Siete cosas que aprendimos por las malas en las últimas 48 horas

Desde el pasado viernes 12 de mayo de 2017, un ransomware llamado WanaCrypt0r 2.0 o WannaCry ha infectado cientos de miles de ordenadores en más de 70 países, incluyendo los hospitales públicos del Reino Unido, el ministerio del interior ruso, la red ferroviaria alemana, la empresa de mensajería FedEx y Telefónica. Su táctica es cifrar los archivos del disco duro y pedir un rescate de 300$ para su liberación. Del ataque, sabemos lo que sabemos; y el formidable David Sarabia se lo ha ido contando en eldiario.es. Pero también hemos aprendido cosas. Aquí van siete.

1. El malware más peligroso del mundo no lo diseñan terroristas ni criminales, lo diseña el gobierno de los Estados Unidos. WannaCry, el malware que sigue expandiendose por el planeta, fue diseñado por la Agencia de Seguridad Nacional estadounidense, que depende del Departamento de Defensa y que, en estos momentos, está bajo las ordenes de Donald Trump. Y, después de crearlo, ni siquiera la agencia más poderosa, preparada y subvencionada del mundo occidental es capaz de mantenerlo bajo llave.

Dejando de lado su origen, la existencia misma de ese código es una amenaza para todos. Por eso existe una ley que obliga a las agencias de inteligencia a advertir a las empresas como Microsoft acerca del software que han agujereado. Porque, una vez creado el código, la única solución posible es hacerlo obsoleto. Tratar de contener un código que vale millones de dólares en una organización donde trabajan cientos de miles de personas es como tratar de contener agua con las manos. Da igual lo grandes que las tengas.

2. La solución no fue descubierta por la Agencia Nacional de Seguridad estadounidense, sino por un aficionado al surf y a la ciberseguridad de 22 años que vive con sus padres en la costa británica. Aparentemente, la NSA esta tan centrada en diseñar herramientas de ataque que no tiene tiempo de preparar un plan de contingencia cuando se escapan de su laboratorio. Hoy domingo, WannaCry se sigue propagando pero mucho más despacio. Y varios analistas han descubierto variantes del malware sin el recurso que ha encontrado el británico para detener su marcha. A ver qué pasa el lunes.

3. Mucha gente va a morir por este tipo de ataques. Las infraestructuras más importantes para la mayor parte de la sociedad no son las más protegidas. El ejemplo evidente han sido los hospitales del Reino Unido que no han podido consultar historiales ni hacer radiografías desde ayer. Pruebas que son “críticas para atender las urgencias”, como han repetido los médicos en los medios de comunicación. El NSH ha sido muy castigado por los recortes y la actualización de sus redes, equipos y archivos no ha sido una prioridad. Su desesperación contrasta con la soberbia de Amber Rudd, ministra del Interior, declarando en la BBC que “los pacientes habían sufrido incomodidades pero nadie había tenido acceso a su historial”.

No se rían porque nuestro ministro del Interior, Juan Ignacio Zoido, ha hecho exactamente lo mismo. Celebremos que han aprendido que la privacidad de los pacientes es un derecho importante y que regalar sus historiales a Google a cambio de una App no está del todo bien. Ojalá aprendan sin necesidad de ejemplos que la falta de información y de máquinas en la sala de urgencias es una incomodidad mortal.

Y recemos para que otras infraestructuras críticas como centrales eléctricas, depósitos de agua, o de armamento nuclear estén mejor protegidas. Y que no haya tanques, bombarderos y submarinos cargados con Windows. Y que muchos se pregunten si de verdad quieren conducir coches conectados a Internet, o vivir con el Internet de las Cosas hackeables.

4. Las empresas prefieren pagar que contarlo. El Instituto Nacional de Ciberseguridad (INCIBE) dice que el número de “secuestros” y ataques ha aumentado en 45% solo en el primer trimestre de 2017. Si parecen pocos es porque estos son los que denuncian, que son pocos. Informes del sector dicen que en 2016 aumentó en un 752% y que supuso 1.000 millones de dólares en pérdidas económicas para las empresas de todo el mundo. Las grandes empresas pagan y callan porque prefieren perder dinero que perder reputación.

Es por eso que el viernes por la mañana, las oficinas de comunicación de casi todas las empresas afectadas negaban haber sido víctimas del ataque, y solo cuando se supo que la escala era internacional empezaron a reconocerse víctimas. Puro egoísmo irresponsable, porque alimentan el mercado de los secuestros e impiden la alarma necesaria para mejorar nuestra resistencia. De momento, los secuestradores han recibido 30.000 dólares, una cantidad ridícula comparada con la escala de la operación.

5. Las redes centralizadas y el software monopolista y privativo son una mala combinación de factores. El Centro Criptológico Nacional (CCN) ha confirmado que el malware se propaga por sistemas operativos Windows (desde el 7 hasta el 10, pasando por Vista, XP, RT y Server 2008, 2012 y 2016) y por todas las unidades de red a las que están conectados. Esas redes centralizadas llenas de ordenadores con el mismo sistema operativo son la clase de monocultivo que promueve y acelera las infecciones, hongos y plagas, el entorno perfecto para su propagación. Una mayor diversidad de sistemas operativos sería un entorno más sano y más difícil de arrasar.

Sobre todo cuando la empresa responsable puede dejar de actualizar y parchear su producto para obligar a los usuarios a comprar la siguiente generación de licencias. Han tenido que parar hospitales para que Microsoft publicara un parche de emergencia para tapar un agujero que ya conocían. El parche, como las vacunas, solo es útil si se aplica antes de la infección.

6. No hace falta ser un servicio de inteligencia para lanzar un cyberataque a nivel mundial. La herramienta era sofisticada; la ejecución, no tanto. Esto significa dos cosas y las dos son malas. La primera es que cualquier cartel de mamporreros con mil bitcoins para comprar malware de la NSA –o del Mossad o de 3PLA, la NSA china– puede lanzar un ataque capaz de poner en jaque redes de comunicación, bancos y hospitales, sin llegar a controlar la herramienta ni entender el daño no intencionado que puede llegar a producir. Pero también que una organización de verdaderos expertos con intención de hacer daño habría llegado mucho más lejos.

7. Volverá a pasar. Será pronto, y también será peor. Hay quien piensa que este ataque ha sido solo un ensayo, un ejercicio de prueba y error antes de un ataque más serio. El misterioso héroe anónimo que ha conseguido contener su expansión también advierte que “los criminales tocarán el código y empezarán otra vez”. El mundo del malware es darwiniano, pero evoluciona a mucha más velocidad.