Ataque informático mundial: el primer y segundo impacto
Informática Forense, es un blog donde el ciberespacio y las nuevas tecnologías son el tema central. Hoy queremos comentar sobre el ataque informático mundial que hemos sufrido estos días. Cuales son las repercusiones, como ha ocurrido y que medidas se van a tomar.
Ataque informático mundial: Un solo click y toda una red atacada
El pasado viernes, en la empresa de Telefónica, empezó un ataque informático que se convertiría en global. Los equipos de muchos de sus trabajadores empezaron a ser infectados. Un solo click de uno de ellos, genero lo que se ha conocido como un ataque informático a nivel mundial. Saltaron todas las alarmas y se inicio el protocolo de protección. Informando a cada terminal que fuese apagado inmediatamente. En España no sólo sufrió este ataque Telefónica, otras empresas también fueron víctimas. Tan sólo que esta si ha reconocido lo que ha ocurrido.
El virus en cuestión en un ransomware, que secuestra el contenido de los dispositivos a cambio de una recompensa. El pago se debe hacer con la moneda virtual, conocida como bitcoins. En pocas horas, no sólo era España la atacada, cientos de empresas de muchos países caían ante este programa malicioso. Los expertos como los peritos informáticos, se ponían manos a la obra para poder pararlo. Y al mismo tiempo buscar alguna solución para recuperar los millones de archivos y datos secuestrados.
Un viernes negro para la ciberseguridad mundial
Desde hace tiempo, se estaba viendo pequeños ataques a empresas españolas. Como de un juego se tratase, los ataques se hacían para medir la fuerza o la capacidad de los sistemas de seguridad informáticos. Pero no sólo a España, sino a otros países, lo que hacía ver que hubiera intentos de ataques masivos, cosa que finalmente ha sucedido.
Durante este fin de semana, la noticia corría como el polvorín. Más de 600 empresas de muchos países estaban sufriendo este virus. Desde Reino Unido, Portugal, Francia, Italia, Alemania, Turquía, Estados Unidos, China, Rusia, India, Japón…. Grandes empresas, bancos, hasta la plataforma de la Seguridad Social de Reino Unido, sufrían las consecuencias. Llegando a paralizar operaciones y la asistencia medica de este último país.
Ransomware WannaCry: El virus que paralizo medio mundo
Los protocolos se activaron y numerosas periciales informáticas comenzaron a realizarse. Desde los primeros momentos se sabía que era un virus de ransomware. Más tarde se supo más sobre este programa malicioso. Se llama WannaCry y se sospecha, hasta ahora, que procede de Corea del Norte. Lo que es seguro es que afecta a los sistemas de Windows. Cifra los archivos y las unidades de red, todas aquellas que estén conectadas en ese momento. Este virus además de cifrar el contenido de los dispositivos, usa una falla de ejecución de comandos.
El Instituto Nacional de Ciberseguridad, INCIBE; informó que dentro del ranking de los países infectados, España estaba en el puesto 18. Por mucho que los responsables del equipo de Telefónica, llamara y avisaran, incluso por megafonía, se extendió enseguida. En las pantallas de sus ordenadores aparecía un mensaje; donde explicaba que los datos habían sido secuestrados. Para recuperarlos solo debían pagar 300 bitcoins. Cantidad que iría subiendo transcurrido un tiempo, si no se hacia el pago.
El origen del ataque: primeras horas
Tras lo sucedido, se instalo los protocolos de seguridad. Por una parte, intentar contener el ataque, por otro encontrar alguna solución. Y por último, descubrir el origen de dicha ofensiva. El mismo Centro Criptológico Nacional, manifestaba que estábamos ante una herramienta llamada: EternalBlue. Esta había sido usada por la NSA y servía para objetivos de espionaje.
Este mismo marzo, Microsoft había recibido un programa malware con esta misma herramienta. La compañía pudo subsanar el problema creando parches de actualización. No obstante, existía una vulnerabilidad para aquellos ordenadores que no tenia dicha actualización. Dejándolos expuestos y con un peligro real de un nuevo ataque. Todas las sospechas recaían en un grupo de hackers o más bien crackers, que tenia su origen en Corea del Norte.
Corea del Norte: el gran sospechosos de este ataque
Poco a poco y a lo largo del viernes y del sábado, se empezaron atar cabos. Las sospechas caían sobre ese grupo de crackers, favorecido por el propio gobierno de Kim-Jong-Un. Por una pieza de código, se pudo comparar con ataques del pasado de dicha organización. Muchos expertos de varios puntos de la geografía, iban confirmando esas sospechas. Incluso, se recordó el hackeo que sufrió la compañía Sony, por este grupo. Se iba a estrenar una película de humor sobre unos periodistas que viajaban a Corea del Norte. Iban para efectuar una entrevista, pero en realidad, habían sido reclutados por el gobierno de EEUU. Su objetivo era eliminar a Kim-Jong-Un.
Los expertos de seguridad y ciberseguridad, creen que esta claro las pruebas que tienen. A lo largo de las semanas, se podrán obtener más evidencias digitales. De las cuales darán una mayor información de la autoría de este ataque mundial.
El objetivo no es el dinero. Es crear caos en el sistema
Las voces de los profesionales señalan que estamos ante el primer ataque apoyado por un Estado. Algunos apuntan que el objetivo principal no es el dinero. Realmente es una tapadera; más bien se trata de crear caos. Existe un fallo en el ransomware; tiene un botón de seguridad. Aunque es un diseño profesional, este botón ha hecho que no se haya infectado más terminales. Quien lo encontró fue un analista británico. Gracias a él, se ha podido detener parte de la ofensiva.
Ataque informático mundial: el primer y segundo impacto
El rescate recaudado por este programa malicioso ha sido menos de lo que cabía esperar. Es verdad, que algunos de los infectados, no van a confesar que han pagado, como no han dicho que han sido atacados.
Segundo ataque: sábado. Infectando a más terminales
Llegó el sábado y como muchos temían el ataque continuo. Esta vez, tocaba a empresas de China. El gobierno chino tuvo que emitir un comunicado, en el cual, hablaban de mas de 30.000 empresas afectadas. E incluso, a instituciones gubernamentales asiáticas. Se encontraban ante un desafío nuevo, sin precedentes para la seguridad informática china. Luego sería Japón, unas 600 empresas del país del sol naciente, habían sucumbido. Taiwan también mandaba comunicados; aunque había afectado un hospital de Nuevo Taipei, no hubo mayores problemas.
Mientras WannaCry se propagaba, otros se preguntaban, como una herramienta de la NSA, había caído en manos de estos crackers. Si el ataque se confirmaba y venia de Corea del Norte, estos debían haber robado dicha herramienta. Por lo cual deja en muy mal lugar, la seguridad de la NSA y al mismo tiempo, se exige una explicación. Porque si esto se confirmase, esta agencia no informo de lo ocurrido a las autoridades. Las incógnitas están en el aire, sin embargo las investigaciones acaban de empezar.
¿Y ahora que pasara? ¿Qué consecuencias quedan?
El ransomware continua con su oleada de ataques e infecciones. Aunque se ha podido hacer una contención, se rumorea por el ciberespacio, que este programa esta siendo mejorado. Otro dato es que puede que no sea por la mano de los crackers sospechosos. Sino otro grupo que quiera subirse al carro. Ante todo, tenemos que actualizar todos los terminales.
Más importante todavía, es concienciar por medio de cursos, jornadas o charlas, a los trabajadores de la ciberseguridad. Las empresas tienen que saber que es crucial tener no sólo protocolos de actuación, sino de prevención. Y estar mejor preparados para futuros ataques. Porque esto es solo el principio, habrá más ataques informáticos, no sólo a empresas sino a gobiernos.
