@resbla

Página personal de Roberto Espinosa Blanco

blog

El post definitivo sobre Wannacry

Seguro que alguno estáis pensando, oh Dios mío, otro post sobre el wannacry… Efectivamente, ha sido imposible no hablar también de ello en el #techno-bits semanal de Capital Radio con Luis Vicente Muñoz, pero voy a intentar contaros alguna cosa que quizá no hayáis oído hasta ahora. Aquí podéis escuchar el corte del #techno-bits:

 

Salvo que hayáis estado metidos en una cueva muy profunda, es imposible que no hayáis oído hablar del ataque del virus wannacry, un tipo de virus que se llama ransomware. Este tipo de virus cifra los archivos del ordenador infectado y solicita un «rescate» para recuperarlos.

Los ransomware son ya unos clásicos, y hasta se pueden comprar «marcas blancas» de ellos para personalizarlos al gusto del criminal de turno. De hecho, lo que suelen circular son «cepas» que utilizan una base común.

Los virus suelen infectar los ordenadores camuflados en correos que intentan hacer que los usuarios piquen porque intentan engañar a la gente imitando correos de entidades «confiables» y haciendo que el usuario ejecute un archivo pensando que es información de un envío por ejemplo.

El primer ransomware que incluía el pago de un rescate para conseguir la clave para descifrar los archivos fue en 1992, y a falta de bitcoins, la clave se recibía a través de un anuncio por palabras en prensa.

Sin embargo, este último ataque ha sido de una virulencia importante, aunque el daño no parece proporcional a la histeria mediática. De hecho, se habla de unas 300000 máquinas infectadas en todo el mundo, sin embargo es un número pequeño comparado con otros virus o hackeos anteriores.

Lo que ha causado revuelo y notoriedad ha sido porque el virus ha infectado a grandes empresas, algo que es poco habitual para este tipo de virus. Muchas empresas al ver lo que ocurría decidieron directamente ordenar a sus empleados que apagaran los ordenadores y mandarlos para casa. Esto es lo que generó una repercusión mediática sin precedentes, más cuando Telefonica fue afectada y saltó a las noticias incluso los anuncios internos pidiendo a los empleados apagar el ordenador e irse a casa.

Justo en los últimos días he coincidido con varios CIOs y hasta con algún hacker, y os podéis imaginar que era imposible no hablar de este tema. Y la verdad es que a pesar de todo lo que ya se ha hablado de todo esto, es increíble que todavía no sepamos algunas cosas.

La primera, y que da alas a algunas teorías conspiranóicas, es que aún no conocemos el «paciente cero» de esto ni la forma de infección. De hecho, no parece que haya sido de la forma habitual que se contagian estos virus, por un usuario descuidado que recibe un correo a modo de gancho.

Tampoco sabemos muy bien la motivación detrás de este virus. Si normalmente la motivación es económica, conseguir un rescate, aquí no parece que sea así. Por un lado, los creadores del virus tienen una «atención al cliente» pésima. Si en este tipo de virus los creadores suelen responder rápido a la gente interesada en pagar para recuperar sus archivos, en este caso no. Podría ser por la notoriedad que ha ganado el caso, pero la realidad es que expertos hablan de que el virus no está creado para que sea fácil volver los archivos al estado original ni aún con la clave adecuada.

Las últimas cifras hablan de unos 70000€ en rescates pagados, pero aún no he conseguido encontrar ninguna noticia de nadie que haya recuperado los archivos después de pagar (Telefónica acaba por cierto de compartir una herramienta para recuperar archivos de ordenadores que no hayan completado el cifrado de ellos)

Aunque cabe recordar que el impacto de wannacry ha sido mínimo entre los consumidores, y en cambio ha sido en la gran empresa donde ha generado más problemas. De hecho, siendo Telefonica la que primero saltó a la palestra con este tema, al principio parecía que era un ataque dirigido contra ella. Está claro que no fue así puesto que el ataque impactó en muchas empresas de muchos países.

Wannacry utilizaba un agujero de seguridad en los servicios de red de Microsoft muy utilizados por empresas de todos los sectores y países. Y aquí es donde las cosas se ponen interesantes.

Hace pocas semanas, wikileaks destapaba este agujero de seguridad acusando a la NSA americana de utilizarlo. Microsoft (que por cierto afeó públicamente al gobierno americano el no informar de este problema y utilizarlo como herramienta de espionaje) procedió a tapar el agujero rápidamente a través de sus actualizaciones de sistema operativo. Sin embargo, las grandes empresas suelen esperar a probar bien estas actualizaciones en sus sistemas antes de hacer la instalación. Este es el motivo por el que han sido las más afectadas.

Además de todo esto, los expertos hablan de que el virus era una chapuza técnica. El que tuviera un kill switch (botón de apagado) tan sencillo que con la simple compra de un domino por 10$ un técnico inglés parara la infección, además de otras particularidades del diseño, hace sospechar a todo el mundo sobre lo que en realidad es wannacry.

Por un lado están los que piensan que es un ciberataque orquestrado por algún país, Corea del Norte es el favorito de los expertos, que de alguna forma sería un castigo contra la NSA, EEUU en definitiva. Pero por otro (y esto es lo que me decía una persona que sabe mucho de esto ayer), podría ser que esto fuera un bicho de laboratorio que se escapó por accidente.

Es probable que nunca sepamos exactamente lo que fue ni quien lo creó, en todo caso sí que es sorprendente el ruido mediático generado, que en muchos casos generó aún más confusión. También me ha sorprendido lo radical de las decisiones que han tomado muchos CIOs (de grandes y pequeñas empresas) en base a la poca información que manejaban y que decidieron cortar por lo sano y apagar ordenadores en espera de verdaderas noticias.

Por otro lado, al menos en España y países occidentales, no hay noticias de que este virus afectara a sistemas críticos, y sí parece que han sido más equipos dedicados a ofimática los afectados. Equipos que por lo general, tienen buenas políticas de copias de seguridad con lo que el impacto en cuanto a pérdida de datos habrá sido pequeño.

No ha habido mucho que esperar para encontrar nuevos virus intentando aprovechar los agujeros que encontró wannacry. Uno de los más «elegantes» como lo describía otra persona que sabe mucho de esto, ha sido Adylcuzz. Este virus se expande de la misma forma, pero en vez de cifrar el ordenador infectado, este lo convierte en un zombie y hace que, de una forma difícil de detectar para un usuario medio, el ordenador en cuestión se ponga a «minar» moneros, una criptomoneda similar a bitcoin. De esta manera, el creador del virus está recibiendo dinero generado por ordenadores infectados.

Por quitar un poco de hierro al asunto, yo hoy he estado en Distrito C de Telefónica y no me ha pasado nada. Creo que está bien el concienciar a la gente de la importancia de la ciberseguridad, pero el histerismo visto con este tema, creo que no es muy positivo.

@resbla

Comentarios bienvenidos!

A %d blogueros les gusta esto: