El ataque internacional con el virus Wannacry pone al desnudo la indefensión de los sistemas informáticos

588

El alto grado de exposición de las redes digitales corporativas debería alentar una respuesta eficaz.

El efecto de un ataque internacional contra los sistemas informáticos corporativos más diversos que se pueda imaginar ha sido devastador. El virus Wannacry tiene la capacidad de encriptar los datos almacenados en el disco duro de los ordenadores aislados o en redes con el algoritmo desarrollado por Rives, Shamir y Adleman antes de finalizar la década de 1970. Es un sistema de doble llave, pública y privada, de uso generalizado en el cual se puede seleccionar la potencia criptográfica de la llave que por defecto tiene una seguridad muy robusta con 2048 bit. Esta es la potencia adoptada para la encriptación del virus. La peculiaridad del virus utilizado es que para desencriptar la información pide un rescate. La forma de pagar el rescate es mediante la criptomoneda Bitcoin. Romper la encriptación requiere una fuerza bruta computacional superior a los recursos corporativos. La capacidad del virus se ha visto reforzada por la utilización de una herramienta desarrollada por la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés) estadounidense llamada Eternal Blue que fue birlada por un equipo de hackers bautizados Shadow Brokers y difundida en Internet.

La existencia de estas herramientas desarrolladas por la NSA fue denunciada por el ex subcontratista de la NSA prófugo Edward Snowden. Tras la filtración de los Shadow Brokers los fabricantes de software crearon parches para taponar los agujeros accidentales de su software para impedir la acción de Eternal Blue que se infiltraba en el sistema operativo Windows a través de un fallo en su código.

Dicho esto es significativo que la NSA se haya mantenido muda y no haya respondido a las preguntas de la prensa, es una forma de admitir el pecado. La comunidad de la inteligencia tendrá que asimilar el impacto que supone dotar de armas a los ciber criminales y no advertirlo oportunamente. Más significativo es que los sistemas informáticos corporativos no hayan aplicado el parche para sus sistemas operativos que el fabricante del software puso a disposición de los usuarios. Sobre todo teniendo en cuenta que Windows es un sistema poco robusto ante los ataques como bien lo saben los que transitaron alguna vez por la senda de la ‘hackeología’ y que se resisten a utilizar ese sistema operativo con dientes y uñas.

No es menos cierto que para los delincuentes informáticos es más rentable concentrarse en Windows precisamente por su muy extendida difusión, lo que lo hace una víctima más adecuada que los sistemas operativos más robustos como Unix en cualquiera de sus versiones y sus clones menores como Linux y Mac OS. Las corporaciones deberían tomarse un poco más en serio la seguridad de sus sistemas informáticos. La realidad pone en evidencia que contratar a un ex hacker y hacer barullo mediático con ello sirve de poco a la hora de defenderse.

A veces es más valioso adoptar rutinas eficaces como actualizar los sistemas operativos. La peculiaridad de que el virus que pide un rescate no afectara a los servicios a los clientes muestra una cierta sensibilidad en materia de riesgo penal por parte de los ciber cacos aunque si afectó a los pacientes del Sistema Nacional de Salud británico. Salvo esta excepción el ataque se limitó a mantener como rehén a los datos corporativos de uso interno, como dejar inaccesible para el departamento contable los datos de facturación de clientes.

Lo que si quedó verificada es la eficacia de la colectividad de empresas dedicadas en tiempo real a la neutralización de los ataques con virus, aunque la confesión en su blog del investigador de MalwareTech que logró neutralizar el ataque a las 18.23 BST del viernes 12 pone de relieve que el éxito fue parcialmente accidental y que su verificación tardó un poco.

El investigador se puso a trabajar con el virus al regresar a su casa a las 14.30 de ese día con una muestra facilitada por un colega y descubrió que el virus una vez que infectaba un ordenador intentaba conectar con un dominio de Internet sin registrar, es decir inexistente. La orden se ejecutaba a través del puerto SMB del ordenador, el que utiliza el Eternal Blue de la NSA… el investigador registró el dominio y sin saberlo detuvo el ataque y salvó de la infección a cientos de miles de nuevos ordenadores.

En un principio, el investigador de MalwareTech y sus colegas de otras empresas que colaboraron con el Centro Nacional de Ciber Seguridad (CNCS) británico en este ataque pensaron que el dominio sin registrar era una puerta falsa mediante la cual los atacantes tenían previsto frenar el ataque si pensaban que algo había salido mal. Es decir que el virus estaba diseñado de tal forma que si en el proceso de activación no lograba establecer conexión con el dominio no registrado, el virus se activaba y exigía el rescate.

Si por el contrario se conectaba quería decir que se había activado un sumidero al cual el virus se iba por su propio pie, una suerte de interruptor mortal. “Ahora creo que se trataba de un mecanismo anti análisis”, afirma el investigador en su post y explica que en su opinión si los ciber criminales detectaban que su virus estaba en proceso de análisis en un “cajón de arena” para destriparlo y neutralizarlo mediante su propio código registrarían el dominio y activarían el interruptor. La idea es sencilla, si el ataque va mal se registra el dominio y en el inicio de la infección los virus acaban en el dominio que actúa de sumidero. El post del investigador está en la página del CNCS y en esa página el organismo de seguridad afirma que MalwareTech efectivamente jugó un papel destacado en frenar el ataque de Wannacry además de puntualizar que trabajó con “una serie de organizaciones en la comunidad de la ciber seguridad incluyendo a MalwareTech y 2SEC4, para entender y mitigar la amenaza actual de rescate por parte del virus”.

“El dominio convertido en sumidero ha impedido que ocurran nuevas infecciones y ya ha frenado más de 100.000 nuevas infecciones. Sin embargo está acción no va a remediar las infecciones que ya se han registrado”, de acuerdo con el organismo de seguridad. Otra cosa será que las empresas recuperen con prontitud los datos encriptados. Una salida rápida sería que los investigadores dieran con el origen del ataque y encontraran las llaves de encriptación. Eso va por cuenta de la comunidad dedicada a reprimir este tipo de acciones, habrá que ver como de eficaces resultan.