¿Por qué el Ciberataque Mundial con el Virus ?
El pasado viernes el mundo experimentó la ira de un ciberataque coordinado con un virus ransomeware conocido como WannaCry. El ataque causó que el Servicio Nacional de Salud de Gran Bretaña cancelara las cirugías, y que una gran cantidad de instituciones públicas y privadas de Rusia y China se paralizaran la mayor parte del día, y que el resto del mundo retrocediera en estado de shock.
¿Cómo puede causar tantos estragos un solo malware que explotó una vulnerabilidad identificada hace mucho tiempo por la NSA, y que fue filtrada hace un mes por un grupo llamado Shadow Brokers?
Antes de que el malware pudiera causar cualquier daño en Estados Unidos, un investigador británico solitario, conocido como MalwareTech, afortunadamente identificó su interruptor de emergencia —el registro de un nombre de dominio— mientras estaba de vacaciones. La facilidad con la que MalwareTech hizo esto dice mucho sobre el pobre estado en que se encuentra la industria de la seguridad global de información y hace que aparezcan varias preguntas importantes.
LEE: El héroe que frenó el ciberataque masivo lo hizo sin saberlo y con solo 10 dólares
MalwareTech analizó el malware en un ambiente de prueba e inmediatamente notó que el código preguntaba por un dominio en internet que no existía. Los nombres de dominio usualmente funcionan como un comando de malware y como centros de control, así que MalwareTech simplemente compró el nombre del dominio que activaba el interruptor de emergencia de WannaCry. Fue increíblemente suertudo.
MalwareTech cree que el nombre del dominio no era un interruptor para activar el virus, sino un mecanismo por el cual el propio malware podría identificar si estaba siendo analizado.
Si el nombre de dominio se activaba, el malware podría asumir que fue un falso positivo de un investigador que estaba encubriendo su código, y WannaCry fue diseñado para frustrar ese tipo de análisis al apagarse a sí mismo. El hecho de que un solo dominio fuera codificado con el malware significa que restringir el nombre del dominio tenía el efecto de bloquear el virus a nivel mundial.
En resumen, los creadores del virus WannaCry fueron unos perezosos y el mundo estuvo de suerte. Si WannaCry pudo ser neutralizado así de rápido y fácil, ¿por qué le tomó tanto tiempo a alguien en este mundo voltear el interruptor y qué dice esto sobre el estado de preparación global cibernética?
Primero, muestra que la industria de la seguridad ve los ciberataques más como una oportunidad de negocio que como una oportunidad para poner jugar a sus líderes para eliminar la amenaza.
Aunque hay indudablemente profesionales que comparten información de manera incondicional —como lo hizo el propio MalwareTech— el evento de este fin de semana dejó claro que los esfuerzos de la comunidad de seguridad de la información necesitan mayor alineación, y que el mundo realmente no puede confiar en una combinación de suerte y codificación perezosa para evitar el próximo ataque.
LEE: Si fuiste afectado por el ciberataque ¡no pagues el rescate!: te lo pide la policía
Segundo, debemos preguntarnos si WannaCry fue solamente un test de preparación. Tal vez el interruptor no fue un acto de pereza, sino uno deliberado, diseñado para probar cuánto tiempo tomaría derribar el ciberataque.
Por otra parte, tal vez los creadores intentaron reunir inteligencia sobre el alcance y el tipo de sistemas que podrían ser afectados por el malware que atacó a sistemas operativos como Windows XP, cuyos desarrolladores no lo actualizan regularmente.
LEE: Microsoft te dará 100 dólares para que dejes de usar Windows XP
Alternativamente, el virus pudo haber tenido el propósito de demostrar el peligro moral de los gobiernos que catalogan las vulnerabilidades del software pero no notifican a sus desarrolladores. Por tanto, WannaCry ilustró exactamente lo que podría pasar si esas vulnerabilidad caen en malas manos.
WannaCry ha generado mucho debate sobre el peligro de los ciberataques patrocinados por estados. Como firme de defensor de la seguridad privada, creo que la inclusión de puertas traseras obligatorias del gobierno en aplicaciones o sistemas operativas que puedan permitir acceso sin trabas a la información o actividades personales, no sólo son imprudentes, sino también enteramente equivocadas. Pero si la elección de 2016 nos ha enseñado cualquier cosa es que no podemos negar que vivimos en una época que requiere capacidades cibernéticas tanto ofensivas como defensivas.
Al mismo tiempo, no podemos negar que debemos esperar más de gigantes del software como Microsoft. Vivimos en la era de la información de datos, en la que todo el software está rastreado. Frente a una vulnerabilidad del software que pueda llevar detener a la mitad del mundo, debemos esperar más que el lanzamiento oportuno de un parche.
Cuando sistemas críticos confían en un software en riesgo, es razonable esperar que desarrolladores de software como Microsoft, y no los gobiernos, se vuelvan más adeptos a notificar a las partes en riesgo y que aseguren que los sistemas se apliquen correctamente. Largas publicaciones en blogs, correos electrónicos y actualizaciones disponibles son desafortunadamente insuficientes porque muchos clientes no reciben el soporte principal o ni siquiera saben que están en posesión de un sistema valioso.
En abril de 2014, Microsoft dejó de dar soporte a sus sistema operativo Windows XP sobre el cual WannaCry se basó para propagarse, y aún así, instituciones de todo el mundo siguen usándolo.
El mundo era muy diferente hace tres años: el internet de la cosas era un concepto naciente pero creciente. Hoy en día es una preocupación mayor.
Si no descubrimos métodos más eficientes para combatir amenazas perniciosas como WannaCry, y si permitimos la creación y el abandono de softwares inseguros, podemos esperar enfrentar una gran cascada de amenazas que tienen el potencial de causar un significativo daño digital y físico.
Y la próxima vez no seremos tan suertudos.