WannaCry: Para echarse a llorar
El ciberataque llamado WannaCry (lo cual significa “querer llorar en inglés”) efectivamente da ganas de llorar.
En realidad, es una abreviatura de “WannaCrypt0r”, es decir, “querer encriptar”, ya que ese es el funcionamiento de este ataque. Es de tipo ransomware, por lo que su objetivo es secuestrar información y pedir un rescate para recuperarla. Para ello, la encripta hasta que el usuario pague la cifra elegida en bitcoins.
El ataque de WannaCry comenzó el viernes 12 de mayo de 2017, e infectó más de 230.000 computadoras en más de 150 países. Países como Rusia, Ucrania, India Taiwán fueron gravemente afectados, así como muchas compañías de todo el mundo, incluida Telefonica. Este mapa muestra (en rojo) los países afectados:
Pero, ¿cómo se infectaron los equipos con WannaCry?
Los ataques ransomware normalmente infectan una computadora cuando el usuario abre un correo electrónico con phishing. Aunque posiblemente este sea el método de infección de WannaCry, aún no ha sido confirmado que lo sea.
Una vez instalado, WannaCry utiliza el exploit “EternalBlue” para extenderse a través de redes locales y anfitriones remotos que no hayan recibido la actualización de seguridad más reciente, y de esta manera infecta directamente cualquier sistema expuesto.
Microsoft emitiría un parche el 14 de marzo de 2017 para eliminar la vulnerabilidad subyacente de sistemas soportados por Microsoft en la actualidad, lo cual se dio casi dos meses antes del ataque. Sin embargo, muchas organizaciones no llegaron a aplicarlas.
Esto es muy curioso, ya que las compañías podrían haberse evitado todo este problema si hubiesen actualizado sus equipos a tiempo.
Un gran héroe en esta historia fue un experto de Reino Unido. Autor del blog MalwareTech, estaba estudiando el programa cuando se dio cuenta de que este intentaba conectarse a un dominio no registrado, de forma que si no lo lograba cifraba el equipo; pero si lo lograba se detenía. Una vez que este experto en seguridad registró el dominio, a las 17:08 del 12 de mayo, cesó el ataque.
Esto fue un éxito, pero obviamente esto no iba a quedar así, y ya se han detectado nuevas versiones del programa que carecen de este “botón de apagado”.