Cinco años de WannaCry, el ‘ransomware’ que puso en jaque a la ciberseguridad mundial

Con pérdidas de más de 4.000 millones de dólares a nivel mundial, el malware que pedía un rescate en bitcoins para desencriptar los archivos secuestrados, se transformó en el ciberataque más importante de la historia.

La madrugada del 12 de mayo de 2017 una epidemia silenciosa se expandía alrededor del mundo, prometiendo ser el punto de inflexión en ciberseguridad en un período en que las empresas y organizaciones de todo el mundo estaban en pleno proceso de subirse al carro tecnológico. Se trataba del ransomware WannaCry, que afectó a más 230.000 ordenadores en más de 150 países, transformándose en el mayor ciberataque de la historia.

En España, la alerta fue desatada por Telefónica. “URGENTE: APAGA TU ORDENADOR”, leía el título del mensaje que la compañía de telecomunicaciones envió por correo electrónico a sus trabajadores -y replicó por megafonía en sus oficinas-, tras detectar el ataque. A las pocas horas, ya se sabía que el incidente no sólo había afectado a Telefónica, sino que ésta era sólo una de las miles de empresas y ordenadores que habían sido infectadas por el mismo ransomware.

Noticias similares de Rusia, Taiwán, India, Turquía, Alemania, Japón, Estados Unidos, Italia o el Reino Unido no cesaban de llegar al tiempo de que se intentaba frenar la propagación del malware. Uno de los casos más emblemáticos se dio justamente en este último país, donde WannaCry infectó a la red de salud nacional (NHS), afectando el funcionamiento de varios hospitales, clínicas, consultorios y farmacias.

Rusia fue uno de los países más afectados por la propagación del ransomware, donde el Ministerio de Interior y otros sectores (bancos, telefonía, ferrocarriles) sufrieron ataques. Algunas universidades y gasolineras chinas, empresas japonesas, cines coreanos, la policía india, hospitales indonesios, pymes australianas y muchos otros tipos de organizaciones, públicas y privadas, fueron también víctimas de WannaCry.

«(WannaCry) significó un test en vivo de nuestras capacidades, las de la industria de la ciberseguridad y la de los propios equipos de ciberseguridad de las empresas y organismos. Nos permitió comprobar cómo estábamos y nos avisó y alertó sobre servicios y capacidades a reforzar»

Marcos Gómez, subdirector de Servicios de INCIBE-CERT

Marcos Gómez, subdirector de Servicios de INCIBE-CERT, comenta que “realmente fue un nuevo paradigma, una constatación de una amenaza cibernética que podría haber puesto en jaque a empresas y operadores críticos y de servicios esenciales, y por lo tanto, en cierta manera, la confianza y el status quo mundial. Es un paradigma porque al igual que otras ciberamenazas, como Stuxnet en 2010, o en el plano positivo, la aparición de regulación de ciberseguridad -como el ENS en 2010, la Ley PIC en 2011, la Estrategia Nacional de Ciberseguridad en 2013, la revisión del Código Penal con la firma de España del Convenio de Budapest, o legislaciones posteriores-, suelen marcar un antes y un después en este ámbito tan abierto”.

Para INCIBE, el caso WannaCry “significó un test en vivo de nuestras capacidades, las de la industria de la ciberseguridad y la de los propios equipos de ciberseguridad de las empresas y organismos. Nos permitió comprobar cómo estábamos y nos avisó y alertó sobre servicios y capacidades a reforzar. Por ejemplo, INCIBE retocó sus servicios de respuesta, con un importante refuerzo para situaciones de crisis, que nos ayudó a actualizar y mejorar otros servicios de construcción de capacidades, como los CyberEx España o las mediciones de ciberresiliencia que realizamos anualmente”, sostiene Gómez.

Fernando Maldonado, analista principal de IDG Research, concuerda en que “WannaCry fue un hito muy importante para la seguridad: abrió los ojos a muchas personas ajenas a la seguridad informática sobre los riesgos en que estaban incurriendo. Sin duda, podemos hablar de un antes y un después en términos de concienciación”.

Un rescate en bitcoins

Wannacry es un ransomware, un tipo de software malicioso específicamente dirigido a ordenadores que usan el sistema operativo Microsoft Windows y que es utilizado para extorsionar dinero a quienes infecta. Así, una vez que el malware se introduce en el dispositivo, a través del protocolo Server Message Block (SMB) que usan los ordenadores Windows para compartir archivos, encripta la información del ordenador -evitando que el usuario pueda acceder a los datos- y pide el pago de un rescate para recuperarla.

En el caso de 2017, los responsables solicitaron que los afectados transfirieran 300 dólares en forma de bitcoins a una cuenta, tras lo cual les enviarían una contraseña para poder desencriptar los archivos. Así, lograron acumular en esa cuenta un total de 51,54 BTC, lo que equivalía en ese entonces a casi 100.000 euros (hoy ese monto equivale a más de 1.450.000 euros) y se registraron pérdidas de 4.000 millones de dólares en todo el mundo.

Detrás de WannaCry

Aún es un misterio quienes son los responsables detrás del ciberataque con WannaCry, a pesar de múltiples investigaciones que se realizaron en su momento. Se cree que el origen del software malicioso proviene del Grupo Lazarus, una agrupación de piratas informáticos norcoreanos, debido a la similitud de WannaCry con técnicas utilizadas por estos hackers. Estados Unidos, de hecho, responsabilizó oficialmente a este país del ataque, sin embargo, no hay certezas de que así fuera.

Lo que sí se sabe, es que WannaCry aprovechó una vulnerabilidad del sistema Windows que ya existía, un exploit llamado EternalBlue hecho público anteriormente por otro grupo de hackers, The Shadow Brokers.

¿Problema solucionado?

A las horas del ciberataque, un joven informático británico de sólo 22 años llamado Marcus Hutchins, que se encontraba ese 12 de mayo en su día libre de su trabajo en una empresa de ciberseguridad, se enteró de la crisis provocada por WannaCry y publicó una forma temporal de detenerlo, un kill switch que ralentizaba los efectos del virus. El llamado “héroe accidental”, no obstante, fue arrestado por el FBI sólo unos meses después por su participación en hackeos ilegales no relacionados al caso de WannaCry.

En paralelo, Microsoft dio aviso que el parche para las infecciones de WannaCry ya existía en la actualización de su sistema disponible desde marzo de ese mismo año, que se habían incluido debido a las vulnerabilidades de EternalBlue. Por eso, cuando el ransomware se expandió, sólo lo hizo en aquellos ordenadores que no habían sido actualizados a la fecha.

A pesar de considerarse el mayor ciberataque de la historia y de la concienciación sobre ciberseguridad que el incidente provocó en las empresas y organizaciones de todo el mundo, los ransomware y, en particular, WannaCry, siguen siendo una amenaza en la actualidad.

«Las amenazas siguen evolucionando y los ataques no serán los mismos, pero un impacto a gran escala sigue siendo posible. La única forma de prepararse es entrar en un estado de aprendizaje continuo para intentar anticiparnos»

Fernando Maldonado, analista principal de IDG Research

Consultado sobre si actualmente estamos preparados para enfrentar un incidente de la magnitud de WannaCry, el subdirector de Servicios de INCIBE-CERT respondió que “de forma puntual y humildemente, creemos que no. Sin embargo, amenazas como el ransomware, el ‘hacktivismo’, los ataques a sistemas vulnerables o ciertas vulnerabilidades del tipo zero-day (como ‘log4j shell’, que sería lo más parecido a una amenaza de este calibre) son ejemplos de riesgos y amenazas cibernéticas sostenidas en el tiempo que nos obligan a no bajar la guardia y redoblar esfuerzos”. A pesar de esto, apunta a que la coordinación, cooperación, preparación y ciberresiliencia se han reforzado en estos cinco años, por lo que esas nuevas capacidades se tendrían que poner a prueba.

Según el Informe Anual de Ciberseguridad de 2021, el ransomware es el principal tipo de ciberataque: el conocido incidente del Servicio Público de Empleo Estatal (SEPE) fue justamente realizado con este tipo de malware. Y dentro de este grupo, un 35% corresponden a la familia de WannaCry, según un estudio de Bitdefender.

“El aspecto más destacado es que las empresas ahora trabajan con el supuesto de que tarde o temprano van a ser atacadas. Como consecuencia, el foco se ha trasladado de la prevención a la detección y respuesta. En este sentido, la automatización y la inteligencia artificial están jugando un papel clave”, sostiene Maldonado.

Impulsando mejoras

A cinco años de WannaCry, Gómez asegura que el Sistema Nacional de Ciberseguridad, en coordinación con todos los agentes competentes y con la propia industria de ciberseguridad, “han crecido y se han fortalecido en todos los ámbitos. Por eso, España se sitúa hoy en el ranking de la ITU como uno de los países más seguros”. Asimismo, afirma que ha habido avances también en términos de concienciación, con distintas campañas de difusión y publicidad.

“Por otro lado, en la tecnología, España cuenta con empresas muy fuertes dentro y fuera de nuestras fronteras que prestan servicios de alto valor añadido al resto de la industria, administraciones, ciudadanía, etc. Y el componente de innovación crece año tras año. También se está avanzando en la formación básica y media en ciberseguridad, y en la especializada, con fuertes programas de detección y captación del talento, pero hacen falta muchísimos más profesionales de los que hay hasta la fecha para cubrir la demanda del mercado”, añade.

Por su parte, Maldonado comenta que la guerra en Ucrania ha supuesto nuevos riesgos cibernéticos. “Hace unos días la Unión Europea atribuía a Rusia una ataque a un satélite de comunicación que se produjo horas antes de lanzar su ofensiva militar y que afectó a varias empresas e instituciones. Es decir, las amenazas siguen evolucionando y los ataques no serán los mismos, pero un impacto a gran escala sigue siendo posible. En síntesis, la única forma de prepararse es entrar en un estado de aprendizaje continuo para intentar anticiparnos”, concluye Maldonado.

Fuente: cso.computerworld

 

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.