WannaCry aún acecha a 1.3 millones de sistemas
El viernes, en la primera ola del ataque cibernético, 200 mil computadoras en 150 naciones fueron infectadas, según Europol
Más de un millón 300 mil sistemas informáticos se mantienen vulnerables a quedar infectados por el ataque cibernético que el viernes azotó al mundo, que paralizó hospitales, interrumpió las redes de transporte e inmovilizó empresas.
Hasta el momento, se sabe que 200 mil computadoras en 150 países fueron infectadas en la primera ola del ataque cibernético de WannaCry, dijo el domingo la Europol, el organismo policial europeo.
Funcionarios del gobierno advirtieron sobre más ataques potenciales esta semana.
“El reciente ataque está a un nivel sin precedentes y va a requerir de una compleja investigación internacional para identificar a los culpables”, dijo la Europol.
Las agencias de inteligencia en Europa y Estados Unidos pasaron el fin de semana advirtiendo a las grandes empresas y organizaciones que la amenaza del ransomware —una categoría de malware que encripta los discos duros de las máquinas infectadas y exige un pago para liberar de nuevo los datos— podría aumentar. “En las últimas 48 horas se realizó una gran cantidad de trabajo preventivo para minimizar la amenaza”, dijo un funcionario británico de inteligencia sobre el riesgo de una segunda ola de infecciones WannaCry. “La lista de organizaciones afectadas por el ataque aumentó en las últimas 48 horas. Junto al Servicio Nacional de Salud de Gran Bretaña, que vio que más de un tercio de sus hospitales y clínicas quedó incapacitado, entre las víctimas se encuentran el operador ferroviario alemán Deutsche Bahn, la compañía estadunidense de logística Fedex, el Ministerio del Interior de Rusia, la automotriz francesa Renault, el grupo español de telefonía móvil Telefónica y la estatal China National Petroleum Corp.
Rusia, Ucrania, India y Taiwán son los países afectados más gravemente, de acuerdo con los datos de la compañía de seguridad cibernética Kaspersky Lab.
A pesar de los llamados urgentes de las autoridades policiales y de seguridad para que las organizaciones aborden la crítica vulnerabilidad de seguridad del software Windows, que aprovechó WannaCry, muchos todavía no lo hacen. “Debemos cambiar nuestro enfoque”, dijo Julian King, comisionado de seguridad de la Unión Europea, más de 1.3 millones de computadoras siguen conectadas a internet sin que hayan resuelto la vulnerabilidad en sus protocolos para compartir archivos. “Solo es cuestión de tiempo para que los delincuentes cibernéticos mejoren el malware del ransomware WannaCry y se haga más virulento”, dijo Becky Pinkard, vicepresidenta de prestación de servicios e inteligencia de Digital Shadows. “De todos modos el protocolo SMB (la vulnerabilidad) es algo a lo que nunca se le debe permitir tener acceso desde internet. Como vimos, esto es lo que permite que se propague tan rápido y provoque caos”.
La potencia de WannaCry se basa en un arma cibernética conocida como Eternal Blue, que desarrolló la Agencia Nacional de Seguridad de EU (NSA, por su sigla en inglés) antes de que la robara y filtrara en línea el año pasado un grupo conocido como Shadow Brokers, grupo que las agencias de inteligencia occidentales creen que tiene conexión con las agencias rusas de espionaje.
Los operadores de WannaCry utilizaron Eternal Blue, que la NSA construyó para explotar una falla, entonces desconocida, de Windows, como plataforma para sobrecargar su ransomware, permitiéndole una propagación lateral por y a precedentes y para hallar responsables falta investigación compleja” Renault, Telefónica Deutsche Banh, Fedex, Petroleum Corp... través de organizaciones mediante los protocolos para compartir archivos —como buzones (depósitos) para documentos o bases de datos— que crearon.
La propagación de WannaCry se detuvo temprano el viernes gracias a los esfuerzos de un anónimo investigador británico de ciberseguridad que trabaja bajo el seudónimo de Malwaretech. Identificó un “kill switch” (interruptor para detener de emergencia) codificado en WannaCry —que hicieron sus creadores—, un dominio web al que recurre el ransomware antes de cada nueva infección, que al momento de activar detendría automáticamente el proceso de infección. Compró y registró el dominio, con lo que detuvo la propagación de WannaCry.
Pero advirtió que el “kill switch” se puede volver a escribir fácilmente en una versión con un nuevo uso de WannaCry al momento que quieran hacerlo los operadores del ransomware. “La versión 1 de WannaCry se pudo detener, pero la versión 2.0 probablemente elimine esa falla. Solo están seguros si utilizan el parche lo más pronto posible”, tuiteó el domingo, instando a las empresas a aplicar la actualización del software de Windows que cierra la falla que aprovechó Eternal Blue.
Funcionarios de seguridad del gobierno también señalaron la posibilidad de que se podría liberar una nueva versión corregida de WannaCry, o que otros grupos criminales o actores maliciosos pudieran aprovechar Eternal Blue para otros propósitos o incluso otras herramientas de la NSA en el baúl de Shadow Brokers para propósitos más destructivos.
Un alto funcionario británico de seguridad dijo que el componente de ransomware de WannaCry se puede cambiar fácilmente para otro propósito. “La carga dañina simplemente podría ser para ordenar eliminar totalmente el disco duro de la máquina”, dijo. “Eso sería devastador y todavía podría ocurrir”.