La portada de mañana
Acceder
Feijóo confía en que los jueces tumben a Sánchez tras asumir "los números"
Una visión errónea de la situación económica lleva a un freno del consumo
OPINIÓN | La jeta y chulería de Ábalos la paga la izquierda, por Antonio Maestre

Manual de operaciones para entender los ciberataques recientes

“Si me engañas una vez, será tu culpa. Si me engañas dos, será la mía”. Es una frase atribuida al filósofo griego Anaxágoras, que vivió del 500 a.C. al 428 a.C. y que viene a decir que la primera vez quizá sea mala suerte, pero la segunda no. Este miércoles, Microsoft ha confirmado que Petya/NotPetya aprovecha una vulnerabilidad del sistema operativo Windows para propagarse. ¿Adivinan cuál? La misma que la compañía parcheó en marzo con la actualización de seguridad MS17-010. O lo que es lo mismo: el ransomware que puso en jaque este martes a medio mundo se cuela por el mismo agujero por el que se coló WannaCry hace un mes.

En medio año, el mundo ha visto cómo dos ciberataques ponían en jaque la seguridad del mundo moderno. La lista de afectados es larga: multinacionales, instituciones, bancos, cajeros automáticos, centrales energéticas, aeropuertos, estaciones de tren, puertos marítimos e incluso hospitales.

Hay quien habla de una tasa de infección que ronda los 500 ordenadores/minuto. Otros dicen que no será tan dañino como WannaCry, en parte porque muchas empresas ya habían actualizado sus equipos, o porque solo se expande a través de redes locales (LANs).

¿De dónde salen estos virus? ¿Cómo se propagan? Y lo que es peor: ¿cómo es posible que en un mundo permanentemente conectado a Internet la seguridad de algunas empresas sea tan deficiente? Para dar respuesta a esta y a otras preguntas, hemos elaborado un glosario con algunos de los nombres que más han aparecido en los medios desde que WannaCry hizo su aparición en mayo.

Mirai

Lo que la botnet Mirai nos enseñó es que es posible detener Facebook, Spotify, Twitter o PlayStation Network con un simple ataque de denegación de servicio (DDoS) y que, por eso, los años venideros serán duros en materia de ciberseguridad. Un ejército de dispositivos conectados a Internet y controlados remotamente fue capaz de dejar a medio mundo a oscuras: el Internet de las Cosas (IoT) que viene tiene mucho trabajo por delante.

La Agencia de Seguridad Nacional (NSA)

Solo en 2016, la NSA recopiló 151 millones de metadatos pertenecientes a llamadas de teléfono hechas en EEUU. En abril de este año, la agencia de espionaje estadounidense reconoció que “a veces” violaba los límites de la vigilancia, algo irónico si tenemos en cuenta que en 2004, el Hover Hammer (un gran dirigible blindado) espiaba a la ciudad de Nueva York las 24 horas al día.

Edward Snowden les denunció por espiar a millones de estadounidenses con la connivencia de las grandes empresas tecnológicas del país. La NSA tenía (y tiene) exploits, softwares de fuerza bruta, RATs, listas de vulnerabilidades de páginas web y un largo etcétera de herramientas de espionaje. Y entre ellas está ETERNALBLUE, uno de esos exploits que utilizó WannaCry y que también usa Petya/NotPetya.

The Shadow Brokers

¿Cómo llega una herramienta de una de las agencias más secretas del gobierno de EEUU a ser utilizada por unos hackers? Fácil: porque a la NSA se la robaron. Equation Group, un colectivo de hackers vinculado tradicionalmente a la agencia de espionaje, fue saqueado en agosto del año pasado por The Shadow Brokers. Son muy buenos, incluso cuentan con una newsletter mensual (que, por cierto, empieza su difusión el 1 de julio) en la que van incluyendo partes de lo robado a Equation Group.

Han subastado las herramientas en la Deep Web varias veces, las han vendido por partes, en packs, han hecho ofertas, rebajas e incluso crowdfundings. Son públicas desde agosto del 2016, pero solo han conseguido darles salida a principios de este año. En definitiva, dos grandes ciberataques, el mismo exploit de la NSA: ETERNALBLUE.

ETERNALBLUE

Está incluido en el pack que The Shadow Brokers pusieron a la venta en abril. Es un exploit que aprovecha una vulnerabilidad de Windows que afecta al protocolo SMB (Server Message Block). En ese pack también están incluidos otras herramientas similares como ETERNALROMANCE, ESKIMOROLL, ETERNALCHAMPION o ETERNALSINERGY, entre otros.

SMB Protocol

Sus siglas se refieren a “servidor de mensajes en bloque”. Es un protocolo que utiliza Windows para compartir información en una red sobre el resto de equipos, impresoras o dispositivos conectados a ella. Utiliza los puertos 137, 138 UDP y 139, 445 TCP para comunicarse con la red.

WannaCry

A estas alturas es difícil encontrar a alguien que no sepa qué es WannaCry. Hace algo más de un mes, el ransomware afectó a 179 países (entre ellos España) y golpeó con fuerza a las oficinas de Telefónica en nuestro país. El virus se distribuyó a través del correo electrónico gracias a la vulnerabilidad de Windows e infectó miles de ordenadores en todo el mundo. Como Petya/NotPetya, también pedía un rescate de 300 dólares en bitcoin para el que los hackers dispusieron tres monederos. Al final han recopilado 113.000 dólares.

Petya/NotPetya

La principal diferencia entre este ransomware y WannaCry es su nivel de propagación. Mientras que WannaCry utilizaba únicamente el exploit ETERNALBLUE, Petya/NotPetya incluye a ETERNALROMANCE (otro exploit de la NSA que también afecta al protocolo SMB y a casi todas las versiones de Windows, desde el 7 hasta el 10, pasando por Vista, XP, RT y Server (2008, 2012 y 2016). También es capaz de adivinar contraseñas almacenadas en el equipo y de cifrar la “tabla de archivos” del ordenador, el índice que permite al ordenador encontrar cada fichero en el disco duro.

Además, analistas de seguridad como Malware Tech Blog apuntan que hubo otro vector de infección localizado en Ucrania y que pasa por la empresa de software MeDoc.

MeDoc

Esta empresa ucraniana se dedica a fabricar software de contabilidad para otras compañías y negocios. Ha sido el paciente cero de la infección. Aunque al principio reconocieron haber sido hackeados, poco después eliminaron el aviso, pero aún puede ser consultado en el caché de la web. La revista Fortune explica que los hackers habrían introducido el ransomware en una actualización del software contable que MeDoc envió a a sus clientes el 22 de junio.

Se activó el día 27, pero una vez dentro de las empresas-objetivo lo único que tuvo que hacer Petya/NotPetya fue propagarse a través de su red de trabajo. Malware Tech Blog explica que, mientras que WannaCry comenzó infectando unos pocos ordenadores que a su vez escanearon a otros ordenadores, generando un efecto “bola de nieve”; Petya/NotPetya fue directamente colocado en los equipos que, a posteriori, serían infectados.

“Kill switch”

O botón rojo. Suele ser un mecanismo o procedimiento para desactivar un proceso. WannaCry fue apagado gracias al fundador de Malware Tech Blog, que encontró en su código una dirección web inactiva que, al ser registrada, dejo de responder a las peticiones de los ordenadores para activar el virus.

Aunque Petya/NotPetya no tiene un botón rojo remoto, sí que puede desactivarse desde el propio ordenador infectado. Para ello hay que crear un archivo de solo lectura que se llame perfc y colocarlo en la carpeta C:\Windows. Aquí viene explicado paso a paso cómo hacerlo.