Cómo surgió y se propagó WannaCry, uno de los ciberataques

más grandes de la historia

Un ransomware (del inglés ransom,

«rescate», y ware, acortamiento de software)
o "secuestro de datos" en español, es un tipo
de programa dañino que restringe el acceso
a determinadas partes o archivos del sistema
operativo infectado, y pide un rescate a
cambio de quitar esta restricción. Algunos
tipos de ransomware cifran los archivos del
sistema operativo inutilizando el dispositivo y
coaccionando al usuario a pagar el rescate.
Se han propuesto algunas alternativas en
español al término en inglés, como programa
de secuestro, secuestrador, programa de
chantaje o chantajista.

Aunque los ataques se han hecho populares desde mediados de la década del 2010, el primer ataque
conocido fue realizado a finales de los 80 por el Dr. Joseph Popp. Su uso creció internacionalmente
en junio del 2013. La empresa McAfee señaló en 2013 que solamente en el primer trimestre había
detectado más de 250 000 tipos de ransomware únicos.

Por: Julio Sánchez Onofre – El Economista (México, 03 de junio de 2017)

Aquella mañana del 12 de mayo de 2017 nos despertábamos con la noticia de un
ciberataque a Telefónica, empresa multinacional española de telecomunicaciones con sede
central en Madrid, España, estando situada como la compañía de telecomunicaciones más
importante de Europa y la quinta a nivel mundial. Aquel suceso era en realidad parte de un
ciberataque masivo realizado con un ransomware llamado WannaCry.

Ha pasado tiempo de aquello, y durante todo este tiempo hemos visto cómo los ataques de
ransomware se convirtieron en una de las grandes amenazas en el segmento de la
ciberseguridad. Este ataque afectó a empresas y organismos en 150 países. Es un
ransomware que secuestra información y luego pide rescate.

Sin lugar a dudas, el del ransomware WannaCry ha sido uno de los peores ataques
hacker de la historia y el más importante de la época actual, cuyas pérdidas, alcance y
repercusiones han supuesto un antes y un después en el mundo de la ciberseguridad.
WannaCry se propagó y no solo consiguió paralizar miles de empresas de todo el mundo,
sino que también puso de manifiesto lo frágil que puede ser el sistema ante
determinados ataques.
El malware era capaz de secuestrar un ordenador encriptando todos sus archivos y
bloqueando el acceso del administrador y los demás usuarios. Para devolver el control del
equipo, como otros ransomware pedía el pago de un rescate. En el caso del ataque a la
empresa española Telefónica, el importe solicitado era de 276 euros.

WannaCry fue descrito como un "ataque sin precedentes" por la magnitud que tuvo: más
de 230 mil computadoras en 150 países fueron afectadas. Los países más
perjudicados fueron Rusia; Ucrania; India; Gran Bretaña, donde se vio comprometido el
servicio nacional de salud; España, por el ataque a Telefónica y Alemania, donde la
empresa ferroviaria alemana Deutsche Bahn AG fue el principal blanco.

Cómo ocurrió?
WannaCry se propagó agresivamente usando la vulnerabilidad de Windows EternalBlue, o
MS17-010. "EternalBlue es un error crítico en el código de Windows de Microsoft que es al
menos tan viejo como Windows XP. La vulnerabilidad permite a los atacantes
ejecutar código de forma remota creando una solicitud para el servicio de Compartir
archivos e impresoras de Windows", explica Ondrej Vlcek, CTO de Avast, una empresa que
ofrece soluciones de seguridad informática.
Una vez que el sistema ingresa en una computadora, escanea la red y busca otras
direcciones IP de manera aleatoria. Cuando encuentra otro equipo vulnerable, ingresa y así
se comienza a expandir.
"Los informes indican que fue descubierto por la NSA, que le dio el nombre de EternalBlue,
lo mantuvo en secreto, y luego creó una herramienta de puerta trasera para explotarlo. Un
grupo de hackers llamado Shadow Brokers lanzó públicamente el exploit un mes antes del
brote de WannaCry", señala Vlcek.
Como se mencionó anteriormente, Microsoft había lanzado un parche para EternalBlue dos
meses antes de la propagación de WannaCry pero millones de usuarios omitieron actualizar
el sistema y por eso quedaron vulnerables ante el ataque. Incluso en la actualidad hay
usuarios que no instalaron ese parche.
Aparte de WannaCry, otras cepas de ransomware, como NotPetya, han utilizado la
vulnerabilidad EternalBlue, detalla Vlcek. El exploit que activó ese brote sigue circulando e
incluso ha tenido nuevos picos de popularidad en el último tiempo, según informa Eset.

¿Cuál era la particularidad de este ataque cibernético que obligó a la empresa de

telecomunicaciones más grande de España a forzar un apagón corporativo?
Alrededor de las 2:00 horas del viernes 12 de mayo, Miguel Ángel Rojo, director ejecutivo
de la firma de ciberseguridad GoNet, recibió una llamada telefónica de su equipo que opera
desde España con un mensaje que le quitaría el sueño: Se viene un tsunami". Al mismo
tiempo era la media mañana en Madrid. Los 12.000 trabajadores en la sede principal de la
operadora de telecomunicaciones Telefónica recibían un correo electrónico: URGENTE:
APAGA TU ORDENADOR YA.

Era un aviso de la Dirección de Seguridad de la compañía en la que informaba sobre el

ingreso de un malware a la red corporativa que afectaba a los datos y ficheros de las
computadoras. Por favor, avisa a todos tus compañeros de la situación. Apaga el
ordenador y ya no vuelvas a encenderlo hasta nuevo aviso.
La viralidad y rapidez de la propagación a escala internacional era motivo suficiente para
aplicar estas medidas extremas, explica Diego Samuel Espitia, embajador líder de Seguridad
de la firma ElevenPaths, la división de ciberseguridad de Telefónica. Y es que la infección
de un solo equipo puede llegar a comprometer a toda la red corporativa, secuestrando la
información de las máquinas afectadas.
Un incidente como el de WannaCry es un incidente que tiene un nivel de riesgo alto porque
vas a perder información y con una frecuencia de desplazamiento del malware muy alto
porque era un gusano totalmente automatizado. Debido a eso, se toman medidas acordes
a ese riesgo. ¿Qué son acordes a ese riesgo? Poder cortar la cabeza del gusano lo más
pronto posible.
Horas después del ataque, luego de que los medios habían ya reportado el ciberataque, el
hacker Chema Alonso, director de ElevenPaths, dijo en su cuenta de Twitter que la seguridad
interna de Telefónica no es una de mis responsabilidades directas. Pero todos somos parte
de la seguridad. No todos coinciden en que esa fue la mejor respuesta ante el incidente.
A tres semanas del ataque que afectó miles de computadoras de Telefónica, el especialista
opina que la comunicación a través de altavoces propició el pánico, mientras que el apagón
corporativo es un lujo que no se pueden dar las empresas: no se trata de tirar de los cables
al final; hay una parte de prevención, hay otra parte de acción rápida y otra parte de
remediación y se debe tener completamente ubicada.

Pero Espitia defiende la actuación de la compañía. El hacker de ElevenPaths explica que era
un malware que se comparte por la red, pero en los primeros instantes no teníamos la
certeza de los mecanismos de difusión.
Había mucha tergiversación de información, no teníamos muestras y tocaba empezar a
controlar de varias formas la propagación. Se toman las medidas en todos nuestros centros
de operación. Cuando podemos encontrar los mecanismos de propagación y la estructura
de cómo validarlo, nuestra mesa de crisis empieza a levantar operaciones dependiendo de
su nivel de riesgo y mandando a cada una de las operaciones el qué hacer. Dentro de eso
está mandar a revisar máquinas, confirmar parches y validar, recuerda.
Telefónica y el mundo, a contrarreloj
La carrera continuaba. El director de GoNet reconoce que a partir de la detección de un
ataque de esta naturaleza, su análisis hasta la reacción puede pasar entre 3 y 4 horas, un
tiempo crítico si se considera que en la primera hora del ataque WannaCry se infectaron
alrededor de 7.000 equipos alrededor del mundo.
Después del análisis de las muestras y las investigaciones se descubrió que el vector de
ataque en Telefónica fue a través de correos electrónicos provenientes de un ataque de
spam, informó Chema Alonso en su blog, y la vía de propagación era una vulnerabilidad que
Microsoft había parchado en marzo.
Gina Marie Hatheway, directora del grupo de Ciberseguridad Empresarial en Microsoft
Latinoamérica, dijo que las empresas deben poner como prioridad la actualización y la
aplicación de los parches de seguridad en sus sistemas. Esto quedó evidenciado con el
ataque de WannaCry alrededor del mundo, pero ¿esto realmente fue el motivo por el que
Telefónica fue afectada por el ataque?
Muchos de los parches que se distribuyen automáticamente dependen del reinicio de la
máquina y no todos los usuarios reinician la máquina. Por eso se toman medidas de mandar
a apagar máquinas o desconectar redes y poder controlar, dependiendo del nivel del ataque,
dice.
Muchas veces el parche tenía problemas, y fue algo que reconoció Microsoft, tanto, que el
domingo posterior al ataque saca la nueva versión de los parches. El parche tenía problemas,
no en todas las máquinas se instalaba y era reconocido como malware, agrega.

Telefónica fue la primera empresa que divulgó el ataque y lo comunicó al Centro

Criptográfico Nacional que conforma el Equipo de Respuesta ante Emergencias Informáticas
(CERT) de España. Esta comunicación atrajo la atención a nivel global e incluso puso en tela
de juicio la reputación de Chema Alonso y de la misma empresa. Pero ElevenPaths no
considera a Telefónica como el paciente cero. Espitia asegura que la primera infección pudo
suceder antes en Reino Unido, algo que aún no se ha confirmado.
Ya había pasado el mediodía en España cuando el CERT de aquel país publicó la alerta de
WannaCry, sus mecanismos de infección así como los protocolos a seguir para evitar el
ataque. Pero esta diferencia de horario entre Europa y América fue un punto a favor de
Telefónica pues ya existía un plan de contingencia antes de que se iniciaran operaciones en
América Latina.
A las 6 de la mañana, hora de inicio de labores en oficinas de telefónica en Latinoamérica,
ya teníamos la orden de control restrictivo de uso de dispositivos y de control de las redes
porque se vio que el gusano tenía un nivel de propagación muy alto. El tiempo de respuesta
va acorde a poder validar el incidente y entre más muestras, más oportunas las medidas.
Como este fue un malware que se disparó muy rápido, fueron 7.000 máquinas afectadas en
la primera hora en el mundo, no teníamos la capacidad de poder analizar todas las muestras
mientras se propagaba por eso había que entrar a contener de una vez , recuerda Espitia.
El Economista buscó al personal de sede de la empresa en México pero las fuentes
respondieron el lunes, confirmando que no tuvieron acceso a los sistemas corporativos,
como medida precautoria. Esto ayudó a que la amenaza no se esparciera a las oficinas de
Latinoamérica, aunque sí se registraron incidentes aislados en la región, ninguno en México,
dice el investigador de ElevenPaths.
El experto explica que la separación de las redes corporativas de aquéllas que atienden a
clientes y proveen servicios fue clave para que no se esparciera este ataque a los clientes
de la operadora. Pero la parálisis de una empresa con 347 millones de clientes a nivel
mundial no es un lujo que Telefónica estuviera dispuesta a darse por largo tiempo.

El ransomware y otros ciberataques en números

Si bien el año pasado el número de familias de ransomware disminuyó, se incrementó el
número de variantes en un 46%. Esto indica que los cibercriminales están menos
innovadores pero siguen siendo muy productivos, según se concluye en el último informe
de Symantec.
A su vez, según el último reporte de ciberseguridad de Cisco, los ataques de
ransomware están creciendo a una tasa anual del 350%. Usualmente los
delincuentes piden rescates de entre USD 500 y 200 por usuario. Esto, sumado a las
pérdidas de dinero que ocasionan a los clientes, termina ocasionando pérdidas de miles de
millones de dólares.
Siempre se desaconseja pagar rescate. Por un lado, nada asegura que una vez que se haya
abonado el valor solicitado se recupere el acceso a los archivos en cuestión. Y por otra parte,
hay que desalentar estos delitos y si se siguen pagando, el negocio seguirá aumentado.
El phishing es otro de los ciberataques en alza. En estos casos se busca engañar al
usuario por medio de un mensaje o correo (spear phishing) que parece venir de una entidad
reconocida y se lo induce a que descargue un adjunto donde se le pide información personal;
o bien se le pide que ingrese en un determinado link que lo deriva a una página falsa donde
se le solicitará revele datos confidenciales. Según Symantec, en 2017, el 71% de los ataques
dirigidos se iniciaron con spear phishing.
Los ataques de cryptojacking aumentaron en un 8.500% durante el año
pasado, a raíz de la explosión de popularidad de las monedas digitales. El cryptojacking
implica hacer uso de la capacidad de procesamiento de un equipo, sin que el usuario lo
sepa, para minar criptomonedas.
El final de WannaCry
Los ciberatacantes recolectaron más de 140.000 dólares en bitcoin. WannaCry no se siguió
expandiendo gracias a un héroe circunstancial que encontró la manera de detenerlo.
Se trata de Marcus Hutchins, también conocido por su alias Malware Tech, quien
encontró un "botón de apagado" que estaba en el código del malware. Hutchins pudo
evitar la propagación de WannaCry registrando un nombre de dominio al que,
aparentemente el gusano tenía que conectarse para lograr "capturar" (cifrar) los archivos
de las máquinas que infectaba. En la actualidad Hutchins está acusado de haber
creado el malware Kronos en 2014 y luego haberlo vendido en el mercado negro. El
investigador informático se declaró inocente y aguarda que llegue la fecha del juicio en Los
Ángeles, donde reside actualmente.

Si bien esto no sirvió para ayudar a las máquinas que habían sido infectadas, permitió
detener la expansión de este ciberataque y tomar medidas defensivas. Una de ellas fue la
actualización de Windows con el parche que la empresa lanzó en marzo de 2017, dos meses
antes del ataque pero que muchos usuarios aún no habían llegado a instalar.

Las lecciones que dejó WannaCry

Leonardo Carissimi, director de Soluciones de Seguridad de Unisys en Latinoamérica,
compartió algunas lecciones que quedaron luego de este incidente:
1. Este tipo de incidentes impacta financieramente en los negocios tanto por los
pagos de rescate que se efectúan así como por el costo que implica desconectar equipos y
dejar de estar operativo hasta que se resuelve el problema.
2. La prevención es fundamental y comienza con pequeñas cosas. Un trabajo de Gestión
de Patchs, complementado con Gestión de Vulnerabilidades habría evitado este
inconveniente.
3. Realizar copias de seguridad con frecuencia es fundamental
4. La utilización de herramientas para la microsegmentación reduce los
estragos. Al aislar sistemas por microsegmentos, el movimiento lateral realizado por el
malware se contiene, y no contamina una gran cantidad de equipos en red. Se sugiere optar
por la microsegmentación por software, enfocándose inicialmente en sistemas más críticos.
Eso permitirá la adopción rápida, sin impacto en la arquitectura de la red y con reducción
de costos. A mediano y largo plazo, la técnica aumentará la seguridad y permitirá la
simplificación de la red al reducir la complejidad de firewalls internos y segmentación vía
VLAN.
5. Prepararse para el malware nuevo requiere de un Centro de Operaciones de
Seguridad (SOC, por sus siglas en inglés) más inteligente, que identifique
comportamientos anómalos incluso cuando se presente un ataque nuevo con firma
desconocida. En el caso de WannaCry, la comunicación mediante la puerta de SMB, el
comportamiento de moverse lateralmente dentro de la red, y la dirección de su "maestro"
que intenta contactar, son indicios típicos de que algo extraño está sucediendo y que
permitirán a un SOC inteligente detectar la nueva amenaza a tiempo.
6. Una vez detectada la nueva amenaza, se requiere de una rápida respuesta. Las
respuestas automáticas o manuales podrían bloquear el tráfico sospechoso y eliminar de la
red a los equipos contaminados. La utilización de una Arquitectura de Seguridad Adaptable
es recomendada para responder de modo dinámico, cambiando la arquitectura de subredes
a la medida en que las contaminaciones sean identificadas. Un ejemplo es colocar en
cuarentena los equipos contaminados y evitar que los mismos contaminen a otros.