Wannacry

WannaCry estuvo activo entre las 8:00 y las 17:08 UTC del 12 de mayo de 2017. En solo unas horas se infectaron más de 230 000 equipos en alrededor de 150 países, incluidas entidades tan críticas como el Servicio Nacional de Salud británico (NHS), Telefónica, Iberdrola, Gas Natural y numerosas instituciones financieras.

Gracias a su funcionamiento como un cryptoworm —es decir, un ransomware con capacidad de replicación automática a través de redes— podía expandirse sin la intervención del usuario, escaneando puertos SMB abiertos y atacando dispositivos sin parches de seguridad

14 de marzo de 2017: Microsoft publica el parche de seguridad MS17-010 que corrige la vulnerabilidad EternalBlue.

12 de mayo de 2017: Se origina el ataque masivo. WannaCry comienza a cifrar archivos y demandar 300 USD en Bitcoin.

Horas más tarde: El investigador Marcus Hutchins registra un dominio oculto en el código, actuando como un “kill-switch” que detuvo la propagación inicial.

Se difunden los parches: Organizaciones y usuarios actualizan sus sistemas, y Microsoft lanza actualizaciones incluso para versiones obsoletas como Windows XP.

Emergen variantes: Tras el descubrimiento del kill-switch, surgieron nuevas versiones sin esta función, aunque sin el mismo alcance.

WannaCry afectó entornos médicos, industriales y corporativos, provocando cortes de servicios críticos, paros en producción industrial y daños económicos significativos. Se estima que infectó entre 141 000 y 230 000 ordenadores en más de 150 países, provocando pérdidas millonarias  .

Entre sus objetivos más visibles estuvieron hospitales del NHS (con unos 70 000 dispositivos afectados), instalaciones de Nissan y Renault, y grandes empresas energéticas y de telecomunicaciones. 

• Capacidad de autopropagación: su combinación de ransomware con el exploit EternalBlue le permitió expandirse sin intervención.
• Parches ignorados: la mayoría de los equipos no habían aplicado la corrección MS17-010.
• Kill-switch accidental: Hutchins activó el dominio “botón de apagado”, lo que detuvo temporalmente la propagación. Sin él, el daño habría sido aún mayor.

Panda Security recomienda:

• Mantener los sistemas actualizados, especialmente los parches críticos.
• Instalar soluciones avanzadas de seguridad, como la gama Panda Dome, que ofrecen detección en tiempo real, monitorización de exploits y protección contra ransomware.
• Implementar la gestión de vulnerabilidades y copias de seguridad frecuentes.
• Activar firewalls y limitar el acceso al puerto 445 en redes.
• Formar a los usuarios en seguridad informática, especialmente sobre actualizaciones y gestión de parches.