El ataque de ransomware WannaCry, descubierto el 17 de mayo de 2017, representó un hito en la historia de la ciberseguridad, dirigiéndose a redes corporativas con sistema operativo Microsoft Windows como parte de un ciberataque masivo a nivel mundial. WannaCry tuvo un impacto importante en las organizaciones de todo el mundo, infectando a más de 230,000 computadoras y causando daños por miles de millones de dólares. Se extendió por más de 200,000 ordenadores en más de 150 países el 12 de mayo de 2017, siendo uno de los primeros ataques de ransomware a nivel mundial en ser ampliamente notificado.
Como forma de ransomware, WannaCry cifró los archivos en el ordenador o el servidor de la víctima, bloqueando el acceso o el uso hasta que se pagara un rescate. El rescate original de WannaCry era de 300 dólares en bitcoins, que subía a 600 dólares si no se pagaba en un determinado período de tiempo. Existieron dudas sobre si alguien recuperó sus archivos; algunos investigadores afirmaron que nadie recuperó sus datos, pero una empresa llamada F-Secure aseguró que algunas personas sí lo hicieron.
Las Vulnerabilidades Detrás del Ataque: EternalBlue y DoublePulsar
EternalBlue: La Puerta de Entrada
WannaCry se propagó al aprovechar una vulnerabilidad clave llamada EternalBlue. Este es un error grave conocido que permite a los atacantes conectarse de forma remota a un PC y ejecutar código malicioso. La Agencia de Seguridad Nacional (NSA) de EE. UU. había desarrollado esta explotación, supuestamente para uso propio, pero un grupo conocido como Shadow Brokers la robó y la hizo pública tras un ataque contra la propia NSA.
WannaCry explotó una vulnerabilidad en la forma en que Windows gestionaba el protocolo de bloques de mensajes de servidor (SMB), que permite la comunicación de los nodos de red. Un defecto de seguridad permitió engañar a SMB para que ejecutara código arbitrario mediante paquetes especialmente diseñados conocidos como EternalBlue. El error EternalBlue afecta específicamente a la primera versión del protocolo SMB (comúnmente conocida como SMBv1). Las versiones SMBv2 y posteriores (disponibles a partir de Windows 7) no están afectadas. Sin embargo, incluso las versiones de Windows más recientes todavía son compatibles con SMBv1, haciendo vulnerables a los sistemas que la ejecutan sin parches.
DoublePulsar: La Puerta Trasera Persistente
El error EternalBlue hace que los sistemas sean extremadamente vulnerables al secuestro remoto mediante un ataque DoublePulsar. Este ataque funciona mediante la instalación silenciosa de una peligrosa implantación de puerta trasera en el PC, que los atacantes pueden usar para sortear la seguridad del equipo y acceder al sistema sin ser detectados. Después de acceder, el atacante puede introducir malware o robar datos personales.
El 12 de mayo de 2017, el gusano de ransomware WannaCry usó la puerta trasera de DoublePulsar en combinación con EternalBlue para infectar miles de PC a nivel mundial. Si un programa de explotación de vulnerabilidades como DoublePulsar ya se encuentra en un sistema, este es extremadamente vulnerable a otros ataques de malware.
Propagación y Mecanismos del Ataque
WannaCry es único entre los ataques de ransomware de alta visibilidad, ya que se propagó como un gusano, en lugar de a través de correos electrónicos de phishing o ingeniería social. Un gusano es un programa de software malicioso que puede propagarse rápidamente de forma automática a varios ordenadores de una red sin necesidad de un archivo host o intervención humana. Los archivos del dropper WannaCry incluían una aplicación para cifrar y descifrar datos, archivos con claves de cifrado y una copia de Tor, que los operadores de ransomware utilizaron para las comunicaciones de mando y control (C2). Una vez que este malware se propagaba y se infiltraba en una red, el cibercriminal encriptaba los datos en los sistemas infectados, bloqueando al legítimo dueño.
Cuando ocurrió por primera vez, la gente asumió que el ataque de ransomware WannaCry se había propagado inicialmente a través de una campaña de phishing, donde correos electrónicos de spam con enlaces o archivos adjuntos infectados atraen a los usuarios para que descarguen malware. Sin embargo, su capacidad de propagarse como un gusano a través de EternalBlue fue lo que le dio su rápida y devastadora escala.
Virus WannaCry explicado - el ataque ransomware mas grande de la historia!
El "Interruptor de Apagado" de WannaCry
A las pocas horas del ataque, WannaCry fue neutralizado de forma temporal. Un investigador de seguridad, Marcus Hutchins, descubrió un "interruptor de apagado" codificado en el malware. Al examinar el código fuente de WannaCry, Hutchins notó que, antes de ejecutarse, el malware realizaba una consulta a un dominio inexistente: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Hutchins registró este dominio, y después de que lo hiciera, las copias de WannaCry que intentaban resolverlo dejaron de ejecutarse, creyendo que estaban en un entorno seguro ("sandbox").
Esta acción detuvo la propagación explosiva del ransomware, engañando a las copias de WannaCry en todo el mundo para que creyeran que estaban en un espacio seguro y se desactivaran. Una posible explicación es que la copia de WannaCry que se propagó por el mundo estuviera sin terminar, o que los autores hubieran utilizado ese dominio como un marcador que pretendían reemplazar con la dirección de su servidor de comando y control (C&C) antes de soltar el gusano.
Impacto Global y Víctimas Notables
El ataque tuvo un efecto particularmente devastador en las organizaciones de cuidado de la salud, incluido el Servicio Nacional de Salud (NHS) del Reino Unido, debido a su amplio uso de dispositivos Windows obsoletos y sin parches. Un tercio de las fundaciones hospitalarias del NHS se vieron afectadas, lo que llevó a que se informara a las ambulancias de cambiar de ruta, dejando a muchísimas personas necesitadas de atención urgente en la estacada.
WannaCry también tuvo un impacto importante en los grandes fabricantes que utilizaban versiones vulnerables de Windows. Una de las primeras empresas afectadas fue Telefónica, la empresa de telefonía española. El ransomware se extendió más allá de Europa, paralizando los sistemas informáticos de 150 países. El ataque de ransomware WannaCry tuvo un impacto financiero significativo en todo el mundo.
Muchas organizaciones fundamentales siguen siendo vulnerables a los ciberataques. Los ataques de ransomware han afectado a hospitales, escuelas, oleoductos y gobiernos en los últimos años. En algunos casos, las organizaciones no cuentan con la financiación, los recursos o el compromiso con las actualizaciones tecnológicas que necesitan para hacer frente a estos ataques.
Atribución del Ataque
A finales de 2017, Estados Unidos y el Reino Unido anunciaron que el gobierno de Corea del Norte estaba detrás del ataque de WannaCry. Sin embargo, algunos investigadores de seguridad dudan de esta atribución, sosteniendo que WannaCry puede haber sido obra del Grupo Lazarus, con sede en Corea del Norte, y que no procede directamente del gobierno de ese país.
Prevención y Mitigación de Vulnerabilidades
Actualización del Software y Parches
WannaCry podría haberse detenido al descargar un parche de Microsoft lanzado más de dos meses antes de que comenzara el ataque. Microsoft publicó un parche de seguridad que protegía los sistemas de los usuarios contra este exploit o vulnerabilidad mucho antes del ataque. Sin embargo, el parche inicialmente solo estaba disponible para versiones de Windows compatibles, lo que no incluía los millones de sistemas Windows XP que estaban conectados a Internet. Una función de actualización automática integrada en el sistema operativo Windows garantizaba que todos los equipos con Windows 10 y los parches más recientes aplicados estaban protegidos de WannaCry en mayo de 2017.
Una de las lecciones clave que nos dejó este ransomware y otros ciberataques relacionados es la importancia de ser diligentes en la estrategia de instalación de parches para actualizar los sistemas operativos. Mantener el software y el sistema operativo actualizados es crucial para evitar la amenaza de ataques de ransomware como WannaCry.
Desactivación de SMBv1
Si no es posible instalar la actualización de Windows, la única otra forma de reparar la vulnerabilidad de EternalBlue es desactivar el servicio de uso compartido de archivos de Windows, concretamente la versión 1 del protocolo SMB. Es fundamental que primero se desconecte de la red y después reinicie el PC para aplicar este cambio de forma segura.
Soluciones Antivirus y Seguridad
El software de seguridad de Internet es crucial para mantener a las organizaciones y a las personas a salvo de las amenazas de seguridad existentes y nuevas. Soluciones como Avast Antivirus o AVG AntiVirus protegen los PC de los ataques que se aprovechan del error EternalBlue, siempre que la función de Cortafuegos o Cortafuegos mejorado esté activada. Es importante notar que muchos programas antivirus no son compatibles con sistemas operativos muy antiguos como Windows Vista o Windows XP.
Copias de Seguridad de Datos
Hacer copias de seguridad de los datos es crucial si una organización es víctima de un ataque de ransomware, ya que amenazas como WannaCry cifran los datos, haciéndolos inaccesibles. Asegúrese de realizar copias de seguridad de sus datos periódicamente utilizando un disco duro externo o el almacenamiento en la nube. Si sufre un ataque de ransomware, sus datos permanecerán seguros si tiene una copia de seguridad. No olvide desconectar el dispositivo de almacenamiento externo del ordenador una vez que haya realizado la copia de seguridad de sus datos, para evitar que también sea cifrado.
Seguridad de Red y "Zero Trust"
Las redes de todo el mundo están extremadamente interconectadas, y aunque muchas organizaciones asumen que sus redes no pueden ser penetradas desde el exterior, la realidad demuestra lo contrario. Incluso las vulnerabilidades que han sido parcheadas pueden ser peligrosas si los parches no se aplican universalmente.
Un enfoque de seguridad Zero Trust es una estrategia robusta que puede ayudar a las organizaciones a combatir esta amenaza. Este modelo asume que todos los usuarios y dispositivos presentan amenazas, por lo que requiere que cada usuario, dispositivo y aplicación se vuelva a autenticar y validar en cada solicitud de acceso a los activos de TI. Vuelve a autenticar periódicamente a los usuarios y evalúa la seguridad de los dispositivos, garantizando que a cualquier dispositivo inseguro o no autorizado se le revoque inmediatamente el acceso a las aplicaciones y a la red.
Otras medidas incluyen la gestión centralizada de políticas, el control de acceso e identidades, la supervisión continua y la segmentación de la red en subredes más pequeñas, lo que evita que un ataque exitoso en una parte de la red infecte archivos en otras partes. Mantener certificaciones de seguridad y supervisar el cumplimiento de los marcos normativos también asegura que la organización y sus proveedores sigan las prácticas recomendadas. Empresas como Akamai ofrecen soluciones integrales de ciberseguridad y cloud computing que protegen los negocios online con defensa en profundidad.
Educación y Comportamiento del Usuario
La formación de los empleados es una defensa vital. Es fundamental no abrir correos electrónicos desconocidos ni hacer clic en enlaces sospechosos o visitar sitios web en los que no se confía. Se debe evitar abrir archivos adjuntos de correos electrónicos a menos que se esté seguro de que son fiables, verificando el remitente y el contenido. Si un archivo adjunto solicita habilitar las macros para verlo, se debe extremar la precaución. La descarga de archivos de sitios desconocidos o la inserción de dispositivos USB y otros dispositivos de almacenamiento extraíbles de origen incierto aumenta significativamente el riesgo de descargar ransomware.
La Amenaza Persistente de WannaCry
Aunque la versión de WannaCry que se difundió en 2017 ya no funciona gracias al dominio del botón de apagado de Marcus Hutchins, el gusano de ransomware sigue siendo una amenaza. En marzo de 2021, WannaCry continuaba aprovechándose de la vulnerabilidad EternalBlue, lo que significa que solo los sistemas Windows extremadamente antiguos y desactualizados estaban en peligro. Las versiones más recientes de WannaCry han eliminado la función del botón de apagado que había en la versión original, lo que resalta la importancia de una vigilancia continua y la aplicación de medidas preventivas.