Su propagación y afectación a nivel mundial en mayo pasado reveló cuán vulnerables son las grandes empresas por su incapacidad de mantenerse a la vanguardia y protegerse de la manera adecuada.

Aunque para muchos, en un mundo cada vez más interconectado, el pasado 12 de mayo haya sido un día normal, pasará a la historia como el día en que ocurrió uno de los mayores ataques de malware en la época moderna. Un software malicioso acaparó los titulares de todo el mundo, principalmente de los medios especializados, y no era un malware cualquiera, pues más que un simple virus informático que tiene como único objetivo afectar el funcionamiento de una computadora, éste era capaz de ‘secuestrar’ los archivos para pedir un rescate por ellos.

Ese tipo de malware es conocido como ransomware, un concepto que no es nuevo, pero se ha popularizado en los últimos años. A diferencia de la mayoría de los virus informáticos, fue creado para extorsionar cifrando con un determinado algoritmo los archivos de la víctima y con ello cobrar un monto considerable —usualmente en Bitcoins, una moneda digital nacida en 2009— para su recuperación por medio de una clave de descifrado única. Sin embargo, el pasado mes de mayo ocurrió algo impensable, pues grandes compañías como Telefónica España y América Móvil, fueron afectadas por el ransomware WannaCry.

Y sí, su afectación y el alcance que tuvo el ransomware WannaCry respaldan su nombre, ya que en tan solo un día logró tener presencia a lo largo de 150 países y afectó más de 200 mil computadoras, cifrando sus archivos para pedir un rescate en Bitcoins equivalente a 300 dólares, estimando pérdidas en miles de dólares, pues no todas las víctimas cayeron en la trampa del malware. Se propagó a gran escala en menos de 24 horas gracias a que las primeras computadoras infectadas estaban interconectadas y el malware aprovechaba una vulnerabilidad en un protocolo de comunicación utilizado por los sistemas operativos Windows.

Telefónica España fue la primera empresa en reportar la presencia de WannaCry en sus equipos, viéndose obligada a ordenar que los apagaran para evitar que se infectaran más computadoras. No obstante, este aviso serviría de poco o de nada, pues lo que parecía ser una simple propagación descontrolada en realidad habría sido un ataque, coordinado o no: el ransomware comenzó a aparecer en otras partes del mundo, incluida América Latina, donde se repitió la historia con Telefónica. No obstante, la compañía española no sería la única afectada por WannaCry, pues en cuestión de horas otras empresas detectaron en sus computadoras la presencia del ransomware.

Por supuesto, WannaCry llegó a México y se requirieron sólo un par de días para convertirse en el país más afectado de América Latina. Entre las grandes empresas dedicadas al negocio de las telecomunicaciones en nuestro país, como América Móvil y la ya mencionada Telefónica, Axtel fue otra de las afectadas, pero no pasó a mayores gracias a la respuesta rápida y coordinación de su personal, contrarrestando lo que ya era considerado un ataque que habría sido irrelevante si las compañías hubieran estado preparadas.

¿Windows el culpable?

Como se acostumbra, cualquiera podría culpar a Windows por su vulnerabilidad, pero no se trata de eso, ya que el malware de tipo ransomware no es exclusivo del sistema operativo de Microsoft. El problema es que muchas empresas, entre ellas las que fueron afectadas por WannaCry, seguían usando versiones antiguas de este sistema operativo, algunas ya sin soporte técnico, como Windows XP y Windows 7, esta última usada en mayor medida. Más del 97% de las infecciones por el ransomware tuvieron parte en versiones de Windows obsoletas. El 3% de las infecciones habrían afectado equipos con versiones más recientes de Windows.

Aun así, Microsoft no abandonó a sus usuarios, principalmente por tratarse de grandes empresas, por lo que a pesar de que el soporte técnico para Windows XP y Windows 7 terminó hace tiempo, la compañía decidió lanzar parches de seguridad para poner fin a la vulnerabilidad explotada por WannaCry. En Windows 10 la vulnerabilidad había sido mitigada un par de meses antes del ataque, como parte de las actualizaciones de seguridad del sistema operativo. Entonces, la responsabilidad quedaba en las empresas y, según demostraron, no acostumbran mantenerse a la vanguardia.

¿Quién fue?

Sobre el origen del ransomware WannaCry, se habla de que fue creado por un grupo de hackers llamado Equation Group, del que se sospechan “trabajos sucios” para la polémica Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) de los Estados Unidos. El malware habría sido robado por otro grupo de hackers que se hace llamar ShadowBrokers, quienes se encargaron de publicarlo. Por su parte, la NSA cree que Corea del Norte estaría detrás del ataque de ransomware, aunque expertos en la materia aseguran que hackers chinos serían los responsables. Es decir, no se sabe con exactitud quién o quiénes están detrás de WannaCry. Todo un dolor de cabeza.

Ha pasado más de un mes desde el ataque de WannaCry, habiéndose creado a la fecha software para descifrar los archivos secuestrados, y aun así en Japón empresas como Honda reportaron recientemente la presencia del ransomware en su red de computadoras, obligándolos a detener su producción por un día. Otra demostración de que no se ha hecho lo suficiente para evitar más infecciones, tomando en cuenta que las soluciones están al alcance de todos, pero más que estar a la vanguardia manteniendo el software actualizado, se requieren medidas profesionales y el uso de herramientas que no son tan conocidas como los productos antivirus, y ese es el mayor problema de todos.

Por fortuna, esas soluciones están en nuestras manos y al alcance de las empresas en la región, evitando infecciones por malware de cualquier tipo —incluyendo ransomware como WannaCry— tras visitar páginas web maliciosas o detectando procesos de programas que se comportan de manera atípica.

Al igual que todo software,   el malware evoluciona constantemente, por lo que no nunca se debe bajar la guardia.

Para mayor información sobre nuestras soluciones, contacte a la editorial de Talento Empresarial.

Escrito por: Christian D. de la Cruz Rodríguez (Ing. en Sistemas Computacionales)

Fuentes:

• http://www.reuters.com/article/us-cyber-attack-europol-idUSKCN18A0FX

• http://www.bbc.com/news/technology-39997581

• https://www.forbes.com.mx/mexico-es-el-pais-mas-afectado-por-el-virus-wannacry-en-al/

• http://eleconomista.com.mx/industrias/2017/05/16/asi-respondio-axtel-ciberataque-wannacry

• https://blogs.windows.com/windowsexperience/2017/06/13/microsoft-releases-additional-updates-protect-potential-nation-state-activity/#iCJ1zIgEMADdzLrm.97

• https://blogs.microsoft.com/on-the-issues/2017/05/14/need-urgent-collective-action-keep-people-safe-online-lessons-last-weeks-cyberattack/

• https://arstechnica.com/security/2016/08/group-claims-to-hack-nsa-tied-hackers-posts-exploits-as-proof/

• https://www.washingtonpost.com/world/national-security/the-nsa-has-linked-the-wannacry-computer-worm-to-north-korea/2017/06/14/101395a2-508e-11e7-be25-3a519335381c_story.html?utm_term=.c9e1c4ddb597

• http://www.telegraph.co.uk/technology/2017/05/30/wannacry-linked-chinese-hackers-not-north-korea-experts-say/

• https://github.com/aguinet/wannakey

• https://github.com/gentilkiwi/wanakiwi

• https://www.forbes.com/sites/peterlyon/2017/06/22/cyber-attack-at-honda-stops-production-after-wannacry-worm-strikes/#745a25fd5e2b