Antivirus
¿Cómo actúa Wanna Cry?
Este virus ha afectado hoy a varias compañías españolas
Este virus ha afectado hoy a varias compañías españolas
Ayer, a media mañana, decenas de empleados de Telefónica veían aparecer en sus ordenadores un mensaje en el que se aseguraba que debían depositar 300 bitcoins (poco más de medio millón de euros) en una determinada cuenta antes del 15 de mayo. De lo contrario, el 19 del mismo mes se borrarían todos los archivos a los que se tuvo acceso. El ataque, que no afectó a los usuarios de la red, obligó a los empleados a abandonar su puesto de trabajo y se les pidió que desconectaran sus teléfonos móviles de la red wifi de la empresa.
Si bien Chema Alonso, (Chief Digital Officer de Telefónica) aseguraba en un tweet que el ataque no había sido tan importante, el CNI, a través del CCN (Centro Criptológico Nacional), emitió un comunicado en el que se habla de «ataque masivo» que ha cifrado «todos los archivos y los de unidades de red a las que estén conectadas, e infectando al resto de sistemas Windows que haya en esa misma red». En el comunicado se habla del probable causante: «El ransomware, una versión de WanaCry, infecta la máquina cifrando todos sus archivos y, utilizando una vulnerabilidad de ejecución de comandos remota».
Un ransomware es un tipo de programa informático malintencionado, malware, hablando mal y pronto, cuyo nombre proviene de la palabra rescate (ransom en inglés) y ware, abreviación de software. Su «habilidad» es que impide el acceso a determinados archivos en el ordenador, primero encriptándolos y luego cambiando su extensión de, por ejemplo: Mapas.doc a Mapas.wanacry. Y se controla de forma remota. Contagiarse es, sin embargo, muy sencillo. El vehículo de infección más común es el correo electrónico. Según la empresa especializada en ciberseguridad Osterman Research, uno de cada tres víctimas se deben a abrir un enlace en un correo electrónico, un 28% por abrir un archivo adjunto y un cuarto de los infectados contraen el virus al visitar una página de poca seguridad.
El escenario es muy simple y basta apenas una dirección de correo. Si algún empleado compra algo por internet y en lugar de utilizar un correo personal recurre al de la compañía, al abrir un mensaje de respuesta, ya deja la puerta abierta. Y si luego envía otros mensajes desde esa misma cuenta a otros correos de la empresa, las puertas comienzan a abrirse y el control sobre la epidemia se pierde. El mayor problema es que estos virus se detectan cuando se pide el rescate, pero hasta que eso ocurra pueden estar activos, saltando de un ordenador a otro y secuestrando información hasta que consideran que ya tienen suficiente. Sólo en ese momento, avisan de su presencia. El uso de pen-drives, discos duros externos y hasta conectar el móvil directo al ordenador (para descargase música o cargar la batería) puede ser suficiente para darle vida al «ransomware».
Pero no cualquiera se contagia, hay que tener una debilidad que es la que aprovecha el «ransomware». Y en este caso se trata de un fallo en el sistema operativo de Microsoft, que ya el 14 de marzo avisó del mismo y creó un parche para resolverlo. El problema es que las grandes instituciones y empresas no actualizan a menudo sus ordenadores. Solo en Telefónica trabajan miles de personas y actualizar cada ordenador sería una tarea titánica que requiere horas de pausa laboral. Lo recomendable, en cuanto a prevención, es realizar copias de seguridad habitualmente (al menos cada tres días), así como no abrir archivos o correos de procedencia desconocida.
Y, pese a todo ello, es muy probable que en algún momento seamos víctimas de un ataque por «ransomware». Solo el año pasado, según datos de Proofpoint, hubo un incremento del 600% en la variedad de estos virus, que en el mismo período multiplicaron por 4 sus ataques a dispositivos Android. En 2014, los especialistas de SonicWall, informan de que hubo 3,2 millones intentos de ataques con ransomware. Un año después la cifra aumentó apenas un 20%, pero en 2016 se registraron 638 millones. Si bien es cierto que muy pocos de ellos tienen éxito (hasta el año pasado unos 50.000 al mes), la falta de medidas preventivas en la vida diaria nos hacen un blanco fácil. ¿Por qué solo en España entonces? Pues no, no solo ocurrió en nuestro país. El Servicio Nacional de Sanidad del Reino Unido (NHS) ha confirmado, a la misma hora que ocurría el ataque a Telefónica, que 25 de sus instituciones se vieron afectadas por un ataque efectuado también con WanaCry. A todas ellas les sucedió exactamente lo mismo y el rescate pedido es idéntico: 300 bitcoins. El NHS no tiene evidencia de que la información de los pacientes haya sido comprometida, pero los médicos de los hospitales y centros afectados señalaban que no podían hacer su trabajo pues no podían acceder al historial médico de los enfermos.
Uno de los mayores expertos a nivel mundial en «ransomware» es Jakub Kroustek, director del área de «malware» de Avast (el antivirus gratuito más utilizado en el mundo: 40% del mercado de antivirus fuera de China y 400 millones de usuarios). En un post publicado ayer mismo, Kroustek aseguraba que en febrero de este año habían detectado la primera versión de WanaCry y ahora, tres meses después, ya estaba disponible en 28 idiomas (desde el inglés, al francés, el búlgaro o el vietnamita). Kroustek también especula acerca de quién o quiénes pueden estar detrás de estos ataques. Aparentemente, un grupo de hackers llamado ShadowBrokers habrían robado las herramientas de ataque del EquationGroup (otro grupo de hackers, pero uno al que Kaspersky Labs describe como el «más avanzado que han visto» y con vínculos con la Agencia Nacional de Seguridad de Estados Unidos) y luego habrían liberado dichas herramientas y las instrucciones de uso en la red para que cualquiera pueda servirse de ellas.
✕
Accede a tu cuenta para comentar