El virus WannaCry deja al descubierto las lagunas de la ciberseguridad mundial

Por

El ataque informático del pasado 12 de mayo fue, por encima de todo, un fallo de seguridad. Son muchas las responsabilidades que pueden ser resaltadas: desde la de la NSA, que inspiró directamente el virus, así como la de los Estados que permiten el desarrollo de un verdadero mercado de vulnerabilidades informáticas, sin olvidar la de las empresas que habían sido prevenidas de que tal ataque podría suceder.

Artículo en acceso libre. Descubre y lee todo en Mediapart Abonarse

En apenas una semana, un grupo de investigadores desencriptaba el virus WannaCry que, el viernes 12 de mayo, afectó a más de 300.000 ordenadores de 150 países, secuestrando los datos que contenían dichas computadoras. La herramienta, que permite descifrar el PC sin tener que pagar el rescate reclamado por los cibercriminales, bautizada como WanaKiwi, la han desarrollado tres franceses, Adrien Guinet, Matthieu Suiche y Benjamin Delpy. El viernes 19 de mayo, Europol informaba de que había probado con éxito el software en el que había trabajado el trío, de forma oficiosa, varios días con sus respectivas noches. De este modo, WanaKiwi, disponible en acceso libre, debería poner freno a la propagación del virus y dar carpetazo, temporalmente, a un episodio poco glorioso de la historia de la seguridad informática.

Muchas son las lecciones que podemos extraer del caso WannaCry, al que enseguida se calificó de « ciberataque sin precedentes ». En realidad, WannaCry no era en modo alguno un ciberataque y precisamente el hecho de que existan numerosos precedentes es lo más preocupante. WannaCry es el árbol que impide ver el bosque. Una impresionante bola mediática llevó a sobreestimar su impacto, ocultando con ello las deficiencias críticas de los principales actores encargados de garantizar la seguridad informática de los Estados.

Y de esta forma fue cómo, el viernes 12 de mayo, WannaCry corrió como la pólvora. La alerta saltó a primera hora de la tarde y, en apenas unas horas, la situación parecía catastrófica. Miles de ordenadores habían sido atacados. La atención se centra entonces sobre todo en Reino Unido donde resultaron afectados varios hospitales, causando numerosos inconvenientes. Pero también alcanzó a redes sensibles del mundo entero: el Ministerio del Interior y el Banco Central rusos, la española Telefónica, la compañía de ferrocarriles alemana Deustche Bahn, el gigante estadounidense de paquetería FedEx.

En Francia, la empresa Renault también se contó entre las primeras víctimas y debió cerrar de inmediato varias plantas de producción, una « medida de protección para evitar la propagación del virus ». El sábado 13 de mayo, Europol afirmaba que el ataque era « de un nivel sin precedentes ».

En todos los casos, el proceso se repite. Cuando las víctimas se disponen a utilizar el ordenador, aparece un mensaje: « Vaya, los archivos han sido codificados ». Los ficheros quedaban encriptados por el virus y sólo podían ser desencriptados con una contraseña. Para conseguirla, era necesario desembolsar la suma de 300 dólares, pagadera en bitcoins, la criptomoneda principal. En caso de no efectuar el pago, los datos se perderían para siempre.

Una semana después, la propagación del virus parece que ha sido frenada. El 13 de mayo, un joven investigador en ciberseguridad británico, que responde al pseudónimo de MalwareTech, descubría « por casualidad » un fallo de seguridad en el código fuente del virus, lo que permitía frenar su propagación. Según las estimaciones facilitadas el miércoles por la compañía de seguridad informática Kryptos Logic, de las 300.000 víctimas, el 30% reside en China y el 20% en Rusia, frente al 7% en Estados Unidos y el 2% en Francia, Gran Bretaña y Alemania. Lo más sorprendente es el magro botín recaudado por los cibercriminales. Según los datos de Reuters, del viernes 19 de mayo, sólo se habían abonado 309 rescates. Es decir, sólo pagó 1 víctima por cada mil, obteniendo un importe total de 94.000 dólares.

El balance de este « ciberataque sin precedentes » parece bastante exiguo comparado con sus predecesores, como recuerda Reflets. Ya en el 2000, el gusano informático I LOVE YOU mereció las portadas de la prensa internacional por haber infectado al 10% de los ordenadores del mundo entero, causando unos daños estimados por importe de 5.000 millones de dólares. Un año después, el virus Code Red infectaba 359.000 ordenadores causando daños por valor de 2.000 millones de dólares.

En la historia de la seguridad informática, son muchas las operaciones que han afectado a mayor número de máquinas y que han hecho más daños que WannaCry. Lo más inquietante en este asunto no es el número de víctimas, sino que se haya podido ejecutar y todo ello a pesar de los numerosas advertencias.

WannaCry es por encima de todo la historia de un fallo de ciberseguridad. « Ni siquiera se trata de un ciberataque, sino de una simple operación mafiosa », confirma Éric Filiol, experto en criptología y virología, director de investigación en la Escuela Superior de Informática ESIEA. « Este asunto es simple y llanamente desolador. Es para darse cabezazos contra la pared. Nada de esto tendría que haber sucedido. Y, además, no se trataba de un ataque de un nivel muy elevado. Si hubiésemos tenido que vérnoslas con un virus del tipo Conficker, no me atrevo a imaginar lo que habría ocurrido... ».

Conficker es otro ejemplo de virus bastante más destructor que WannCry. Apareció en 2008 e infectó, según los cálculos, un número de entre 3,5 y 9 millones de ordenadores. Pero, sobre todo, se propagó en numerosas redes sensibles, entre ellas el Departamento de Defensa de EE.UU y los Ministerios de Defensa británico y francés. Varios submarinos británicos llegaron a verse infectados y varios cazas Rafale franceses se quedaron en tierra por el incidente.

En lo que respecta a WannaCry, el número de grandes empresas afectadas es sorprendente. Hacía varios meses que se había anunciado que sucedería y los directores de seguridad informática (DSI) del mundo entero disponían de las herramientas para prepararse. La principal novedad de ese ransomware es que se propaga no por e-mail, sino utilizando un fallo de seguridad bien identificado de los software de Microsoft. En marzo, la empresa sacó el parche que permitía corregir dicha vulnerabilidad.

La publicación de este parche llegaba en el momento justo. Todo apunta a que ya había quien había detectado la vulnerabilidad, incluida la NSA de Estados Unidos. El 14 de abril, un grupo de hackers que se hacen llamar Shadow Brokers publicaba una serie de herramientas de la agencia norteamericana empleando vulnerabilidades 0-Day, es decir que no habían sido publicadas ni corregidas. Entre ellas, figura ETERNALBLUE, que utiliza exactamente la misma vulnerabilidad que WannaCry. Enseguida se establecieron los vínculos entre WannaCry y ETERNALBLUE. El 13 de mayo, Microsoft publicaba una alerta por la que instaba a sus usuarios a actualizar el software.

Así las cosas, esto quiere decir que, durante dos meses, los responsables de ciberseguridad de las empresas afectadas ignoraron los avisos y omitieron actualizar sus redes. Éric Filiol no se muerde la lengua: « Es indignante, escandaloso. En estos tiempos, es más frecuente ver a los responsables de seguridad DSI dejándose ver por las ferias de ciberseguridad que a estos mismos DSI haciendo correctamente su trabajo básico. Lo siento, pero los de las empresas afectadas deberían ser despedidos, es lo que yo opino ».

Esta negligencia no parece que se limite al virus WannaCry. « Existe un verdadero problema no sólo de gestión de los ataques, sino simplemente cultural. Recordamos el descubrimiento en 2014 del fallo de seguridad HeartBleed que afectaba al OpenSSL. Entonces, esa grave vulnerabilidad, que existía desde hacía ya dos años, había aparecido en las portadas de los periódicos. Y sin embargo hace apenas unos meses se publicó un informe según el cual 200.000 servidores seguían sin disponer de medidas de seguridad. Eso quiere decir que, desde 2014, no han hecho nada por corregirlo. Si no se hace lo básico, nos dirigimos a la catástrofe a la fuerza... ».

Continùa leyendo en Mediapart Acceso ilimitado al periódico participación libre en el club Abonarse