Esperando el gran ciberataque

«Wannacry no ha sido un evento aislado. Es una más de las secuencias de ataques informáticos que se producen todos los días y que crecen de forma exponencial. Pero habrá otros y serán peores», vaticina Jaume Abella, director del máster en ciberseguridad de La Salle. «Este ha creado mucha alarma porque combinaba dos técnicas muy dañinas: la capacidad de autorréplica de los gusanos, que no se veía desde hace años, y la encriptación de los ransomware, que cifran los archivos y se difunden por correo electrónico. Pero técnicas hay muchas, y hay gente muy experta que va por delante de las empresas de seguridad», señala.

Ya hay cierto consenso en que el origen del virus es un exploit (programas basados en fallos de otros programas) llamado EternalBlue, que formaba parte de un kit de desarrollo de nombre Fuzzbunch, que fue robado a la NSA por el grupo de hackers Equation Group y difundido por otro, Shadow Brokers. Su potencial para espiar ordenadores y redes fue probado por muchos informáticos para conocer sus efectos, uno de estos tests se considera el origen del virus Wannacry.

«Un caso como el del Wannacry puede volver a pasar porque aprovecha vulnerabilidades que no han sido arregladas. Es fácil que alguien tome el exploit y lo convierta en un virus latente que pueda ser utilizado cuando los delincuentes quieran. Hay que instalar las actualizaciones tan pronto se pueda, porque se pueden instalar programas que espíen la actividad de la compañía, y eso es muy peligroso», apunta Helena Rifà, directora de un máster en ciberseguridad.

«Con EternalBlue los atacantes pudieron entrar en los ordenadores sin hacer mucho ruido y robar información, poner troyanos, controlar nuevos objetivos… Lo más preocupante es que, pese a los parches publicados por Microsoft, habrá PC con estos agujeros durante años», advierte Carles Mateu, profesor experto en redes. Hasta Microsoft, cuyo sistema operativo, Windows, fue el objeto del ataque, advirtió a los gobiernos sobre los riesgos de «almacenar vulnerabilidades», y recordó cómo han acabado filtradas por Wikileaks u otros grupos. «Es un escenario equivalente a que hubiesen robado misiles Tomahawk al Ejército de EEUU», dice Brad Smith, presidente de asuntos legales de Microsoft en un post.

PRÓXIMOS CANDIDATOS / Al menos dos virus se disputan la sucesión de Wannacry porque utilizan la misma vulnerabilidad para expandirse, aunque mejoran dos de sus fallos: el sistema de cobros, que no era muy fino, según los expertos, e impedía comprobar quién había pagado, y el cifrado, basado en el estándar AES-128. «Parece extraño que su motivación fuera económica porque el sistema de pagos era muy rudimentario», señala Rifà.

Adylkuzz también usa, como Wannacry, el sistema de archivos SMB, pero para crear una red de ordenadores (botnet) que generan dinero virtual (una moneda tipo bitcoin llamada monero) del que luego se apropia.

El otro candidato es Uiwix, que sofistica bastante los fallos de Wannacry, según su descubridores, la empresa de antivirus Trend Micro. El malware, al parecer de origen chino, aprovecha el fallo en SMB para encriptar archivos y pedir un rescate en bitcoins, pero no se autorreplica ni se instala como programa, por lo que pasa mucho más desapercibido para los antivirus.

Más allá de SMB, entre las amenazas se habla de Terror Exploit Kit, conjunto de herramientas a la venta en la Deep Web para explotar otras vulnerabilidades.