Ir a contenido

Esperando el gran ciberataque

La expansión del virus Wannacry recuerda el poder de la guerra digital contra organismos y empresas

Los expertos advierten sobre nuevas amenazas latentes que pueden activarse en cualquier momento

Carmen Jané

Informáticos en Seúl monitorizando los efectos del virus Wannacry, el pasado lunes.

Informáticos en Seúl monitorizando los efectos del virus Wannacry, el pasado lunes. / AP / YUN DONG-JIN

El virus Wannacry, que ha infectado ordenadores en todo el mundo y ha paralizado empresas, organismos y servicios públicos en la última semana, no es más que el anticipo de lo que ha de venir, insisten los expertos en seguridad informática. El balance de la infección a nivel mundial ha sido catastrófico: unos 230.000 equipos afectados en 179 países, de los que 1.300 estaban en España, según datos del Instituto Nacional de Ciberseguridad (Incibe). Son cifras que representan el doble de lo que consiguió el Cryptolocker en cuatro años de vida. Las empresas de antivirus alertan sobre nuevos programas que intentan replicar la gran difusión del Wannacry, pero los expertos en ciberseguridad advierten sobre amenazas aún peores y latentes, que pueden activarse en cualquier momento.

“Wannacry no ha sido un evento aislado. Es uno de más de las secuencias de ataques informáticos que se producen todos los días y que crecen de forma exponencial. Pero habrá otros y serán peores”, vaticina Jaume Abella, director del máster en ciberseguridad de La Salle. “Este ha creado mucha alarma porque combinaba dos técnicas muy dañinas: la capacidad de autorréplica de los gusanos, que no se veía desde hace años, y la encriptación de los `ransomware', que cifran los archivos y se difunden por correo electrónico. Pero técnicas hay muchas, y hay gente muy experta que va por delante de las empresas de seguridad”, señala.

Ya hay cierto consenso en que el origen del virus es un 'exploit' (programas basados en fallos de otros programas) llamado EternalBlue, que formaba parte de un kit de desarrollo de nombre Fuzzbunch, que fue robado a la NSA por el grupo de hackers Equation Group y difundido por otro, Shadow Brokers. Su potencial para espiar ordenadores y redes fue probado por muchos informáticos para conocer sus efectos, uno de estos tests se considera el origen del virus Wannacry.

VULNERABILIDADES ABIERTAS

“Un caso como el del Wannacry puede volver a pasar porque aprovecha vulnerabilidades que no han sido arregladas. Es fácil que alguien tome el 'exploit' y lo convierta en un virus latente que pueda ser utilizado cuando los delincuentes quieran. Hay que instalar las actualizaciones tan pronto se pueda, porque se pueden instalar programas que espíen la actividad de la compañía, y eso es muy peligroso”, apunta Helena Rifà, directora del máster en ciberseguridad de la UOC.

“Con EternalBlue los atacantes han podido entrar en los ordenadores sin hacer mucho ruido y robar información, poner troyanos, controlar nuevos objetivos… Lo más preocupante es que, pese a los parches publicados por Microsoft, habrá PCs con estos agujeros durante años”, advierte Carles Mateu, profesor de redes en la Universitat de Lleida.

Hasta Microsoft, cuyo sistema operativo, Windows, ha sido el objeto del ataque, ha advertido a los gobiernos sobre los riesgos de “almacenar vulnerabilidades”, y ha recordado cómo han acabado filtradas por Wikileaks u otros grupos. “Es un escenario equivalente a que hubiesen robado misiles Tomahawk al Ejército de EEUU”, asegura Brad Smith, el presidente de asuntos legales de Microsoft en un post.

PRÓXIMOS CANDIDATOS

Al menos dos virus se disputan a día de hoy la sucesión de Wannacry, porque utilizan la misma vulnerabilidad para expandirse, aunque mejoran dos de sus fallos: el sistema de cobros, que no era muy fino, según los expertos, e impedía comprobar quién había pagado, y el cifrado, que se basaba en el estándar AES-128. “Parece extraño que su motivación fuera económica porque el sistema de pagos era muy rudimentario”, señala Helena Rifà. “Es como si su autor no supiera mucho, lo que explicaría que lo hayan frenado tan rápido”, afirma.

Adylkuzz también usa, como Wannacry, el sistema de archivos SMB, pero en este caso para crear una red de ordenadores (botnet) que generan dinero virtual (una moneda tipo bitcoin llamada monero) del que luego se apropia. Además es capaz de interceptar el paso de otros troyanos para que no ocupen la máquina.

El otro candidato es Uiwix, que sofistica bastante los fallos de Wannacry, según su descubridores, la empresa de antivirus Trend Micro. El 'malware', al parecer de origen chino, aprovecha el fallo en SMB para encriptar archivos y pedir un rescate en bitcoins, pero no se autorreplica ni se instala como programa, por lo que pasa mucho más desapercibido para los antivirus.

Pero más allá de SMB, entre las próximas amenazas también se habla de Terror Exploit Kit, un conjunto de herramientas que se han puesto a la venta en la Deep Web para explotar otras vulnerabilidades y que parecen estar en constante mejora, según el equipo de ciberseguridad de Cisco, Talos.

El temor a que estuviera programado

España y Reino Unido fueron los primeros países donde se detectó Wannacry, el pasado viernes 12 de mayo. La alarma saltó de forma espectacular en Telefónica, donde tuvieron que enviar empleados a casa y se propagó por otras grandes compañías (Renault, Fedex..) porque se aprovechaba de un fallo en el protocolo de compartición de archivos de WindowsCasi ninguna empresa reconoció el ataque y tan solo hubo justificaciones de “precaución” y “revisión”. En todo caso, se contagiaran o no, el virus logró paralizar la actividad habitual en muchas empresas y organismos en cuanto al correo electrónico y la mensajería, incluido el Ayuntamiento de Barcelona durante el fin de semana y varios CAP, el lunes, porque los informáticos necesitaban revisar redes y sistemas.

Esta alarma global y simultánea resulta poco habitual y ha hecho sospechar a los investigadores de Symantec sobre si podría tratarse de un ataque organizado a partir de troyanos que ya estuvieran en los ordenadores listos para ser activados a distancia el 12 de mayo, fecha que empieza el ataque. Otra hipótesis de sus investigadores es el envío masivo de correos con un adjunto suficientemente atractivo para que mucha gente picara, aunque no se ha informado de ningún mensaje sospechoso. O un 'exploit' que estuviera listo para ser descargado desde una botnet de ordenadores que actuara en remoto. 

O, la que más números tiene ahora mismo: que a alguien se le escapara el virus antes de haber podido afinar el sistema de pago. Porque, según Cisco, los delincuentes que están detrás de Wannacry, pese a la difusión mundial solo habrían logrado unos 45.000 euros. Un botín muy modesto, señalan.  

0 Comentarios
cargando