¿Qué fue el ataque de ransomware WannaCry?

El nombre mismo del ataque no podía ser más cínico: su equivalente en español sería «Quieres llorar». La denominación destilaba la ironía desabrida propia de un adolescente de 14 años.

La pesadilla comenzaba así: una pantalla con un fondo rojo aparecía ante los ojos atónitos de la víctima, con el siguiente mensaje redactado en un inglés de traductor automático:

¡Ooops, tus archivos han sido encriptados!

¿Qué le sucedió a mi computadora?

Tus archivos importantes han sido encriptados.

Muchos de tus documentos, fotos, videos, bases de datos y archivos ya no se encuentran disponibles puesto que han sido encriptados.

Tal vez estés ocupado en encontrar una forma de recuperar tus archivos, pero no pierdas tu tiempo. Nadie puede recuperar sus archivos sin nuestro servicio de desencriptación.

¿Puedo recuperar mis archivos?

Por supuesto. Te garantizamos que puedes recuperar todos tus archivos de manera segura y sencilla. Pero no dispones de mucho tiempo. Puedes desencriptar algunos de tus archivos de manera gratuita. Inténtalo ahora pulsando el comando «Desencriptar».

Pero si deseas desencriptar todos tus archivos, debes pagar.

Solamente dispones de 3 días para remitir el pago.  Después de eso, el pago se duplicará.

De igual modo, si no pagas en 7 días, no podrás recuperar tus archivos por siempre (sic).

Tendremos eventos libres para usuarios tan pobres que no podrían pagar en 6 meses.

¿Cómo pago?

Solamente se recibirán pagos en Bitcoin.

Por favor revise el precio actual del Bitcoin y compre algunos Bitcoins. Para más información, dé click en < Cómo comprar Bitcoins >

Y envíe la cantidad correcta especificada en esta ventana.

La cantidad solía oscilar entre 300 y 600 dólares.

APARECEN LOS PRIMEROS REPORTES

Los primeros reportes del evento llegaron desde Taiwán, Singapur y Japón a las 7.44 am del 12 de mayo de 2017. A las 8.16 am se reportaron los primeros eventos en Latinoamérica y a las 10:00 am llegó el turno a Europa continental y el Reino Unido.

Al término del primer día del ataque, el ransomware se había propagado a lo largo de 74 países, entre los cuáles los más golpeados habían sido Rusia, Ucrania, el territorio de Taiwán y la India. La magnitud del cataclismo cibernético no tenía precedentes.

También lee: FTX afirma que ‘hackers’ robaron más de 400 millones de dólares después de la bancarrota

Inglaterra y Escocia vieron gravemente golpeados sus servicios de salud pública, pues quedaron inutilizados sus escáneres de resonancia magnética, dispositivos quirúrgicos automatizados y bancos de refrigeración de sangre. Esto complicó la atención crítica para decenas de miles de pacientes que en esos días dependían de esos instrumentos para la preservación de su vida. Algunos destinos quedaron fatalmente sellados.

Entre los gigantes de fabricación de transporte que tuvieron que frenar su producción estuvieron Automobile Dacia, de Rumania; Aviones Comerciales Boeing; Honda; Renault y Manufacturera Nissan del Reino Unido. Las líneas de producción pararon y después la logística tuvo que ajustarse con el consecuente impacto financiero propio de la perturbación de tales magnitudes productivas.

Además se vieron impactadas corporaciones como Fed Ex, Deutsche Bahn, aerolíneas LATAM, Petrobras, Sberbank, Telefónica y Vivo.

El eterno azul de una computadora sin archivos

Como una configuración fantasmagórica emanada de una pantalla de la muerte, surge la pregunta de los 300 a 600 dólares: ¿Cómo lograba este virus colarse a las computadoras y quién o quiénes lo desarrollaron?

Empecemos respondiendo la segunda pregunta: la vulnerabilidad aprovechada por los atacantes fue desarrollada por el gobierno estadounidense, específicamente su Agencia Nacional de Seguridad (NSA, por sus siglas en inglés), organización más comprometida con el espionaje por parte del gobierno estadounidense que con cualquier consideración de seguridad pública.

También lee: Hackers podrían usar el WiFi para espiar al interior de tu casa

Eternal blue, un troyano desarrollado por la NSA, explotaba un protocolo del Server Message Block de Windows. Desde 2012 había detectado la NSA esta brecha de seguridad, pero en vez de dar aviso a Microsoft para que corrigiera el problema, se reservó la información para mantener la efectividad de su bicho hasta que se dio cuenta en febrero de 2017 que Eternal blue le había sido hurtado. Sí, leyó usted bien. A la agencia de los expertos de seguridad estadounidenses le robaron su bicho como quien le arrebata un dulce a un niño. Fue entonces cuando ese niño llamado NSA se vio obligado a notificar a Microsoft de la vulnerabilidad del Server Message Block.

Windows desarrolló entonces un parche «altamente inusual» de acuerdo a los entendidos en el asunto y lo puso a disposición de su clientela, haciendo énfasis en que era crítico que Windows 8, Windows Vista, XP y versiones anteriores lo instalaran en cuanto antes. Sin embargo -algo sabremos sobre procastinación- la mayoría de los usuarios no lo hizo a tiempo y el 12 de mayo de 2017 pagó las consecuencias.

Eternal Blue fue la vía de acceso utilizada por el virus Wannacry para infectar las computadoras. La creación de Wannacry, de acuerdo al gobierno estadounidense y diversas agencias de cibeseguridad occidentales, sería atribuible a Lazarus Group, un cónclave de hackers liderados por Park Jin-Hyok y respaldados por el gobierno de Corea del Norte. El respaldo de esta hipótesis sería que el epicentro del brote se rastreó hasta Corea del Norte.

Neutralización

Unas horas después del ataque, el investigador y ex-ciber delincuente Marcus Hutchins localizó la palanca de desactivación grabada en el código duro del malware. Hutchins registró un nombre de dominio para un hoyo negro de DNS (Sistema de Nombre de Dominio), atendiendo al factor de que la encriptación solamente se podía llevar a cabo si las computadoras no tenían acceso a dicho dominio.

El 14 y el 15 de mayo se registraron reportes de nuevas variantes del virus Wannacry, que sin embargo fueron expeditamente neutralizadas gracias a las respuestas coordinadas de diversos actores.

Por cierto que unos meses después del ataque, Marcus Hutchins fue arrestado en Las Vegas, tras una convención DEFCON en la que había sido vitoreado como ‘salvador del Internet’. Hutchins había desarrollado un lustro antes el virus conocido como Kronos, para después venderlo en 7 mil dólares.

Saldo

Hasta el 14 de junio de 2017 se tenían registradas transferencias por un monto de 130 mil 634 dólares hacia las direcciones virtuales de las cuentas criminales.

Se calcula que un número cercano a las 200 mil computadoras se vieron infectadas por Wannacry. A pesar de que no se cuenta con una estimación unificada y precisa de la afectación global del virus -pues algunas corporaciones habrían preferido no revelar públicamente su elección de pagar rescate- , el cálculo de los daños oscila entre los centenares de millones y los 4 mil millones de dólares.

datadura

Estallido inicial: 12 de mayo 2017- 15 de mayo 2017

Cresta del estallido: 7:44 -15:03 (hora UTC).

Localización: Global

Tema: Encriptación de archivos bajo la demanda de 300 a 600 USD en Bitcoin.

Rango final de expansión: Más de 300 000 computadoras infectadas.

Epicentro: Pyongang, Corea del Norte.

Sospechosos: Grupo Lazarus, Corea del Norte