Documente Academic
Documente Profesional
Documente Cultură
Aunque los ataques se han hecho populares desde mediados de la década del 2010, el primer ataque
conocido fue realizado a finales de los 80 por el Dr. Joseph Popp. Su uso creció internacionalmente
en junio del 2013. La empresa McAfee señaló en 2013 que solamente en el primer trimestre había
detectado más de 250 000 tipos de ransomware únicos.
Ha pasado tiempo de aquello, y durante todo este tiempo hemos visto cómo los ataques de
ransomware se convirtieron en una de las grandes amenazas en el segmento de la
ciberseguridad. Este ataque afectó a empresas y organismos en 150 países. Es un
ransomware que secuestra información y luego pide rescate.
Sin lugar a dudas, el del ransomware WannaCry ha sido uno de los peores ataques
hacker de la historia y el más importante de la época actual, cuyas pérdidas, alcance y
repercusiones han supuesto un antes y un después en el mundo de la ciberseguridad.
WannaCry se propagó y no solo consiguió paralizar miles de empresas de todo el mundo,
sino que también puso de manifiesto lo frágil que puede ser el sistema ante
determinados ataques.
El malware era capaz de secuestrar un ordenador encriptando todos sus archivos y
bloqueando el acceso del administrador y los demás usuarios. Para devolver el control del
equipo, como otros ransomware pedía el pago de un rescate. En el caso del ataque a la
empresa española Telefónica, el importe solicitado era de 276 euros.
WannaCry fue descrito como un "ataque sin precedentes" por la magnitud que tuvo: más
de 230 mil computadoras en 150 países fueron afectadas. Los países más
perjudicados fueron Rusia; Ucrania; India; Gran Bretaña, donde se vio comprometido el
servicio nacional de salud; España, por el ataque a Telefónica y Alemania, donde la
empresa ferroviaria alemana Deutsche Bahn AG fue el principal blanco.
Cómo ocurrió?
WannaCry se propagó agresivamente usando la vulnerabilidad de Windows EternalBlue, o
MS17-010. "EternalBlue es un error crítico en el código de Windows de Microsoft que es al
menos tan viejo como Windows XP. La vulnerabilidad permite a los atacantes
ejecutar código de forma remota creando una solicitud para el servicio de Compartir
archivos e impresoras de Windows", explica Ondrej Vlcek, CTO de Avast, una empresa que
ofrece soluciones de seguridad informática.
Una vez que el sistema ingresa en una computadora, escanea la red y busca otras
direcciones IP de manera aleatoria. Cuando encuentra otro equipo vulnerable, ingresa y así
se comienza a expandir.
"Los informes indican que fue descubierto por la NSA, que le dio el nombre de EternalBlue,
lo mantuvo en secreto, y luego creó una herramienta de puerta trasera para explotarlo. Un
grupo de hackers llamado Shadow Brokers lanzó públicamente el exploit un mes antes del
brote de WannaCry", señala Vlcek.
Como se mencionó anteriormente, Microsoft había lanzado un parche para EternalBlue dos
meses antes de la propagación de WannaCry pero millones de usuarios omitieron actualizar
el sistema y por eso quedaron vulnerables ante el ataque. Incluso en la actualidad hay
usuarios que no instalaron ese parche.
Aparte de WannaCry, otras cepas de ransomware, como NotPetya, han utilizado la
vulnerabilidad EternalBlue, detalla Vlcek. El exploit que activó ese brote sigue circulando e
incluso ha tenido nuevos picos de popularidad en el último tiempo, según informa Eset.
Pero Espitia defiende la actuación de la compañía. El hacker de ElevenPaths explica que era
un malware que se comparte por la red, pero en los primeros instantes no teníamos la
certeza de los mecanismos de difusión.
Había mucha tergiversación de información, no teníamos muestras y tocaba empezar a
controlar de varias formas la propagación. Se toman las medidas en todos nuestros centros
de operación. Cuando podemos encontrar los mecanismos de propagación y la estructura
de cómo validarlo, nuestra mesa de crisis empieza a levantar operaciones dependiendo de
su nivel de riesgo y mandando a cada una de las operaciones el qué hacer. Dentro de eso
está mandar a revisar máquinas, confirmar parches y validar, recuerda.
Telefónica y el mundo, a contrarreloj
La carrera continuaba. El director de GoNet reconoce que a partir de la detección de un
ataque de esta naturaleza, su análisis hasta la reacción puede pasar entre 3 y 4 horas, un
tiempo crítico si se considera que en la primera hora del ataque WannaCry se infectaron
alrededor de 7.000 equipos alrededor del mundo.
Después del análisis de las muestras y las investigaciones se descubrió que el vector de
ataque en Telefónica fue a través de correos electrónicos provenientes de un ataque de
spam, informó Chema Alonso en su blog, y la vía de propagación era una vulnerabilidad que
Microsoft había parchado en marzo.
Gina Marie Hatheway, directora del grupo de Ciberseguridad Empresarial en Microsoft
Latinoamérica, dijo que las empresas deben poner como prioridad la actualización y la
aplicación de los parches de seguridad en sus sistemas. Esto quedó evidenciado con el
ataque de WannaCry alrededor del mundo, pero ¿esto realmente fue el motivo por el que
Telefónica fue afectada por el ataque?
Muchos de los parches que se distribuyen automáticamente dependen del reinicio de la
máquina y no todos los usuarios reinician la máquina. Por eso se toman medidas de mandar
a apagar máquinas o desconectar redes y poder controlar, dependiendo del nivel del ataque,
dice.
Muchas veces el parche tenía problemas, y fue algo que reconoció Microsoft, tanto, que el
domingo posterior al ataque saca la nueva versión de los parches. El parche tenía problemas,
no en todas las máquinas se instalaba y era reconocido como malware, agrega.
Si bien esto no sirvió para ayudar a las máquinas que habían sido infectadas, permitió
detener la expansión de este ciberataque y tomar medidas defensivas. Una de ellas fue la
actualización de Windows con el parche que la empresa lanzó en marzo de 2017, dos meses
antes del ataque pero que muchos usuarios aún no habían llegado a instalar.