Inicio » Ciberseguridad » WannaCry: ¿el mayor ciberataque de la historia?

WannaCry: ¿el mayor ciberataque de la historia?

WannaCry, mayor ciberataque de la historia, ciberseguridad, seguridad

Mucho se ha hablado durante semanas del ya famoso “WannaCry”, el malware (programa malicioso) responsable de uno de los incidentes más mediáticos de los últimos tiempos en materia de ciberseguridad, que pasará a los anales de la historia como el mayor ciberataque que la sociedad ha vivido a escala mundial. Ahora, un nuevo ciberataque masivo afecta a empresas en todo el mundo.

Si bien es cierto que en los últimos años estamos ya acostumbrados a ver asiduamente en medios de comunicación, ya no sólo técnicos, sino también generalistas, noticias acerca de diferentes tipos de ataques que se producen en lo que llamamos el ciberespacio, lo que ha sucedido en estos últimos días ha superado con creces todo lo vivido hasta la fecha.

¿El mayor ciberataque de la historia?

Curiosamente, a finales del pasado 2016 ya fuimos testigos de lo que en aquel momento los medios bautizaron como el mayor ciberataque conocido hasta la historia. Un incidente radicalmente diferente a éste, englobado dentro de lo que se conoce como los ataques de denegación de servicio. Como muchos podrán imaginar, ni todos los ataques son iguales ni persiguen el mismo objetivo, ni las técnicas que utilizan para comprometer los sistemas son las mismas. En aquella ocasión, los servicios de proveedores tan relevantes como Twitter, Spotify, Amazon o Netflix quedaron indisponibles durante cerca de 4 horas para sus usuarios, a causa de un ataque que consiguió batir el récord de tráfico inyectado (1.2 Terabytes por segundo) sobre la infraestructura del proveedor DYN, donde estas empresas tenían alojado sus servidores DNS.

Ciberataque masivo en redes sociales

Debido a este récord y a la entidad de los servicios afectados, se habló durante uno o dos días del ciberataque más grande de la historia, pero ni por asomo tuvo la misma repercusión que estos días ha generado WannaCry, también por otra parte porque como comentamos, se trata de incidentes de diferente motivación, calibre y tipología.

El impacto mediático que “el ciberataque mundial” ha tenido en la sociedad carece de precedente alguno. Durante unos días no se ha hablaba de otra cosa. La noticia copó las portadas de todos los medios de comunicación a nivel mundial, que realizaron un seguimiento exhaustivo tanto de la evolución en número de infecciones como de la información que se iba recabando con el paso de los días a medida que avanzaba la investigación acerca de WannaCry.

Pese a que es probablemente a estas alturas todo el mundo haya leído algo acerca del incidente, recordemos los hechos iniciales. Todo comenzó el viernes 12 de Mayo, poco antes del mediodía. A esa hora, ninguno de los que trabajamos en este apasionante y cada vez más popular sector de la ciberseguridad, imaginábamos que se trataría de un viernes más largo de lo habitual. Particularmente los que como yo, tenemos el privilegio de colaborar e intervenir en medios de comunicación, viviríamos aquel día una jornada frenética e inusual, que no dejó de ser igual de intensa durante los días subsiguientes.

LEE  ¿Somos conscientes de los peligros en entornos cloud?

ataque Telefónica

 

De un instante a otro, casi de manera concurrente, publicaciones en medios online y redes sociales, así como mensajes en listas de correo, grupos de Telegram, y Whatsapp se sucedían comentando al unísono la primera noticia al respecto: Telefónica había sido víctima de un ciberataque y ordenado a sus trabajadores a apagar sus equipos de manera inmediata a través de un mensaje en la Intranet y de los servicios de megafonía en sus instalaciones. En aquellos instantes iniciales de desconocimiento desde la distancia, estos últimos tintes de dramatismo, más propios de una película de Hollywood que de la realidad de una organización de tal entidad, eran ilustrativos de la gravedad de la situación.

Poco a poco comenzaron a conocerse detalles. Se trataba de un ataque por “ransomware”, un concepto que no es nuevo para los que trabajamos en ciberseguridad, pero que tampoco debería serlo para la gran masa social. Pese a que el 12M haya contribuido a que la población general incorpore para la eternidad ahora este término en su vocabulario, son muchos los usuarios y organizaciones de todos los tamaños que han sido víctimas de ataques de este tipo durante los dos últimos 2 o 3 años. Tradicionalmente a raíz de correos electrónicos que tras suplantar la identidad de la Agencia Tributaria enviando a los usuarios el supuesto borrador de la declaración, o la de Endesa enviándoles la última factura, infectaba sus equipos con “CryptoLocker”, “TorrentLocker”, “Locky” u otras variantes de estos ransomware que si bien son bastante populares, ni por asomo llegarán a nombrarse tanto como WannaCry.

Wannacry ataque mundial

Cuando la información es secuestrada

Una vez que un equipo es infectado con un ransomware, la información contenida en él es secuestrada. Los ficheros se cifran con una contraseña que sólo conocen los ciberdelincuentes. Para acceder a dicha contraseña, al igual que en los secuestros físicos, es necesario pagar un rescate económico. De ahí el nombre de “ransom”, que significa rescate en inglés. Pese a que en las primeras versiones de hace unos años se podía pensar en desinfectar el equipo y recuperar la información, a día de hoy, esto no es plausible puesto que este tipo de ataques han evolucionado mucho. En la práctica, para todos aquellos usuarios y organizaciones que no dispongan de sus copias de seguridad, o las tengan mal gestionadas (cosa que es muy habitual), en muchos casos no les queda más remedio que acceder al chantaje económico en aras de recuperar uno de sus activos más básicos y valiosos: la información. En eso se basa el vector de ataque utilizado por los ciberdelincuentes.

Volviendo a los instantes iniciales del 12M , al cabo de unos minutos, comenzaba a circular tanto información verídica como falsos rumores sobre otras importantes compañías españolas afectadas. Cundía el pánico y se sembraba el caos. En todas las empresas dedicadas a la ciberseguridad se pedía cautela y máxima implicación para lo que pudiera pasar con los clientes. Era inevitable el símil con el famoso “Five/Nine Hack” que conmocionó al mundo en “Mr. Robot”, la popular serie americana sobre hackers que ha batido récords de audiencia a nivel mundial y enganchado a millones de espectadores.

Ataques que afectan a las grandes compañías de todo el mundo

Pasadas unas horas, pudo comprobarse de que se trataba de un ataque que había afectado no sólo a Telefónica y otras importantes empresas españolas, sino también el servicio sanitario de Reino Unido, Fedex así como otras compañías de entidad. El número de infecciones se iba incrementando exponencialmente con el paso de los minutos, así como el de países afectados, que a día de hoy asciende 150. Una auténtica masacre.

LEE  La ciberseguridad: sector que no descansa ni en verano

mapa ciberataques

La pregunta era evidente. ¿Cómo había podido pasar? ¿Qué había sucedido para que organizaciones tan importantes que dedican tantos recursos económicos a la ciberseguridad, (algunas incluso ofrecen servicios en dicho sector), fueran comprometidas de este modo? ¿Qué tenía de diferente este ataque?

Tras los primeros análisis realizados por la comunidad investigadora se encontró la respuesta: el vector de propagación. Se trataba de un malware que se aprovechaba de una vulnerabilidad crítica reciente identificada en sistemas Microsoft, numerada como MS17-010, utilizando un “exploit” (se llama así al programa que explota una vulnerabilidad) que pertenecía a la todopoderosa NSA, acuñado con el nombre “EternalBlue”. Este exploit fue liberado hace un tiempo por un grupo de “hacktivistas” llamado “Shadow Brokers”, que adquirieron bastante fama por afirmar que habían comprometido seguridad de la Agencia americana y lo demostraron mediante la publicación de algunas de sus herramientas de espionaje el pasado mes de Abril.

El uso del exploit de la NSA en el ransomware

El uso del exploit de la NSA en el ransomware que ha colapsado el mundo constituye una muestra significativa del potencial que presenta el arsenal de herramientas de espionaje de la NSA. De hecho, a raíz del revuelo mediático generado a nivel mundial, el grupo Shadow Brokers volvió a asomar la cabeza para anunciar que ponía a la venta una suscripción para poder acceder al resto de exploits y herramientas secretas que en su día sustrajeron de la Agencia. De película.

Los parches como medidas para prevenir ataques

Por otra parte, es necesario recordar que la vulnerabilidad explotada por EternalBlue en el popular ransomware WannaCry era conocida y que Microsoft publicó un parche para corregirla, que habría protegido a muchos de los equipos infectados. De hecho, los equipos que tenían dicho parche instalado no han sucumbido al ciberataque mundial. Muchos podrán pensar que sorprende enormemente la cantidad de equipos que han sido vulnerados pertenecientes a grandes organizaciones como las ya nombradas, que por tanto no habían instalado el parche en cuestión. Esto sucede precisamente porque en organizaciones de una considerable entidad, a pesar de que se cuente con recursos, políticas y directrices para gestionar el parcheo de vulnerabilidades entre otros temas, este tipo de actualizaciones se llevan a cabo de manera planificada y con especial atención, ya que cualquier problema en la actualización podría afectar a otros aplicativos o sistemas corporativos.

En cualquier caso, no deja de ser sorprendente la tasa de éxito que WannaCry ha tenido a la hora de penetrar los sistemas de empresas punteras en tantos países, convirtiéndose de lejos en el ciberataque más comentando por el público general a escala mundial. Es muy probable, que quien/es esté/n detrás de la autoría de este ransomware no imaginara/n ni de lejos el escenario que se ha generado tras la jornada del ya histórico 12M.

De hecho, según algunos investigadores que han dedicado un rato a intentar destripar el ransomware mediante ingeniería inversa, se trata de un programa mal diseñado, que contiene algunos bugs y que evidencia carencias en lo que a la estética y elegancia del código se refiere. Uno de dichos bugs fue el que permitió a un joven investigador detener la propagación del malware el primer día mediante el registro del dominio. Otro de los errores encontrados evidencia que en las primeras versiones del ransomware que se lanzó el pasado viernes, incluso aunque las víctimas hubiesen pagado el rescate, los ciberdelincuentes no habrían podido identificarlos y por tanto jamás habrían recuperado su información. Es curioso que aun siendo una chapuza según los que lo han analizado, haya conseguido poner en jaque a medio mundo.

LEE  La 'cara B' del Internet de las Cosas: los riesgos de ciberseguridad

Detectar la procedencia de los ciberdelicuentes

Como siempre suceder en estos momentos, ahora se intenta identificar la procedencia del ciberataque. Algunos apuntaban hace unas semanas a Corea del Norte por relacionar el código con el visto en otros ataques previos, pero de momento no ha habido más que meras especulaciones.

Lo que es cierto es que si hasta ahora este tipo de incidentes sí que podrían ser esperados por los que nos dedicamos a este mundo, da la sensación de que para muchos ciudadanos de a pie habrá un antes y después de WannaCry.

Se podría seguir hablando largo y tendido del tema. Probablemente seguirán corriendo ríos de tinta. Pero por sintetizar,hemos de pensar que todos somos susceptibles de ser atacados y comprometidos en alguna ocasión. Trabajemos en esto o no, nos dediquemos al hacking y a la ciberseguridad o no, tanto si estamos preparados como si no. Es evidente que cuanto más preparados estemos, mejor será nuestra respuesta ante el incidente. Pero los incidentes se van a producir, sí o sí. Y hemos de estar listos. WannaCry no es un incidente aislado. Los ciberdelincuentes seguirán intentando hacer de las suyas, y aún nos queda mucho por ver. Así que toca reponerse, aprender de lo sucedido, y seguir trabajando duro para lograr entre todos, que haya cuantos menos 12M mejor.

Happy Hacking 😉

 

Deepak Daswani, Security Architect. Deloitte, S.L.Deepak Daswani (@dipudaswani)

Ingeniero en Informática. Experto en Ciberseguridad Deloitte CyberSOC Academy. Conferenciante y colaborador de medios de comunicación

 

 

Formación Relacionada

Las dos pestañas siguientes cambian el contenido a continuación.
Equipo de profesionales formado esencialmente por profesores y colaboradores con amplia experiencia en las distintas áreas de negocio del mundo empresarial y del mundo académico. IMF Smart Education ofrece una exclusiva oferta de postgrados en tecnología en colaboración con empresa como Deloitte, Indra o EY (masters en Big Data, Ciberseguridad, Sistemas, Deep Learning, IoT) y un máster que permite acceder a la certificación PMP/PMI. Para ello IMF cuenta con acuerdos con universidades como Nebrija, la Universidad de Alcalá y la Universidad Católica de Ávila así como con un selecto grupo de universidades de Latinoamérica.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Noticias, eventos y formación!

Suscríbete ahora y recibe los mejores contenidos sobre Negocios, Prevención, Marketing, Energías Renovables, Tecnología, Logística y Recursos Humanos.

Acepto recibir comunicaciones comerciales por parte del grupo IMF
He leído y acepto las condiciones


WannaCry: ¿el mayor ciberataque de la historia? • IMF Business School

A finales del pasado 2016 ya fuimos testigos del llamado "mayor ciberataque conocido hasta la historia". WannaCry le ha superado.