¿Cómo funciona el ransomware y cuánto dinero han ganado los delincuentes?

CIUDAD DE MÉXICO. - El viernes pasado se vivió uno de los mayores ataques de ransomware en el mundo, el cual fue detenido gracias a un especialista que se hace llamar en redes MalwareTech, quien aún no canta victoria porque espera nuevas versiones que sólo podrán ser detenidas si las empresas tienen actualizados sus sistemas e instalados los programas “parche”. 

Un ataque tipo ransomware infecta un dispositivo y encripta la información de éste, lo que significa que el usuario deberá pagar un rescate para volver a tener el control sobre el equipo.

En el caso del también llamado WannaCrypt0r 2.0 o WCry, su impacto fue mayor porque se propaga utilizando una herramienta llamada EternalBlue, la cual se dice fue diseñada por el grupo cibercriminal Equation Group, y al que se ha vinculado con la Agencia de Seguridad Nacional de Estados Unidos.

El saldo de este ataque hasta el momento, de acuerdo con Intel, es de más de 209,000 detecciones de WCry en más de 150 países, mientras que F-Secure estima que los cibercriminales detrás de esto han ganado cerca de 25,000 dólares por el pago de rescate de equipos alrededor del mundo.

Dichas cifras no fueron mayores gracias a la intervención de MalwareTech, quien quiere permanecer en el anonimato y ha utilizado su cuenta de Twitter para advertir a las empresas y usuarios.

El especialista descubrió “accidentalmente” un kill switch o “interruptor de muerte” en el código de WannaCry, es decir, existía un dominio conectado al gusano y, al momento de comprarse y activarlo, provocó que el mal-
ware dejara de propagarse.

Mientras el dominio no sea revocado, esta cepa en particular ya no causará daño, pero tienen que parchar sus sistemas lo antes posible, ya que lo intentarán de nuevo”, fue la advertencia de MalwareTech.

Esto porque considera que el grupo detrás del ataque podría lanzar en los siguientes días una nueva versión que no contenga el kill switch y que siga aprovechando el método de propagación de EternalBlue.

De hecho, Forcepoint aseguró el domingo que ya existía una variante de WCry sin esa herramienta que detenga el ataque, aunque no ha podido ser confirmado por otras empresas de ciberseguridad.

Lo cierto es que incluso Rob Wainwrigth, director de Europol, ha comentado su temor en diversas entrevistas de que este lunes haya nuevos casos de empresas infectadas. De ahí que la organización ya esté trabajando con varias de las víctimas y con otras organizaciones para tratar de identificar a los culpables.

Tanto MalwareTech como otros expertos de Avast, F-Secure, Trend Micro y Forcepoint, por nombrar algunos, consideran que la mejor forma para protegerse de WannaCry y sus próximas variantes es tener actualizados los sistemas.

Esto porque EternalBlue se aprovecha de vulnerabilidades en diversas versiones del sistema operativo Windows, las cuales ya tienen un parche disponible desde marzo que lanzó Microsoft.

Juan Pablo Castro, director de Tecnología, Innovación y Estrategias de Ciberseguridad de Trend Micro Latinoamérica, indicó que las empresas afectadas no tenían instalado ese parche porque muchas veces resulta difícil aplicarlo, aunque el mayor riesgo es que muchas firmas usan versiones de Windows que ya no cuentan con soporte, hecho que las hace vulnerables.

De hecho, WCry causó tantos problemas que Microsoft lanzó este fin de semana un parche para versiones obsoletas y que oficialmente ya no tienen soporte de la compañía, es decir, Windows XP, Windows 8 y Windows Server 2003.

De acuerdo con un análisis de Dmitry Bestuzhev, director del Equipo de Investigación y Análisis para Latinoamérica en Kaspersky Lab, México se encuentra como el tercer país más vulnerable al ataque de WannaCry en América Latina, después de Brasil y Ecuador.

Esto fue reforzado por la empresa Seekurity, la cual, a través de su página de Facebook advirtió la identificación de 9,309 servidores y computadoras que pertenecen a aproximadamente 91 compañías localizadas en el país que “probablemente están en riesgo” de ser secuestrados.

Castro también comentó a Excélsior que ya había casos en el país, sin embargo consideró que muy difícilmente las empresas revelarán que fueron víctimas, sobre todo porque el tener comprometidos sus sistemas por WCry no pone en riesgo la información de sus clientes.

Recomendaciones para protegerse

dvr