Crear un arma cibernética es jugar a una lotería en la que existen un gran número de boletos para que esta termine descontrolada. Ha ocurrido con Pegasus, supuestamente diseñado para combatir el crimen organizado y el terrorismo pero usado para atacar a activistas, abogados, periodistas y políticos de todo el mundo. El escándalo con el software de espionaje israelí sigue la línea de lo ocurrido con otras ciberarmas, como la que causó una de las infecciones informáticas más masivas hasta la fecha, nacida en los laboratorios de la NSA estadounidense.
Todo empezó el 12 de mayo de 2017. Muchos especialistas no lo vieron llegar porque, simplemente, no creían que algo así fuera factible. Uno de los primeros focos fue Telefónica, cuyos ordenadores quedaron encerrados tras la pantalla roja que estaba a punto de dar la vuelta al mundo. Luego cayó el sistema británico de salud. Luego la red ferroviaria alemana.
Les siguió FedEx, el Ministerio del Interior ruso y unos 300.000 sistemas informáticos de 150 países entre los que había instituciones, hospitales, empresas y ordenadores personales. La cifra exacta nunca se sabrá porque muchas compañías y gobiernos ocultaron que habían resultado afectados. Lo único que quedó claro es que había llegado WannaCry.
La infección estuvo cuatro días descontrolada y causó unos 3.000 millones de euros en daños. WannaCry era un gusano que podía saltar de un sistema a otro atacando un punto débil de Windows sin que el usuario tuviera que hacer nada para darle acceso. Cuando penetraba, cifraba los archivos de la víctima, impidiéndole realizar cualquier operación. A cambio de liberarlos exigía un rescate de 300 dólares en Bitcoin (que después subió a 600).
El método del ataque de WannaCry era sofisticado, pero la ejecución de este no lo era tanto. El motivo es que tenían autores diferentes. Esa forma de explotar Windows ('exploit') que utilizó WannaCry se subastaba en la red al mejor postor desde hacía meses y Microsoft la había cerrado dos meses antes de que se produjera la infección. “Los 'exploits' de WannaCry utilizados en el ataque fueron robados a la Agencia de Seguridad Nacional (NSA) de Estados Unidos”, denunció Brad Smith, presidente de Microsoft. “Fue como si al ejército estadounidense le robaran sus misiles Tomahawk”.
Los 'exploits' fueron robados a la NSA. Fue como si al ejército estadounidense le robaran sus misiles Tomahawk
La NSA había creado una serie de arietes para explotar vulnerabilidades en los servicios digitales más conocidos y poder colarse en cualquier sistema informático. La agencia de inteligencia estadounidense los almacenaba (o almacena), algunos de ellos terminaron subastados en la red y la suerte para miles de empresas y usuarios estuvo echada. Alguien compró el exploit, diseñó un gusano para explotarlo y causó una infección mundial. EEUU y Reino Unido señalaron a Corea del Norte como responsable del diseño final de WannaCry.
“Este ataque es un ejemplo más de por qué la acumulación de vulnerabilidades por parte de los gobiernos es un problema”, denunciaba Smith: “Deben adoptar un enfoque diferente y atenerse en el ciberespacio a las mismas normas que se aplican a las armas en el mundo físico”. “En repetidas ocasiones, los 'exploits' en manos de los gobiernos se han filtrado al dominio público y han causado daños generalizados”, insistía.
Gran parte de los sistemas afectados fueron irrecuperables. El motivo es que, aunque los cibercriminales tras WannaCry exigían un rescate, no tenían un método fiable para saber de qué contagiado venía el pago y por tanto, no sabían qué sistema tenían que habilitar.
A pesar de ello, la afectación mundial no fue todo lo grave que pudo ser gracias a un héroe inesperado, un joven que entonces contaba con 22 años y vivía con sus padres en el Reino Unido. Este descubrió que WannaCry intentaba comunicarse constantemente con un dominio web que no existía pero cuyo nombre estaba escrito en el código. El joven registró el dominio por 10 dólares y dio por accidente con un sistema de desactivación del gusano. Era una especie de “apagado de emergencia” que los autores habían dejado programado, no está claro si como una forma de detener a WannaCry cuando decidieran hacerlo o como un puzle para los expertos en ciberseguridad.
Una infección mundial que cambió para siempre la ciberseguridad
WannaCry dejó un gran número de lecciones, además del peligro que suponen las ciberarmas y el riesgo de que terminen atacando indiscriminadamente. La primera fue el potencial cibercriminal de los ataques de 'ransomware' (del inglés ransom, rescate), que pasaron a ser explotados de forma masiva a partir de entonces. Otra, la utilidad que las criptomonedas iban a tener a partir de entonces para esos negocios oscuros.
El evento también fue una experiencia práctica sin igual para el lado de los ciberprotectores. La vulnerabilidad que WannaCry utilizaba para atacar Windows había sido parcheado por Microsoft dos meses antes: si los sistemas se hubieran mantenido actualizados, su impacto habría sido mínimo.
Con WannaCry se vio que había situaciones en las que algo muy potente podía afectar a cualquier empresa de cualquier tamaño, a cualquier administración, a cualquier persona
“Entonces seguía muy extendido el pensamiento de que, si no eras una empresa importante, nadie te iba a querer atacar. Con WannaCry se vio que había situaciones en las que algo muy potente podía afectar a cualquier empresa de cualquier tamaño, a cualquier administración, a cualquier persona individual. Y que podía ser algo que te tocara por mala suerte, completamente indiscriminado”, explica Marta Beltrán, directora del grado de Ingeniería de Ciberseguridad de la Universidad Rey Juan Carlos.
Los buenos mejoran, los malos también
El método de ataque, salido desde los laboratorios de la NSA e imparable sin la actualización, también mostró que había situaciones en las que, simplemente, no sería posible impedir que un ataque penetrara en los sistemas. “Hubo un cambio de concepción de la seguridad, porque hasta ese momento se invertía casi todo en la prevención. Pero a la hora de la verdad la gente no supo si tenía que apagar los ordenadores, si tenía que avisar a alguien, los equipos de respuesta no estaban coordinados... de ahí que al principio se extendiera y afectara tanto a muchas empresas. A partir de entonces se empezó a trabajar también en la capacidad de reacción”, continúa la experta.
Los cibercriminales también han mejorado sus métodos. Ya no les pasa lo de no saber muy bien quién les paga y para qué. De hecho, los ataques de ransomware han evolucionado hacia las extorsiones de doble o incluso de triple vuelta. Ahora, cuando comprometen a una organización, lo más seguro es que exijan varios pagos: uno por liberar los archivos y otro por no filtrar la información confidencial a la que han tenido acceso.
La reacción del Gobierno de Mariano Rajoy a la infección WannaCry fue anunciar la creación de un centro de ciberseguridad que pudiera coordinar todas las herramientas de protección con las que cuenta la administración pública. El anuncio de ese mismo centro se ha repetido desde entonces en todas las crisis de ciberseguridad y no se pondrá en marcha hasta, al menos, 2023.