrolla herramientas para detectar las vulnerabilidades de los sistemas estadounidenses y así protegerlos de ataques. Una nota de Financial Times coincide con Snowden en que la poderosa agencia de inteligencia militar sufrió el robo de un “arma cibernética” conocida como Eternal Blue el mes anterior.
Básicamente, lo que hace Eternal Blue es permitir que el malware, en este caso la variante utilizada de WannaCry, se propague a través de protocolos de intercambio de archivos creados a través de las redes internas de las organizaciones, muchas de las cuales se entrecruzan en el mundo.
Según otra nota de The Telegraph, la organización que robó presuntamente el arma de la NSA es Shadow Brokers, una pandilla cibernética ligada con Rusia, país que también sufrió ataques en algunas de sus dependencias de gobierno, posiblemente en represalia por los ataques aéreos estadounidenses contra Siria.
Una trama como para thriller político, con espionaje y crimen como los ingredientes principales.
Otra hipótesis es que WannaCry tiene su origen en el rebelde y problemático gobierno de Corea del Norte. Según investigadores de las compañías estadounidenses Google y Symantec, además de la rusa Kaspersky, los códigos utilizados y las pistas que ha ido dejando el virus a su paso hacen suponer eso pero, de nuevo, en este caso tampoco hay pruebas concluyentes.
“Veo que son las mismas formas de proceder que en el ataque de diciembre de 2014, cuando [un virus] atacó los servidores de los estudios de Sony Pictures [en represalia por la película The Interview, una sátira del líder norcoreano, Kim Jong-un]. Entonces no solo consiguieron tomar contenidos, también develaron los salarios de actores y directivos de la industria del cine", le dijo al periódico El País una fuente del sector de seguridad que pidió no ser identificada.
Pero mientras son peras o manzanas, revisemos cómo trabaja WannaCry. Para infectar, lo común es que llegue al dispositivo o red mediante el archivo adjunto de un correo electrónico que puede hacerse pasar por cualquier tipo de documento o enlace web. Ya abierto utiliza un exploit, que es básicamente un programa o código creado para aprovecharse de una vulnerabilidad y encripta toda la información para que el usuario no pueda acceder a ella, no sin antes mostrar una ventana con una serie de instrucciones para el pago del rescate.
La exigencia es en bitcoins. ¿Por qué en esa criptomoneda? Simple: así las operaciones pueden volverse muy difíciles de rastrear sin tanta complicación para el señor delincuente.
El especialista en modelos de negocio digitales, Alex Preukschat, explica que la manera más común de dificultar la localización es el mixing, que es justamente eso: una vez cobrado el rescate, mezcla los fondos con otros mediante sistemas de criptografía en que “se juntan las transacciones en un pool en el que se pierde el rastro”. Es un esquema similar al de mandar el dinero a paraísos fiscales, con la ventaja de que no es necesario enviarlo a ninguna ubicación geográfica. “Como no se sabe bien cómo se mueven los recursos en las cuentas, quedan difuminados”.
Por cierto, eso no convierte al bitcoin en una cosa del demonio o algo siquiera parecido. El lavado de dinero existe desde tiempos ancestrales con el dólar, el euro y otras monedas físicas. Otro por cierto es que, como en cualquier tipo de secuestro, el pago del rescate no es una garantía real de nada.
De regreso al ataque de WannaCry, la vulnerabilidad que utilizó este ataque es una de Windows para la que Microsoft ya había lanzado el parche de seguridad en marzo, así que las computadoras infectadas pudieron serlo porque no tenían instalada esa actualización.
Interesante aún más, considerando que Telefónica en España, FedEx en Estados Unidos o al menos 16 hospitales y centros de salud públicos en el Reino Unido están entre las víctimas. Instituciones que, por su tamaño y funciones estratégicas, se supone que tengan un área de sistemas robusta con ingenieros que se encarguen de mantener sus redes bien actualizadas, protegidas y funcionales. Lo mismo pasó en otros países como China, Italia, Taiwán, Vietnam y Ucrania.
Este no es el primer ciberataque masivo reciente. En octubre pasado hubo otro que afectó a Amazon, Netflix, Spotify, Reddit y Twitter entre otros gigantes tecnológicos, además de servicios como el de Visa y el de The New York Times. En esa ocasión fue un DDoS (denegación de servicio distribuido, por sus siglas en inglés) contra los servidores de la empresa Dyn, que aloja a esos sitios.
Ese tipo de ataque consiste en inundar con tanto tráfico un objetivo que se bloquee. Quienes lo hicieron, lo lograron mediante la infección de millones de dispositivos como webcams, smartphones, Smart TVs y muchos otros que utilizan tecnología del internet de las cosas, que lanzaron una especie de ataque coordinado.
¿Cómo protegerse de algo como eso? La verdad es que no hay mucho por hacer pero cómprese un buen antivirus, pues. No abra correos y archivos sospechosos, no visite sitios web inseguros, no use software pirata, mantenga actualizada su computadora... en fin, pórtese bien que nada le cuesta.