Un troyano de cifrado llamado «WannaCry» lleva haciendo estragos desde el 12 de marzo de 2017 y está atacando sistemas Windows en todo el mundo, incluidas infraestructuras críticas, aunque de forma bastante aleatoria. Que el saqueo del tesoro digital de la NSA esté teniendo tal repercusión en todo el mundo es realmente aterrador, sobre todo porque Microsoft lanzó un parche para sus sistemas operativos nada más conocerse, mucho antes de esta oleada de ataques. El siguiente artículo es un repaso a WannaCry, su impacto y las opciones de protección.
Índice de contenidos
¿Qué lo causó? Causas de la propagación de WannaCry
A principios de 2017, el regodeo aún era grande cuando el grupo de hackers Shadow Brookers asaltó el tesoro digital de la NSA y publicó exploits del equipo Equation Group de la NSA. Entre ellos había una vulnerabilidad en los recursos compartidos de archivos SMB de Windows, que Microsoft corrigió inmediatamente después de que se conociera públicamente con MS17-010 (KB 4013389). Aquí es donde empieza la tragedia, ya que Microsoft simplemente pasó por alto sistemas descatalogados como Windows XP o Windows Server 2003, aunque estos mismos sistemas se siguen utilizando en empresas y en la administración pública.
El resto fue entonces reciclar viejos módulos de criptotroyanos con adaptación a la nueva vulnerabilidad y ya estaba listo «WannaCry», que también se conoce como Wana Decrypt0r 2.0 y que lleva propagándose por todo el mundo desde el 12 de mayo de 2017. Los ataques se llevan a cabo de la forma clásica a través de correos electrónicos, y también se propagan dentro de redes infectadas.
El troyano cifra los archivos encontrados y los toma como rehenes. Se supone que los datos se liberan de nuevo contra el pago de 300 dólares estadounidenses a través de métodos de pago como Bitcon. Securelist ha documentado la infección y el modo de funcionamiento de WannaCry en una entrada de blog.
Infestación mundial
Los chantajistas deben estar más que sorprendidos de su propio éxito. Sistemas de todo el mundo se ven afectados, no sólo usuarios privados, con el foco claramente puesto en Rusia.
En Alemania, la víctima más destacada fue Deutsche Bahn, cuyos paneles de visualización no sólo mostraban retrasos, sino también la pantalla de extorsión de WannaCry.
El hecho de que la propagación -a pesar del parche de Microsoft- fuera tan rápida en todo el mundo se debe a dos factores: por un lado, el descuido de muchos administradores a la hora de distribuir los parches y, por otro, la medida tomada por Microsoft de dejar sin parche por el momento los sistemas antiguos, aún muy utilizados, como Windows XP.
Marcha atrás de Microsoft
Mientras que en Alemania la Oficina Federal de Policía Criminal ya ha iniciado investigaciones y la Oficina Federal de Seguridad de la Información (BSI) ha advertido contra el ransomware, un usuario de Twitter fue capaz de encontrar un «interruptor de emergencia» en el código del troyano y detener así su propagación. Documentó el descubrimiento exacto en una entrada de blog.
Microsoft, por su parte, intenta limitar los daños y, debido a la propagación mundial, se ve obligada a dar el paso de proporcionar un parche para los sistemas que ya han sido dados de baja, como Windows XP o Server 2003.
¿Asignación de culpas?
Entretanto, Microsoft ha pasado a la ofensiva, culpando en particular al gobierno estadounidense de ocultar vulnerabilidades de seguridad conocidas y luego hacer que se las roben. El director jurídico de Microsoft incluso describe la situación como si al ejército estadounidense le robaran algunos de sus misiles de crucero «Tomahawk».
Un análisis quizá muestre más adelante exactamente qué sistemas (operativos) se vieron afectados. La sospecha sugiere por sí misma que se trata principalmente de sistemas XP antiguos los que se han visto afectados. Si Microsoft puede utilizar esto para eludir la responsabilidad por el hecho de que el soporte para estos sistemas ya se interrumpió en 2014 sigue siendo no sólo una cuestión ética.
Al menos, los usuarios de Windows 10 deberían estar contentos: el requisito de actualización automática, a menudo criticado, ha evitado males mayores en estos sistemas y, por tanto, hace el juego a los de Redmond con su argumentación a favor de las actualizaciones automáticas.
Protección contra ataques similares
La actual pandemia de ransomware, que cifra archivos propios como documentos, imágenes o vídeos y sólo puede volver a liberarlos previo pago de un rescate, es amenazadora. Y un buen asesoramiento sobre cómo remediar la situación, si usted mismo se ve afectado, es caro. A menos que tengas a mano una copia de seguridad adecuada.
En nuestro artículo «Estrategias para protegerse contra troyanos como Locky: ¡la copia de seguridad adecuada!» de 2016, ya describimos estrategias para una copia de seguridad adecuada, pero también las trampas de dicha copia, que siguen siendo relevantes hoy en día.