WannaCry y ExPetr sólo son pantalla

En los últimos meses, el mundo se ha escandalizado por los ciberataques de ransomware que han afectado a millones de empresas. Primero fue WannaCry y luego ExPetr. Pero, ¿qué pensaría si le digo que estos son sólo una pantalla de algo más grande?

Esta semana tuve acceso a un informe de IDT Corporation —una empresa estadunidense pionera en el sistema de prepago y VoIP en telefonía— que le dejaría la sangre helada a cualquier afectado por estos ciberataques.

IDT fue víctima de un ataque de ransomware y descubrió que el o los hackers usaron dos ciberarmas que le fueron robadas a la Agencia de Seguridad Nacional (NSA), de las que fueron filtradas por The Shadows Brokers.

En el reporte de la compañía, el director de Información Global, Ben-Oni, asegura que en 22 años de lidiar con hackers de todo tipo, nunca había visto nada parecido. Inclusive el informe ha sido enviado a la Casa Blanca, al FBI y a las compañías más importantes de ciberseguridad, para advertirles sobre un ataque que aún podría estar dañando invisiblemente a víctimas de todo el mundo.

El ataque que sufrió IDT fue similar a WannaCry o ExPetr en un sentido: los hackers encriptaron los datos y exigieron un rescate para desbloquearlos. No obstante, la exigencia del rescate sólo fue una cortina de humo para ocultar un ataque mucho más invasivo que robó la información de los empleados.

Con esos datos, los ciberdelincuentes podrían haber circulado libremente por la red informática de la empresa, llevándose información confidencial o destruyendo los equipos.

Lo peor es que el ataque, que nunca antes se había reportado, no fue detectado por ninguno de los programas de ciberseguridad líderes en EU ni por los principales ingenieros de seguridad de las compañías tecnológicas ni por los analistas gubernamentales de inteligencia.

Si no hubiera sido por una “caja negra digital” que grabó todo lo que sucedió en la red de IDT, y por el trabajo de Ben-Oni, el ataque pudo haber pasado inadvertido. Los escaneos realizados a las dos herramientas usadas indican que la empresa no está sola. De hecho, las mismas armas de la NSA tuvieron acceso ilegal a decenas de miles de sistemas de cómputo en todo el mundo.

Muchas de esas computadoras infectadas están conectadas a redes de transporte, hospitales, plantas de tratamiento de agua y otros servicios, y nadie está preparado para esto.

Tanto en WannaCry como en ExPetr se utilizó una herramienta de hackeo que la agencia llamó EternalBlue. Esa aplicación se aprovechó de los servidores de Microsoft que no tenían las actualizaciones de seguridad para propagar automáticamente el programa malicioso de un servidor a otro. En 24 horas los hackers ya habían contagiado su ransomware a más de 200 mil servidores en el planeta.

IDT detectó el uso de otra ciberarma robada a la NSA llamada DoublePulsar. La NSA la desarrolló para infiltrarse en sistemas informáticos sin activar las alarmas de seguridad. Eso permitió que la agencia pudieran inyectar sus programas espía al centro neural del sistema informático de un objetivo, llamado kernel o núcleo, que gestiona la comunicación entre el hardware y el software de una computadora.

En el orden jerárquico de un sistema de cómputo, el núcleo está en la cima, por lo que permite que cualquiera que tenga acceso secreto a él pueda tomar el control total de un equipo. También es un peligroso punto ciego para la mayor parte del software de seguridad, pues permite a los atacantes hacer lo que quieran sin ser detectados.

Luego los hackers activan el programa de secuestro (ransomware) como una pantalla para cubrir su motivo real.

La especie de “caja negra digital”, un dispositivo de grabación de la red fabricado por la empresa israelí de seguridad Secdo, mostró que primero los atacantes se robaron las credenciales de IDT. Se las arreglaron para evitar todos los mecanismos de detección de seguridad con los que se encontraron. Finalmente, antes de salir, encriptaron su computadora con un programa de secuestro y exigieron 130 dólares para desbloquearla. Así encubrieron el ataque, mucho más invasivo, que habían realizado en los equipos.

En el peor de los casos, los atacantes podrían usar esas puertas secretas para desatar un programa maligno destructivo en cualquier infraestructura crucial de los afectados. ¿Podría avecinarse un ataque así? Yo creo que ya se está preparando.

                paul.lara@gimm.com.mx