WannaCry

Previo al ataque

En 2017 se produjo uno de los ciberataques más significativos y perjudiciales de la historia reciente: WannaCry. Sin embargo, previo a su impacto, una sucesión de eventos y fallos críticos establecieron las condiciones propicias para que este incidente se convirtiera en una crisis global.

Todo comenzó con una vulnerabilidad crítica en el protocolo Server Message Block versión 1 (SMBv1) de Windows. Un protocolo diseñado para compartir archivos y recursos en una red. SMBv1, que ya tenía años de antigüedad, contenía un defecto grave, permitir a atacantes externos acceder y ejecutar comandos en sistemas Windows sin permiso. La Agencia de Seguridad Nacional (NSA) de Estados Unidos descubrió esta vulnerabilidad y desarrolló una herramienta para poder explotarla, el famoso EternalBlue. La idea era usar EternalBlue en sus operaciones de ciberespionaje, accediendo a sistemas sin alertar a los usuarios.

Lo que los estadounidenses no sabían es que, en 2016, un grupo de hackers llamado Shadow Brokers robó varias de estas herramientas, incluyendo a EternalBlue, y en abril de 2017 las publicaron en Internet. Esta filtración generó una alerta global, ya que, de repente, cualquier atacante podría descargar y usar una de las herramientas más avanzadas de la NSA para infiltrarse en sistemas Windows.

Dado que todo esto suponía un grave riesgo para la seguridad mundial, Microsoft lanzó en marzo de 2017 un parche de seguridad (MS17-010) diseñado para parchear la vulnerabilidad en SMBv1. Rápidamente, Microsoft avisó a empresas y usuarios de la urgencia de aplicar esta actualización, incluso siendo esto muy raro para Microsoft. Crearon una actualización de emergencia para versiones obsoletas en ese momento como Windows XP y Server 2003, las cuales ya no recibían ningún tipo de soporte.

Y ocurrió el desastre, como siempre sucede en este tipo de ataques, no todas las empresas llegaron a implementar el parche a tiempo.

Dia del ataque

En mayo de 2017, aparece WannaCry. El famoso ransomware que aprovecharía la vulnerabilidad EternalBlue.

WannaCry se infiltraba en los ordenadores, cifrando los archivos de los usuarios y dejando una nota de rescate que exigía un pago en bitcoin para recuperarlos. La cantidad de rescate inicial variaba entre 300$ y 600$ en Bitcoin, y se duplicaba si no se pagaba en los primeros días.

Lo más peligroso era que el ransomware se replicaba automáticamente, propagándose a otros equipos en la misma red sin intervención humana y así en poco tiempo WannaCry se convirtió en una amenaza global en cuestión de horas.

• Ataque a Telefónica: 12 de mayo, a las 12:00 de la mañana en Madrid, todos los trabajadores de la empresa de telecomunicaciones recibieron un mensaje indicando que apagaran su ordenador hasta nuevo aviso. Se acababa de confirmar la presencia del malware dentro la organización y se estaban enfrentando al ciberataque más grande de su historia.Después de la investigación se declaró que el vector de ataque fue a través de correos maliciosos enviados mediante un ataque de Como respuesta ante el incidente, Telefónica fue la primera empresa en avisar al CCN-CERT, poniendo en alerta al resto de empresas a nivel mundial, ya que no se trataba de un ataque dirigido específicamente a ellos.

Al poco tiempo, Telefónica presentó una herramienta “Wannacry File Restorer” que permitía recuperar parcialmente información afectada por el ransomware.Cabe destacar que esta herramienta sólo funcionaba si el proceso del ransomware no había finalizado.

Telefónica no fue la única empresa afectada por este malware, los hospitales del Servicio Nacional de Salud británico (NHS) recibieron un duro golpe. Provocando interrupciones en el servicio, retrasos y pérdidas de acceso a información médica crítica, lo que desembocó en un coste estimado de varios millones de libras.
El incidente WannaCry demostró que los hospitales y sistemas de salud, al manejar datos críticos y operar con tecnología antigua eran especialmente vulnerables a ciberataques. Este tipo de infraestructura crítica es más propenso a pagar rescates de ransomware dado que la necesidad de retomar sus operaciones hace que no puedan afrontar caídas de servicio más extendidas en el tiempo.

El investigador Marcus Hutchins, descubrió que el código de WannaCry contenía un “kill switch”, un dominio sin registrar que, al ser activado, detenía la propagación del ransomware.

Marcus Hutchins identificó que el malware intentaba conectarse a un dominio inexistente en ese momento. Este dominio, diseñado como un “interruptor de apagado” oculto dentro del código, era un mecanismo implementado por los creadores del ransomware para detener su propagación en caso de emergencia. Al registrar este dominio, se activó el killswitch, logrando detener la propagación global de WannaCry. Esta intervención fue clave para contener el impacto de este ataque masivo.

El ataque, que se cree fue obra del grupo Lazarus, vinculado a Corea del Norte, siendo un antes y un después para el ámbito de la ciberseguridad. La infección llegaría a afectar a más de 200.000 sistemas en 150 países. Hospitales, empresas de telecomunicaciones, estaciones de tren y servicios gubernamentales fueron víctimas del ransomware, y algunas instalaciones críticas quedaron temporalmente paralizadas.