Desde el 12 de mayo está en marcha un ciberataque global de proporciones inéditas. No hay reportes de su presencia en Cuba, sin embargo, se emiten recomendaciones
Es probable que cuando estas palabras sean públicas, el ciberataque global más grande de la historia todavía esté en marcha. Por el momento se considera «identificado y detenido», no eliminado.
Todo comenzó el pasado viernes 12 de mayo: en pocas horas más de 230 000 computadoras en unos 150 países se vieron afectadas por un virus troyano de tipo ransomware, de acuerdo con la información proporcionada por la Oficina Europea de Policía (Europol).
Un ataque de este tipo encripta los contenidos de un ordenador e impide el acceso a los usuarios, a menos que paguen para recuperarlos. En este caso, el virus se nombra WannaCrypto, o WannaCry. El último término se traduce del inglés como «quiero llorar», y acaso lo acontecido hasta el momento así lo amerite.
WannaCry, que fue tendencia en Twitter, habría sido creado por un grupo de hackers llamados The Shadow Brokers, quienes se dieron a conocer en el mundo informático el pasado abril. Por entonces filtraron algunas de las herramientas de hackeo creadas por la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés), para explotar vulnerabilidades en sistemas operativos Windows, llamadas EternalBlue, explica la revista Wired.
Estructuras frágiles
Que un grupo de hackers haya logrado atacar computadoras en 150 países muestra la necesidad de tomar muy en serio la ciberseguridad. Se trata de una responsabilidad que concierne por igual a ciudadanos y gobiernos.
Para estos últimos, el ataque resulta un llamado de atención, consideró en su blog el presidente y director jurídico de Microsoft, Brad Smith. Los hechos parecen darle la razón.
Wannacry ha desatado un escenario inédito. Rob Wainwright, director de Europol, explicó a la televisora británica ITV que cada año realizan operaciones contra unos 200 ciberataques, «pero nunca habíamos visto nada así».
El virus se coló en solo unas horas en el sistema de salud de Reino Unido y paralizó 16 hospitales. Con los ordenadores bloqueados, los centros asistenciales tuvieron que posponer operaciones quirúrgicas y se vieron imposibilitados de acceder a los historiales clínicos de sus pacientes, o realizar exámenes como la tomografía axial computarizada.
En Francia, la automotriz Renault declaró que había detenido la producción de vehículos a causa del virus, mientras el servicio postal FedEx, de Estados Unidos, también reportó afectaciones. La compañía Telefónica, de España, indicó tener «un incidente de seguridad cibernética», mientras que en México se reportaron problemas con la banca.
Al llegar el lunes, en Asia se desató un nuevo ataque del virus luego de que millones de trabajadores encendieran sus ordenadores tras el fin de semana. El diario chino Global Times reportó afectaciones en al menos 30 000 ordenadores en las primeras horas de la mañana de ese día. Indonesia, Corea del Sur y Japón también dieron cuenta de la presencia de WannaCry.
A pesar de la magnitud del ataque, los expertos consideran que detrás del mismo no están terroristas, sino cibercriminales con fines lucrativos.
¿Se imaginan que un gobierno con fines militares, o una organización extremista decidan lanzar un ataque todavía más grande con un virus informático similar e intenciones de dominación? La pregunta no deja de martillarme la cabeza, y la respuesta que encuentro es escalofriante.
Cuestiones «windowleras»
El virus WannaCry amenaza, fundamentalmente, una vulnerabilidad en Windows XP, actualmente sin soporte por Microsoft, empresa que diera vida a este sistema operativo en 2001.
El hoyo de seguridad se ubica en el Server Message Block (SMB), un protocolo de red para compartir archivos, el cual permite también la ejecución de virus informáticos, como WannaCry. Este dato lo sabía la NSA, y de sus archivos obtuvieron la información los hackers de The Shadow Brokers.
Tras la revelación del fallo, Microsoft lanzó un parche de seguridad para todos los sistemas operativos Windows. Sin embargo, en versiones anteriores a Windows 10, como XP, 7 u 8, el usuario puede desactivar las actualizaciones automáticas, razón que atribuyen los expertos para que en muchos ordenadores no se haya instalado la solución al problema y el virus se hiciera efectivo con el ataque iniciado el 12 de mayo.
Asimismo, la «confianza y curiosidad» de los seres humanos han amplificado el ataque. Según BBC, el ransomwar es distribuido en archivos adjuntos mediante correo electrónico. Si alguna regla de seguridad informática es vital y común, es que no se deben abrir mensajes digitales o ficheros adjuntos de fuentes no confiables. En el caso de WannaCry, si el usuario lo abre, la PC se infesta al momento. Y si esa computadora está conectada a una red, propaga el virus con rapidez. Evidentemente, muchos dieron clic donde no debían.
Profilaxis
En una alerta emitida este martes, el Equipo de Respuesta a Incidentes Computacionales de Cuba (Cucert), adscrito a la Oficina de Seguridad para las Redes Informáticas, detalló lo nocivo que resulta WannaCry.
Al mismo tiempo, la Empresa de Consultoría y Seguridad Informática (Segurmática) afirmó que no tenía reportada la presencia del virus en Cuba. Sin embargo, emitió una serie de recomendaciones importantes, como desactivar en Windows el protocolo SMB v1. Esa opción está disponible en el menú Activar o desactivar características de Windows, ubicado en la ruta Inicio/Panel de control/Programas.
A juicio de los expertos de Segurmática, también es imprescindible instalar las actualizaciones de los sistemas operativos apenas aparezcan.
Como es mejor prevenir que lamentar, recomiendan crear un respaldo de los archivos críticos, los cuales deben ser almacenados en un lugar seguro, sin conectar a una red. A propósito de las redes, también sugieren segregarlas.
Otra forma de detener un ransomware, o rastrearlo en un archivo sin instalar, es a través de un programa antivirus actualizado, recordó Segurmática.
¿Quién detuvo a Wannacry?
Marcus Hutchins, un joven británico de 22 años, fue quien logró detener el ataque inicial de WannaCry, según The Guardian.
La solución que encontró fue «accidental». El joven, quien se identifica en Twitter como @MalwareTech, descubrió un dominio web oculto en el virus que no estaba comprado y decidió registrarlo por diez euros. Este dominio fue inventado por los creadores del virus como una medida de desactivación del ataque, en caso de que ellos quisieran detenerlo.
Explica The Guardian que WannaCry, al ejecutarse, busca la conexión con este dominio, como si fuera a abrir la web a la que pertenece. En caso de encontrarlo, deja libre al ordenador raptado. Como no existía el dominio, el virus seguía «vivo».
Pero luego de que Hutchins lo comprase, Wannacry dejó de extenderse. Eso sí, las computadoras infestadas previamente mantuvieron su estatus de secuestro, aclaró The Guardian.
Y aunque las autoridades han recomendado a los «secuestrados» que no paguen la suma solicitada por los cibercriminales, la firma de seguridad Symantec recogía el lunes 81 transacciones por un valor de 28 600 dólares.
Tras conocerse la solución para detener a WannaCry, por Twitter comenzaron a circular mensajes de una segunda versión del ransomware, la cual se sospecha fue la que se activó en Asia el lunes.
Por el momento WannaCry sigue vivo y, como los virus orgánicos, comienza a presentar mutaciones.
24
