Más de 230.000 equipos en más de 170 países. Esos son los dos números que, por el momento, exhibe la actuación de WannaCry, el ransomware que se ha alzado con la vitola de ser el ataque cibernético con más daños de la historia. Un malware que afecta a los sistemas Windows y que ya ha mutado a nuevas variantes lo que, previsiblemente, provocará más infección, lo que elevará el número de empresas y equipos atacados. Un ransomware que “arrancó” en España y Reino Unido el pasado viernes y que alcanzó, en pocas horas, una enorme viralidad.
España ocupa, con solo 1.200 infecciones registradas, la posición decimosexta en el ranking de países afectados, con dos variantes del virus WannaCrypt. Los países más afectados serían China, Rusia, EEUU y Reino Unido, destacando que en este trío el ataque ha afectado a servicios esenciales de salud, transporte o sistema financiero. Se da la circunstancia que estas infraestructuras no eran el objetivo principal del ciberataque.
Como es norma en este tipo de ataques, WannaCry se ha aprovechado de una vulnerabilidad (por la desactualización de un equipo) y a partir de ahí, echó mano del phising y provocó la infección del resto de los equipos.
La lista de empresas incluye nombres como Telefónica, la red sanitaria de Reino Unido, Renault o las japonesas Hitachi y Nissan, las últimas que han reconocido la infección.
Desde el INCIBE, que detectó en las primeras horas del pasado 12 de mayo los primeros incidente provocados por este ransomware, se sigue trabajando para mitigar sus efectos, analizando las diferentes variantes del código dañino que van surgiendo. La organización sigue enviando información actualizada sobre el ataque a todas las organizaciones, además de formas de protegerse y medidas para frenar la propagación del malware, en coordinación con el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). El Instituto, en menos de 24 horas, presentaba una herramienta que impedía la ejecución del ransomware (CCN-CERT NoMoreCry).
Entre las medidas recomendadas por el instituto, la primera, es la actualización de los equipos y los sistemas con los últimos parches de seguridad publicados por el fabricante, en este caso, Microsoft.
La paga del rescate no es, en ningún caso, una medida contemplada por los expertos en seguridad. Recuerda el INCIBE que efectuar el pago no garantiza que los atacantes desencripten los archivos; al contrario, con ese dinero se premia la campaña, lo que actúa de incentivo para continuar infectando. Por último, en el caso de que la empresa haya sido atacada y no disponga de copias de seguridad, se recomienda conservar los ficheros que hubieran sido cifrados por la muestra de ransomware antes de desinfectar la máquina, ya que no es descartable que en un futuro apareciera una herramienta que permitiera descifrar los documentos que se hubieran visto afectados.
La NSA, en el punto de mira
La vulnerabilidad utilizada por el ransomware es una brecha de seguridad en Windows y el “bicho” utilizó exploits robados de la agencia nacional de seguridad de Estados Unidos (NSA). Así lo ha asegurado Brad Smith, presidente y asesor legal de la multinacional, “afectando a clientes de todo el mundo”. De cualquier manera, reconoció la responsabilidad de Microsoft en el asunto.
Smith utilizó la situación para hacer un llamamiento a los gobiernos de todo el mundo sobre sus fórmulas de acumulación de vulnerabilidades, lo que provoca daños generalizados en el caso de que la información se filtre. El asesor legal exigió a los gobiernos a que cambien estos métodos y se unan a las mismas reglas que rigen en el entorno físico.