redseguridad 077

wannacry

reportaje

El comportamiento de este 'ransomware' hace sospechar que, en realidad, el ataque podría esconder una prueba de concepto para preparar una acometida posterior más potente

quilos y, por otro, satisfechos con el papel de los operadores; aunque siempre se pueden mejorar ciertos aspectos ligados a la actualiza- ción de los equipos y a la con- cienciación", valora Marcos Gómez Hidalgo, subdirector de Servicios de Ciberseguridad de Incibe. No obstante, aunque parece que el impacto real en España de WannaCry en cuanto a pérdidas económicas o de información ha resultado ser menor de lo que se pudo pensar al principio, no cabe duda de que el incidente debe con- siderarse una "llamada de atención". Así opinan expertos como Ramsés Gallego, Strategist & Evangelist de Symantec, para quien este caso "no deja de demostrar lo complicado que es proteger, parchear e inven- tariar miles, si no decenas de miles, de servidores", aunque esto "no debe ser excusa" porque existen en el mercado herramientas de mitiga- ción para frenar embates como el acontecido. Lo nunca visto El ataque de WannaCry fue posible porque se aprovechó de una vul- nerabilidad conocida. Los antece- dentes comenzaron el 14 de marzo, dos meses antes del suceso, cuan- do Windows informó en su boletín MS17-010 de la existencia de una debilidad en las diferentes versiones de su sistema operativo, para la que ofrecía un parche de seguridad. El problema, explicaba el documento, afecta al protocolo de red SMB (Server Message Block), que permi- te compartir archivos y dispositivos entre ordenadores. Solo un mes después, el grupo Shadow Brokers filtró a través de la Red varias herramientas robadas a la NSA (National Security Agency) – desarrolladas para la agencia norte- americana por el colectivo Equation

Group– de las que también informó Wikileaks posteriormente, con la consiguiente repercusión mediática mundial. Una de esas herramientas era el exploit EthernalBlue, el que utilizaron quienes están detrás de WannaCry. A pesar de esta información y del aumento de las variantes de ransomware (un tipo de virus que cifra la información del ordenador y pide un rescate, generalmente en Bitcoins, a cambio de liberarla) que aparecen diariamente, WannaCry resultó ser de un tipo nunca visto. Su código incluía una combina- ción del exploit EthernalBlue con una puerta trasera conocida como DoublePulsar, que le permitió no solo infectar a los equipos sino también moverse por la red interna a la que estaban conectados. Es decir, además de cifrar y secuestrar la información de un ordenador, el virus fue capaz de moverse late- ralmente como un 'gusano' para contagiar a otras máquinas. La calma –no la solución– llegó cuando un joven investigador britá- nico neutralizó el virus mediante el registro del dominio con el que con- tactaba WannaCry antes de infectar los sistemas y que, al no obtener respuesta, provocaba la dispersión del virus. Ese "botón del pánico" ha sido interpretado como un recurso del creador de este ransomware para detenerlo en caso necesario, lo que podría significar, apuntan diferentes expertos, que en realidad el ataque es fruto de una prueba de concepto que podría dar pie a una acometida posterior más potente. Es decir, un "ataque antes del ata- que", como señala Ramsés Gallego. A esta incertidumbre se suma el desconocimiento de la autoría del virus, aunque un reciente informe de la NSA, publicado por el diario The Washington Post , sostiene que

detrás de WannaCry estaría el grupo norcoreano Lazarus, una conclusión en línea con las investigaciones ante- riores de empresas como Kaspersky o Symantec. Dicho grupo, vinculado al régimen de Kim Jong-un, ha sido acusado también de otros incidentes de seguridad, como el que sufrió Sony Pictures en 2014 o el Banco Central de Bangladesh en 2016. Esta sospecha, unida al hecho de que los ciberdelincuentes aún no han canjeado por dinero en efectivo los aproximadamente 120.000 dólares en Bitcoins recaudados en la cam- paña, apuntan a que el objetivo del ataque del 12 de mayo podría buscar algo más que el lucro económico. La colaboración funcionó WannaCry se convirtió durante varios días en la amenaza más peligrosa para las empresas, pero también supuso una prueba de fuego de ges- tión de crisis para organismos nacio- nales e internacionales de cibersegu- ridad. En España, Incibe y el Centro Nacional para la Protección de las Infraestructuras Críticas, a través del CERT de Seguridad e Industria (CERTSI), además del CERT del Centro Criptológico Nacional (CCN- CERT), las unidades de seguridad tecnológica de las Fuerzas y Cuerpos de Seguridad, el Departamento de Seguridad Nacional y el Mando Conjunto de Ciberdefensa colabo- raron de manera coordinada en la resolución de la ofensiva. El CERTSI mantuvo permanente contacto tanto con las compañías afectadas como con otras posi- bles víctimas desde el comienzo del incidente hasta que consideró que la situación estaba bajo control, cuatro días después. A las 9:30 de la mañana, el organismo ya detectó tráfico sospechoso en la red de Telefónica (primera empresa espa- ñola de la que se tuvo constancia

red seguridad segundo trimestre 2017 19