El ransomware WannaCry desencadenó el mayor ciberataque global hasta la fecha

El ciberataque que infectó a usuarios de empresas de todo el mundo fue detectado por primera vez el pasado viernes. De acuerdo las primeras estimaciones hechas públicas por Europol, el saldo era de más de 200.000 afectados en más de 150 países. En menos de veinticuatro horas, el software malicioso logró extenderse a equipos de los cinco continentes, interrumpiendo la actividad de compañías y gobiernos en todo el planeta.

¿Cómo funciona el ransomware WannaCry?

El culpable es un programa de ransomware bautizado como WannaCry. Este malware actúa cifrando el contenido de los ordenadores a los que accede, bloqueándolos y exigiendo un rescate de 300 dólares -a pagar en bitcoins- para recuperar los archivos. Si bien programas de este tipo se han convertido en una amenaza bastante común, WannaCry se está distinguiendo por una capacidad de propagación inédita.

El ataque afectó seriamente al servicio de hospitales británicos, a la multinacional francesa Renault, el sistema bancario ruso y al grupo de mensajería estadounidense FedEx, así como al servicio de ferrocarriles alemán y a universidades en Grecia e Italia. En España, el Instituto Nacional de Ciberseguridad (Incibe) informó de unas 600 infecciones confirmadas en los primeros días, entre ellas varias empresas estratégicas nacionales. Estos datos sitúan a España en el puesto 18 entre los países infectados.

WannaCry actúa aprovechándose de una vulnerabilidad de Windows cuya existencia fue revelada recientemente. El problema ya había sido corregido por Microsoft mediante una actualización pero todos los equipos que no hubieran realizado la puesta al día seguían siendo vulnerables, incluidos todos aquellos que sigan utilizando XP, una versión que oficialmente ya no se actualiza pero a la que Microsoft ha actualizado de manera excepcional.

Precauciones

La activación el lunes de equipos vulnerables que no habían sido utilizados durante el fin de semana inició una segunda oleada de propagación. Instituciones y empresas en China y Japón se vieron afectadas en gran medida por este rebrote de la actividad, incluyendo grandes multinacionales –como Hitachi, Petrochina y Nissan-así como cajeros y hospitales. Los expertos también han señalado que, pasado fin de semana, comenzaron a aparecer las primeras variaciones del ransomware.

Por este motivo el Certsi ha recomendado a los usuarios mantenerse informados mediante canales oficiales y estar pendientes de las actualizaciones. También aconsejan proteger los equipos con antivirus, antimalware y cortafuegos y realizar copias de seguridad periódicas de toda información, especialmente de la más sensible.

Las herramientas profesionales de seguridad desarrolladas por Panda suponen una garantía fundamental ante los cada vez más sofisticados métodos de los cibercriminales, como demuestran sus resultados ‘Real-World Protection Test’ en el que ha obtenido un 100% de ataques bloquedados por tercer mes consecutivo. Anteriormente sólo 3 de las 21 empresas que participan en este estudio habían conseguido tres meses consecutivos con 0 faltas de seguridad.

Por otro lado, actualizar los ordenadores con los últimos parches de seguridad publicados por el fabricante es otra de las precauciones básicas que están difundiendo las autoridades. Asimismo, se recomienda no abrir ficheros, adjuntos o enlaces de correos electrónicos o mensajes no fiables.

Críticas a la NSA

Esta oleada de ataques ha reavivado el debate acerca de la actitud de las autoridades estatales respecto a brechas de seguridad y herramientas de espionaje. En un post publicado el domingo, Microsoft criticó con dureza el comportamiento de los servicios de inteligencia estadounidenses, principalmente la NSA (Agencia Nacional de Seguridad).

La vulnerabilidad que han utilizado los creadores de WannaCry pertenece a un conjunto de herramientas de hacking utilizado por la NSA –llamada ETERNALBLUE- que fue revelada a principios de 2017 por un misterioso grupo conocido como The Shadowbrokers. “Este ataque es otro ejemplo de por qué las vulnerabilidades de almacenamiento de los gobiernos son un problema,” señala Microsoft. “En esta misma línea el exanalista Edward Snowden criticó en Twitter la actitud poco responsable de la NSA respecto a la seguridad.

Buscando a los autores

Europol ha anunciado que un equipo dentro de su Centro Europeo contra Ciberdelincuencia había sido “especialmente equipado para ayudar” en la investigación internacional para identificar a los autores. Sin embargo, reconocen que es muy difícil identificar y localizar a los autores del ataque.

Aunque en los primeros días la teoría de que se trataba de un ataque perpetrado por delincuentes independientes no relacionados con ningún ejército era la más extendida, funcionarios de los servicios de inteligencia de Estados Unidos y expertos han sugerido que piratas informáticos en la órbita del gobierno de Corea del Norte podrían estar detrás del ciberataque, de acuerdo con informaciones publicadas con The New York Times.