Un dominio de 10 euros, el freno inesperado al ciberataque en EE UU
Una solución rudimentaria de dos expertos de Reino Unido dio tiempo suficiente para que el virus no se propagase en Estados Unidos
Un tipo llamado Darien Huss y un colega suyo, que tuitea desde la dirección @malwaretechblog, han resultado los eventuales héroes capaces de frenar el macroataque cibernético producido este viernes a escala global, autores del que puede ser el mayor rescate digital de la historia.“Vi que no estaba registrado y pensé, ‘quizá debiera hacerme con él”, escribió Huss, investigador de Proofpoint, en su cuenta de Twitter al ver que la solución, un tanto inusual y que evidencia un fallo de los propios atacantes, funcionaba.
Ciberataque global: últimas noticias
EL PAÍS ha recopilado una serie de artículos que explican el desarrollo y las consecuencias del ataque informático.
Ambos estudiaron cómo era el procedimiento de WannaCry, que es como se ha nombrado al software malicioso que atacó a grandes empresas el viernes, entre ellas Telefónica, Fedex o el servicio de salud de Reino Unido (NHS). Vieron que al proceder a atacar un nuevo objetivo, WannaCry (en español "quiero llorar") contactaba con un nombre de dominio (una dirección de Internet), que consistía en una gran cantidad de caracteres cuyo final siempre era “gwea.com”. Dedujeron que si WannaCry no podía tener acceso a esa dirección comenzaría a funcionar de manera errante por la Red, buscando nuevos sitios que atacar, hasta terminar por desactivarse, como sucedió.
Así que, siguiendo esta lógica, se compró el dominio gwea.com. Lo adquirió en NameCheap.com por 10,69 dólares e hizo que apuntase a un servidor en Los Ángeles que tenía bajo su control para poder obtener información de los atacantes. Tan pronto como el dominio estuvo en activo pudo sentirse la potencia del ataque, más de 5.000 conexiones por segundo. Hasta que finalmente terminó por apagarse a sí mismo, como un bucle.
Según ellos mismos han explicado a Daily Beast, es muy probable que el autor del código malicioso fuese consciente del fallo y lo mantuviera como un interruptor de emergencia para desactivarlo.
Ransomware, una amenaza cada vez más poderosa
Joseph Popp, un investigador de SIDA en Reino Unido, ostenta un dudoso honor, fue el difusor del primer ciberrapto. Fue en 1989, cuando Internet no era más que una red académica. Su distribución se hizo a través de diskettes, más de 20.000 infectados en 90 países. El pago que se pedía entonces oscilaba entre los 189 y los 378 dólares.
Desde entonces no han dejado de multiplicarse y de sofisticarse, tanto en la difusión como en la forma de recaudar el rescate.
A partir de 2000 se ha convertido en un modelo de negocio para los profesionales del cibercrímen. Entre abril de 2014 y marzo de 2015 CryptoWall fue el protagonista intermitente de las pesadillas de los responsables de seguridad de empresas. El precio de la liberación ha pasado de una media de 300 dólares a mediados de la década a pasada a los 500 que se suelen pedir ahora. Una cifra que se suele multiplicar si se deja pasar la fecha límite impuesta por los atacantes. El bitcoin, la criptomoneda más extendida, es, de facto, el modo de pago más aceptado en este mundo gris.
Solo en 2016 el sistema de hospitales de Los Angeles pagó por su liberación. En Ottawa infectaron más 9.800 máquinas de un hospital. El sistema público de transporte de San Francisco sufrió un ataque el 25 de noviembre del año pasado, como liberación se pidió 100 bitcoins, una cifra que entonces alcanzó los 73.000 dólares.
“Si no lo hubiésemos parado, hay casi un 100% de posibilidades de que hubiera seguido republicándose una y otra vez”, apunta, “mientras que la gente no ponga los parches eso va a seguir sucediendo”.
Ryan Kalember, de la empresa de seguridad Proofpoint, considera que el ingenio de esta pareja merece reconocimiento: “Merecen el premio al héroe accidental. Quizá no son conscientes de lo mucho que han ayudado a frenar que este ransomware (como se llama en el argot a los programas que exigen un rescate) se difundiera en todo el mundo”.
En el momento en que registraron el dominio que puso freno al avance del ataque, miles de ordenadores en Asia y Europa ya estaban infectados, pero apenas había avanzado en Estados Unidos, donde hubo tiempo para poner el parche e inmunizarse. La solución, que no ayuda a los que ya tienen sus máquinas infectadas, es posible que no sea definitiva. No hay una garantía sobre algunas variantes de este software malicioso que podría tener otros interruptores para darlos de baja.
Shadow Brokers, el grupo que dice haber robado las herramientas de ciberespionaje de la Agencia Nacional de Seguridad (NSA) y que compartió con Wikileaks a modo de denuncia, liberó este programa el 14 de abril. Una vez que se adentra en un PC, este encripta todos los datos de los ordenadores en los que se infiltra y pide un pago a cambio de desbloquear los archivos. En este caso la cantidad demandada por máquina fue de 300 dólares. Según los cálculos de Kaspersky Labs se registraron 45.000 ataques en 74 países.
