Lo mejor de Mediapart
El virus WannaCry deja al descubierto las lagunas de la ciberseguridad mundial
En apenas una semana, un grupo de investigadores desencriptaba el virus WannaCry que, el viernes 12 de mayo, afectó a más de 300.000 ordenadores de 150 países, secuestrando los datos que contenían dichas computadoras. La herramienta, que permite descifrar el PC sin tener que pagar el rescate reclamado por los cibercriminales, bautizada como WanaKiwi, la han desarrollado tres franceses, Adrien Guinet, Matthieu Suiche y Benjamin Delpy. El viernes 19 de mayo, Europol informaba de que había probado con éxito el software en el que había trabajado el trío, de forma oficiosa, varios días con sus respectivas noches. De este modo, WanaKiwi, disponible en acceso libre, debería poner freno a la propagación del virus y dar carpetazo, temporalmente, a un episodio poco glorioso de la historia de la seguridad informática.
Muchas son las lecciones que podemos extraer del caso WannaCry, al que enseguida se calificó de “ciberataque sin precedentes”. En realidad, WannaCry no era en modo alguno un ciberataque y precisamente el hecho de que existan numerosos precedentes es lo más preocupante. WannaCry es el árbol que impide ver el bosque. Una impresionante bola mediática llevó a sobreestimar su impacto, ocultando con ello las deficiencias críticas de los principales actores encargados de garantizar la seguridad informática de los Estados.
Y de esta forma fue cómo, el viernes 12 de mayo, WannaCry corrió como la pólvora. La alerta saltó a primera hora de la tarde y, en apenas unas horas, la situación parecía catastrófica. Miles de ordenadores habían sido atacados. La atención se centra entonces sobre todo en Reino Unido donde resultaron afectados varios hospitales, causando numerosos inconvenientes. Pero también alcanzó a redes sensibles del mundo entero: el Ministerio del Interior y el Banco Central rusos, la española Telefónica, la compañía de ferrocarriles alemana Deustche Bahn, el gigante estadounidense de paquetería FedEx.
En Francia, la empresa Renault también se contó entre las primeras víctimas y debió cerrar de inmediato varias plantas de producción, una “medida de protección para evitar la propagación del virus”. El sábado 13 de mayo, Europol afirmaba que el ataque era “de un nivel sin precedentes”.
En todos los casos, el proceso se repite. Cuando las víctimas se disponen a utilizar el ordenador, aparece un mensaje: “Vaya, los archivos han sido codificados”. Los ficheros quedaban encriptados por el virus y sólo podían ser desencriptados con una contraseña. Para conseguirla, era necesario desembolsar la suma de 300 dólares, pagadera en bitcoins, la criptomoneda principal. En caso de no efectuar el pago, los datos se perderían para siempre.
Una semana después, la propagación del virus parece que ha sido frenada. El 13 de mayo, un joven investigador en ciberseguridad británico, que responde al pseudónimo de MalwareTech, descubría “por casualidad” un fallo de seguridad en el código fuente del virus, lo que permitía frenar su propagación. Según las estimaciones facilitadas el miércoles por la compañía de seguridad informática Kryptos Logic, de las 300.000 víctimas, el 30% reside en China y el 20% en Rusia, frente al 7% en Estados Unidos y el 2% en Francia, Gran Bretaña y Alemania. Lo más sorprendente es el magro botín recaudado por los cibercriminales. Según los datos de Reuters, del viernes 19 de mayo, sólo se habían abonado 309 rescates. Es decir, sólo pagó 1 víctima por cada mil, obteniendo un importe total de 94.000 dólares.
El balance de este “ciberataque sin precedentes” parece bastante exiguo comparado con sus predecesores, como recuerda Reflets. Ya en el 2000, el gusano informático I LOVE YOU mereció las portadas de la prensa internacional por haber infectado al 10% de los ordenadores del mundo entero, causando unos daños estimados por importe de 5.000 millones de dólares. Un año después, el virus Code Red infectaba 359.000 ordenadores causando daños por valor de 2.000 millones de dólares.
En la historia de la seguridad informática, son muchas las operaciones que han afectado a mayor número de máquinas y que han hecho más daños que WannaCry. Lo más inquietante en este asunto no es el número de víctimas, sino que se haya podido ejecutar y todo ello a pesar de los numerosas advertencias.
WannaCry es por encima de todo la historia de un fallo de ciberseguridad. “Ni siquiera se trata de un ciberataque, sino de una simple operación mafiosa”, confirma Éric Filiol, experto en criptología y virología, director de investigación en la Escuela Superior de Informática ESIEA. “Este asunto es simple y llanamente desolador. Es para darse cabezazos contra la pared. Nada de esto tendría que haber sucedido. Y, además, no se trataba de un ataque de un nivel muy elevado. Si hubiésemos tenido que vérnoslas con un virus del tipo Conficker, no me atrevo a imaginar lo que habría ocurrido...”.
Conficker es otro ejemplo de virus bastante más destructor que WannCry. Apareció en 2008 e infectó, según los cálculos, un número de entre 3,5 y 9 millones de ordenadores. Pero, sobre todo, se propagó en numerosas redes sensibles, entre ellas el Departamento de Defensa de EE. UU. y los Ministerios de Defensa británico y francés. Varios submarinos británicos llegaron a verse infectados y varios cazas Rafale franceses se quedaron en tierra por el incidente.
En lo que respecta a WannaCry, el número de empresas grandes afectadas es sorprendente. Hacía varios meses que se había anunciado que sucedería y los directores de seguridad informática (DSI) del mundo entero disponían de las herramientas para prepararse. La principal novedad de ese ransomware es que se propaga no por e-mail, sino utilizando un fallo de seguridad bien identificado de los software de Microsoft. En marzo, la empresa sacó el parche que permitía corregirlo dicha vulnerabilidad.
La publicación de este parche llegaba en el momento justo. Todo apunta a que ya había quien había detectado la vulnerabilidad, incluida la NSA de Estados Unidos. El 14 de abril, un grupo de hackers que se hacen llamar Shadow Brokers publicaba una serie de herramientas de la agencia norteamericana empleando vulnerabilidades 0-Day, es decir que no habían sido publicados ni corregidos. Entre ellos, figura ETERNALBLUE, que utiliza exactamente la misma vulnerabilidad que WannaCry. Enseguida se establecieron los vínculos entre WannaCry y ETERNALBLUE. El 13 de mayo, Microsoft publicaba una alerta por la que instaba a sus usuarios a actualizar el software.
Así las cosas, esto quiere decir que, durante dos meses, los responsables de ciberseguridad de las empresas afectadas ignoraron los avisos y omitieron actualizar sus redes. Éric Filiol no se muerde la lengua: “Es indignante, escandaloso. En estos tiempos, es más frecuente ver a los responsables de seguridad DSI dejándose ver por las ferias de ciberseguridad que a estos mismos DSI haciendo correctamente su trabajo básico. Lo siento, pero los de las empresas afectadas deberían ser despedidos, es lo que yo opino”.
Esta negligencia no parece que se limite al virus WannaCry. “Existe un verdadero problema no sólo de gestión de los ataques, sino simplemente cultural. Recordamos el descubrimiento en 2014 del fallo de seguridad HeartBleed que afectaba al OpenSSL. Entonces, esa grave vulnerabilidad, que existía desde hacía ya dos años, había aparecido en las portadas de los periódicos. Y sin embargo hace apenas unos meses se publicó un informe según el cual 200.000 servidores seguían sin disponer de medidas de seguridad. Eso quiere decir que, desde 2014, no han hecho nada por corregirlo. Si no se hace lo básico, nos dirigimos a la catástrofe a la fuerza...”.
“Ciudadanos en peligro”
Es imposible no buscar a los responsables, más bien a los irresponsables, en los Estados y sus servicios de inteligencia que han demostrado haber menospreciado la seguridad informática mundial. Hace años que activistas e investigadores denuncian la agresividad de los métodos empleados por las agencias gubernamentales. Ya sea imponiendo a las empresas en la Red que instalen sus productos de backdoors o puertas traseras o con el desarrollo de herramientas para explotar las vulnerabilidades existentes, los hackers de los servicios de inteligencia han introducido otros tantos fallos en la seguridad informática mundial.
Estas herramientas y vulnerabilidades no deberían conocerse, en la teoría, pero la experiencia demuestra que rara vez sucede así. Cuando se introduce una vulnerabilidad en un sistema, siempre habrá un hackers, un denunciante, un cibercriminal o una agencia de Gobierno que la detecta y la denuncia para su corrección o para usarla en beneficio propio.
Edward Snowden forma parte de los que denunciaron los métodos de la NSA. El 13 de mayo, señalaba en Twitter la ironía de la situación: “Pensad por un instante por qué nos dejan en manos de investigadores, y no de gobiernos, para intentar acabar con el caos provocado por el ransomware de la NSA”. Su tuit iba acompañado de un vínculo a un artículo sobre un informe de Cisco, según el cual el 90% del gasto efectuado en el marco de ciberprogramas por el conjunto de las agencias americanas se dedicaban a operaciones ofensivas.
Al menos WannaCry ha permitido apuntar claramente a la responsabilidad de los Estados. El viernes, el fundador de la Wikipedia, Jimmy Wales, calificaba el ransomware de “enorme cagada”cagada del Gobierno norteamericano. “Es algo que debería haberse resuelto en el momento en que la NSA lo descubrió. Tendría que habérselo notificárselo a Microsoft para que pudiesen publicar un parche discretamente. [...] Es muy problemático ver a los servicios de seguridad almacenar y montar cosas que son muy peligrosas para el público”, dijo Wales en la NBC.
Por su parte, el presidente de Microsoft, Brad Smith, reclamaba, el 14 de mayo, una “convención de Ginebra digital” que proteja a los ciudadanos de las ciberguerras que se libran los servicios. Esta obligaría a los Gobiernos a denunciar cualquier vulneración a las empresas.
Esta toma de conciencia del gigante informático no convence a Éric Filiol. “Es un gesto porque saben muy bien que no lo tendrán nunca. En resumidas cuentas: ‘La sartén le dijo al cazo...’. Microsoft gana millones a nuestra costa sin que podamos decir nada. Que empiecen a hacer su trabajo”, dice el investigador.
Como puso de manifiesto las revelaciones de Edward Snowden, las grandes empresas de Internet norteamericanas siempre han sido muy activas en la colaboración con las agencias de inteligencia, de forma voluntaria o no. Y la compañía de Bill Gates es conocida por haber instalado ya de forma voluntaria puertas traseras en sus productos.
El verdadero problema es que la vulnerabilidad de los sistemas informáticos, que debería ser la excepción, se ha convertido en la regla, una condición de funcionamiento impensable. Incluso existe un mercado de las vulnerabilidades 0-Day, donde se intercambian vulnerabilidades por varios miles o millones de dólares. Una parte de esta economía es legal y se enmarca en empresas especializadas como la francoamericana Vupen. Otra parte está sumergida. Pero en este punto, los intereses de las agencias de inteligencia y de los grupos cibercriminales convergen.
La ciberguerra necesita un mercado de vulnerabilidades”, dice Éric Filiol. “Estas sólo tienen interés si se quiere sistemas débiles. Y cualquier economía se ha construido sobre eso”, prosigue. Hoy, “los Estados sólo pueden actuar si mantienen un cierto nivel de inseguridad permanente. Y esta inseguridad permanente la mantiene el mercado de las vulnerabilidades”. En su opinión, “la solución sería “penalizar las ventas de las vulnerabilidades 0-Day. Aunque, no sólo no se penaliza, sino que se favorece”.
Opinión que comparte Bluetouff, hacker y periodista de Reflets. En un artículo publicado el 17 de mayo, insta a penalizar la “tontería digital” prohibiendo las ventas de vulnerabilidades 0-Day, pero también sancionando a las empresas demasiado laxas en materia de seguridad. “Aun a riesgo de sorprender a algunos, se debe reprimir a las personas físicas o jurídicas que conectan lo que sea a internet cuando saben que no existe no hay parche de seguridad en el objeto que conectan a internet”, escribe.
En resumen, WannaCry es más preocupante por lo que revela del estado de nuestra ciberseguridad que por los daños que ha podido causar. Entre grandes empresas que no mantienen su parque informático, fabricantes de software que ofrecen productos sin seguridad y agencias gubernamentales que utilizan y mantienen un mercado de vulnerabilidades, quizás los cibercriminales no es lo que más tengamos que temer. “Este caso plantea numerosos problemas”, resume Éric Filiol. “Primero están los DSI que no hacen su trabajo, pero también tenemos una hiperdependencia de Microsoft. Esta empresa equipa a día de hoy a buena parte de nuestras Administraciones, del Ministerio de Defensa a Educación. ¿Qué pasaría si, un día Francia entrase en conflicto con Estados Unidos?”.
Para Éric Filiol, la solución pasa por la toma de conciencia política. “Estamos en una situación que pone en peligro a los ciudadanos porque los Estados tienen miedo de su papel regulador”, opina. Pero las agencias de inteligencia también tienen gran parte de culpa. “Avanzamos directos a la catástrofe”, prosigue. “Hace falta una convención internacional como la de Ottawa, para las minas antipersonas o la de París, sobre las armas químicas”.
Mientras llega esta eventual toma de conciencia, los cibercriminales siguen. El miércoles 17 de mayo, los Shadow Brokers anunciaban que todavía disponen de muchas herramientas robadas a la NSA. Esperan ponerlas a la venta desde junio a cambio de una especie de abono a un club, el de los Shadow Brokers Data Dump of the Month’s Service. A cambio de cierta cantidad mensual, sus asociados recibirán mensualmente datos. “Lo que lo miembros hagan después con los datos sólo depende de los miembros”, precisan los Shadow Brokers. ________________
Traducción: Mariola Moreno
Leer el texto en francés:
Un nuevo ciberataque masivo afecta a grandes empresas e instituciones de varios países europeos
Ver más
EndFragment