He esperado un poco a que la cosa se calme para ver si comento o no del tema. Dado que tanto los medios como la gente que trabaja en el área han hablado en un lenguaje que lo único que hace es confundir más, he decidido comentar sobre esto en términos sencillos, como para policía.
Lo que ha acontecido ayer se resume en lo siguiente. Durante el gobierno de Obama la NSA ha desarrollado decenas de herramientas para espionaje digital. Esta historia sale a la luz después de la delación de Edward Snowden, quien da pruebas técnicas y explica cómo funcionan. Meses después un grupo de hackers llamado Shadow Brokers publica todo ese arsenal en la red, quedando a disposición de cualquiera. Wikileaks, a través del proyecto Vault 7 también ha publicado herramientas utilizadas por la CIA para el mismo propósito. El resto ha sido cuestión de tiempo.
Los “ransomware”, cuyo nombre se compone de “ransom” (recompensa) y “ware” como sufijo de programas o software, han existido en Internet desde hace varios años atrás. La idea es la misma que cuando un grupo criminal secuestra una persona para perder una recompensa. En este caso en el mundo digital. La forma como operan es primero identificar una vulnerabilidad que permita acceder a un sistema. En Internet existe información publicada por los productores y grupos especializados sobre las vulnerabilidades existentes en diferentes productos y equipos. Luego, utilizan un “malware” (definición que agrupa diferentes programas maliciosos) para aprovechar esta vulnerabilidad y acceder al sistema. Finalmente, el “malware” ejecuta un programa que cifra información del disco del sistema y presenta una pantalla con las instrucciones para pagar el rescate.
En el caso especifico del ataque del viernes, que ha infectado miles de sistemas a nivel mundial, y ha utilizado el malware conocido como Wanna Crypt o Wannacry. Se ha aprovechado una vulnerabilidad en los sistemas Microsoft Windows que la NSA había descubierto y guardado en secreto, hasta la aparición de Shadow Brokers. Microsoft ya había corregido el problema en marzo. Sin embargo, como también ocurre en nuestro entorno, muchos administradores de sistemas no habían hecho su trabajo, por tantos estos sistemas estaban desprotegidos y expuestos a este y otros potenciales ataques.
¿Cómo llegan estos malware a un sistema?
Por correo electrónico principalmente, como cualquier otro virus. Se diseñan documentos, por ejemplo en Word, que tienen un código malicioso que activa o descarga el malware y lo ejecuta. Una vez que eso pasa ya no hay nada que hacer.
Los correos se construyen, es decir, se crea un texto que parezca legítimo de modo que exista una mayor probabilidad de que la persona que utiliza en ese sistema lo abra.
¿Porque piden un pago en Bitcoin?
Pues por la misma razón que los delincuentes piden el rescate en billetes sin marcar y de denominación baja, para evitar ser rastreados. Este caso, como muchos otros donde se ha utilizado Bitcoin en hechos criminales, por supuesto hace que la gente hable mal de él, y en muchos casos tenga impacto en su precio.
¿Hay que culpar a Bitcoin?
No. Y la razón es la misma que cuando un grupo criminal pide un rescate en dólares americanos. A nadie se le ocurriría pedir que se elimine el dinero circulante pues los criminales lo utilizan para pedir rescates.
¿Qué se espera y qué hay que hacer?
En principio se espera que haya más de estos ataques y lo que hay que hacer es simplemente mantener los sistemas actualizados y reforzar las prácticas de seguridad de información, como el no abrir correos electrónicos que parezcan sospechosos o poco usuales (así crea que proviene de su novio ebrio).
Finalmente, hay una cosa interesante que ha pasado. Los ransomware deben indicar una dirección de Bitcoin para el envío de fondos y por tanto uno puede buscar en el blockchain desde qué direcciones ha recibido fondos y hacia cuales los ha enviado, pues Bitcoin es una base de datos pública. Hasta la mañana de ayer se sabía que existen 3 direcciones para el caso de WannaCry. Hasta el momento en que escribo esto 13 mayo 18:30 (GMT) estas cuentas han recibido en total 15.08951652 BTC. Las direcciones son:
- https://blockchain.info/address/12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw - 6.80581381 BTC
- https://blockchain.info/address/13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 - 4.82848759 BTC
- https://blockchain.info/address/115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn - 3.45521512 BTC