Desde hace varios años hemos estado hablando de temas de propagación de malware, virus, troyanos, robos de información, de seguridad informática, de cómo proteger sus sistemas informáticos y de no usar sistemas operativos propietarios, por masivos que sean, los cuales no tienen un enfoque en la seguridad.
Los hechos recientes de la primera quincena de Mayo del 2017, sólo respaldan lo que hemos venido indicando desde hace bastante.
Habrá llegado la hora que las empresas y los usuarios, miren seriamente a sistemas operativos libres y/o seguros y dejar de usar sistemas comerciales que siguen con serios problemas de seguridad. Espero que si.
Unix, BSD y Linux son sistemas mucho más seguros, pero siempre requieren de personas capacitadas para que controlen y mantengan esa seguridad.
La maqnitud del ataque y del impacto mundial se indica en la gráfica siguiente:
Desde el pasado viernes 12 de mayo de 2017, un ransomware llamado WanaCrypt0r 2.0 o WannaCry ha infectado cientos de miles de computadores en más de 70 países, incluyendo los hospitales públicos del Reino Unido, el ministerio del interior Ruso, la red ferroviaria Alemana, la empresa de mensajería FedEx y Telefónica. Su táctica es cifrar los archivos del disco duro y pedir un rescate de US$300 o €300 para entregar la llave de desencriptación y poder disponer nuevamente de sus datos.
Del ataque, sabemos lo que sabemos; y el formidable David Sarabia se lo ha ido contando. Pero también hemos aprendido cosas. Aquí van siete.
El malware más peligroso del mundo no lo diseñan terroristas ni criminales, lo diseña el gobierno de los Estados Unidos. WannaCry, el malware que sigue expandiendose por el planeta, fue diseñado por la Agencia de Seguridad Nacional estadounidense, que depende del Departamento de Defensa y que, en estos momentos, está bajo las ordenes de Donald Trump. Y, después de crearlo, ni siquiera la agencia más poderosa, preparada y subvencionada del mundo occidental es capaz de mantenerlo bajo llave.
Dejando de lado su origen, la existencia misma de ese código es una amenaza para todos. Por eso existe una ley que obliga a las agencias de inteligencia a advertir a las empresas como Microsoft acerca del software que han agujereado. Porque, una vez creado el código, la única solución posible es hacerlo obsoleto. Tratar de contener un código que vale millones de dólares en una organización donde trabajan cientos de miles de personas es como tratar de contener agua con las manos. Da igual lo grandes que las tengas.
WCry o Wannacry se ha distribuido por correo. Al infectar un equipo, el ransomware escaneaba el resto de equipos de la red a los que estaba conectado el ordenador, propagando la infección. El malware ha aprovechado una vulnerabilidad de Windows, desde el 7 hasta el 10, pasando por Vista, XP, RT y Server (2008, 2012 y 2016). Entra a través de los puertos 137, 138 UDP y 139, 445 TCP. O lo que es lo mismo, a través del protocolo SMB (Server Message Block - Servidor de bloque de mensajes), que sirve para compartir archivos, equipos, impresoras y demás dispositivos en una red de área local (LAN). Este tipo de redes son las que usan todas las empresas para trabajar internamente.
Un investigador de ciberseguridad británico de 22 años ha sido nombrado por las redes sociales como el “héroe anónimo” que ha conseguido detener la amenaza de WCry. @Malwaretechblog en Twitter, con la ayuda de Darien Huss, de la firma Proofpoint, han encontrado un “botón rojo” en el ransomware que lo detiene. Esta línea de código fue incluida por el creador de WCry. Se trata de una dirección web no registrada a la que el malware realizaba una petición, una .com con letras y números muy larga, casi críptica, y que terminaba en “gwea.com”.
Si WCry o Wannacry no obtiene respuesta de esa web, se expande. Si se activa, se detiene. Por eso el investigador compró el dominio por unos 10 euros. Vi que no estaba registrado y pensé, ya lo tengo!, ha dicho el investigador de 22 años a The Daily Beast. Al comprar el dominio, comprobó que este registraba cientos de peticiones por segundo. Esto era WCry infectando cientos de ordenadores en todo el mundo.
La solución no fue descubierta por la Agencia Nacional de Seguridad estadounidense, sino por un aficionado al surf y a la ciberseguridad de 22 años que vive con sus padres en la costa británica. Aparentemente, la NSA esta tan centrada en diseñar herramientas de ataque que no tiene tiempo de preparar un plan de contingencia cuando se escapan de su laboratorio. El domingo 14 de Mayo del 2017, WannaCry se sigue propagando pero mucho más despacio. Y varios analistas han descubierto variantes del malware sin el recurso que ha encontrado el británico para detener su marcha. A ver qué pasa el lunes y los días siguientes.
Mucha gente va a morir por este tipo de ataques. Las infraestructuras más importantes para la mayor parte de la sociedad no son las más protegidas. El ejemplo evidente han sido los hospitales del Reino Unido que no han podido consultar historiales ni hacer radiografías desde ayer. Pruebas que son críticas para atender las urgencias, como han repetido los médicos en los medios de comunicación. El NSH ha sido muy castigado por los recortes y la actualización de sus redes, equipos y archivos no ha sido una prioridad. Su desesperación contrasta con la soberbia de Amber Rudd, ministra del Interior, declarando en la BBC que los pacientes habían sufrido incomodidades pero nadie había tenido acceso a su historial.
No se rían porque el Ministro del Interior español, Juan Ignacio Zoido, ha hecho exactamente lo mismo. Celebremos que han aprendido que la privacidad de los pacientes es un derecho importante y que regalar sus historiales a Google a cambio de una App no está del todo bien. Ojalá aprendan sin necesidad de ejemplos que la falta de información y de máquinas en la sala de urgencias es una incomodidad mortal.
Y recemos para que otras infraestructuras críticas como centrales eléctricas, depósitos de agua potable, o de armamento nuclear estén mejor protegidas. Y que no haya tanques, bombarderos y submarinos cargados con Windows. Y que muchos se pregunten si de verdad quieren conducir coches conectados a Internet, o vivir con el Internet de las Cosas vulnerable.
Las empresas prefieren pagar que contarlo. El Instituto Nacional de Ciberseguridad (INCIBE) dice que el número de “secuestros” y ataques ha aumentado en 45% solo en el primer trimestre de 2017. Si parecen pocos es porque estos son los que denuncian, que son pocos. Informes del sector dicen que en 2016 aumentó en un 752% y que supuso 1.000 millones de dólares en pérdidas económicas para las empresas de todo el mundo. Las grandes empresas pagan y callan porque prefieren perder dinero que perder reputación.
Es por eso que el viernes por la mañana, las oficinas de comunicación de casi todas las empresas afectadas negaban haber sido víctimas del ataque, y solo cuando se supo que la escala era internacional empezaron a reconocerse víctimas. Puro egoísmo irresponsable, porque alimentan el mercado de los secuestros e impiden la alarma necesaria para mejorar nuestra resistencia. De momento, los secuestradores han recibido 30.000 dólares, una cantidad ridícula comparada con la escala de la operación.
Las redes centralizadas y el software monopolista y privativo son una mala combinación de factores. El Centro Criptológico Nacional (CCN) ha confirmado que el malware se propaga por sistemas operativos Windows (desde el 7 hasta el 10, pasando por Vista, XP, RT y Server 2008, 2012 y 2016) y por todas las unidades de red a las que están conectados.
Esas redes centralizadas llenas de computadores con el mismo sistema operativo son la clase de monocultivo que promueve y acelera las infecciones, hongos y plagas, el entorno perfecto para su propagación.
Una mayor diversidad de sistemas operativos sería un entorno más sano y más difícil de arrasar.
Sobre todo cuando la empresa responsable puede dejar de actualizar y parchear su producto para obligar a los usuarios a comprar la siguiente generación de licencias. Han tenido que parar hospitales para que Microsoft publicara un parche de emergencia para tapar un agujero que ya conocían. El parche, como las vacunas, solo es útil si se aplica antes de la infección.
No hace falta ser un servicio de inteligencia para lanzar un cyberataque a nivel mundial. La herramienta era sofisticada; la ejecución, no tanto.
Esto significa dos cosas y las dos son malas. La primera es que cualquier cartel de mamporreros con mil bitcoins para comprar malware de la NSA –o del Mossad o de 3PLA, la NSA china– puede lanzar un ataque capaz de poner en jaque redes de comunicación, bancos y hospitales, sin llegar a controlar la herramienta ni entender el daño no intencionado que puede llegar a producir.
Pero también que una organización de verdaderos expertos con intención de hacer daño habría llegado mucho más lejos.
Esto volverá a pasar. Será pronto, y también será peor. Hay quien piensa que este ataque ha sido sólo un ensayo, un ejercicio de prueba y error antes de un ataque más serio. El misterioso héroe anónimo que ha conseguido contener su expansión también advierte que los criminales tocarán el código y empezarán otra vez.
El mundo del malware es darwiniano, pero evoluciona a mucha más velocidad, de las prevenciones que son tomadas en las empresas después que han ocurrido las desgracias.