Esta historia arranca cuando una organización llamada The Shadow Brokers se hace con un arsenal de herramientas informáticas de la National Security Agency (NSA), la agencia de inteligencia estadounidense dedicada a la interceptación de redes de comunicación. Se trata de la misma agencia a la que proveía servicios la empresa para que la trabajaba Edward Snowden. The Shadow Brokers comenzaron en 2016 ofreciendo las herramientas de la NSA que disponían en una subasta al mejor postor. Pero nadie acudió a la puja y terminaron por ofrecer gratis en Internet la información robada a la NSA.

El 14 de abril de 2017 fue publicado un conjunto de herramientas e información de la NSA por parte de The Shadow Brokers con diferentes nombre en clave. Días antes habían explicado en un comunicado público que se sentían decepcionados con el presidente Donald Trump y mencionaban el ataque a una base militar siria.

Una de los conjuntos de herramientas de la NSA publicada por The Shadow Brokers se llamaba ETERNALBLUE y contenía información sobre un agujero de seguridad de Windows existente en sucesivas versiones del sistema operativo Microsoft Windows. Podemos especular si ese agujero de seguridad existía en Windows a propósito, creado en ese caso por Microsoft siguiendo instrucciones de la NSA, o fue encontrando por la propia NSA o los informáticos de una empresa contratista.

Soy lo bastante viejo para recodar el caso del descubrimiento de una variable llamada NSAKEY en software de Microsoft allá por 1999. Y si uno busca en Internet, encuentra enseguida artículos de la época donde se habla de la introducción de agujeros de seguridad en el software de Microsoft. Decía Duncan Campbell en 1999:

Within the Microsoft organisation, access to Windows source code is said to be highly compartmentalized, making it easy for modifications to be inserted without the knowledge of even the respective product managers.

Uno de los agujeros de seguridad de Microsoft Windows incluido en el paquete ETERNALBLUE afecta a un protocolo de comunicación cliente-servidor presente desde la versión XP (lanzada el 15 de octubre de 2001) a la actual versión 10 llamado Server Message Block (SMB). Significativamente, Microsoft publicó el 14 de marzo de 2017 un parche de seguridad para las diferentes variantes del sistema operativo Windows que subsana el agujero de seguridad. Eso fue semanas antes de que The Shadow Brokers publicaran la información proveniente de la NSA que incluía el paquete ETERNALBLUE.

Llegamos entonces a los acontecimientos del viernes 12 de mayo de 2017. Alguien en las oficinas centrales en Madrid de la compañía Telefónica recibió un correo electrónico con aparencia inocente pero que en realidad era sólo la imitación de un correo habitual de una fuente fiable. En el partido político “En Marche!” del ahora presidente Emmanuel Macron recibieron correos así desde dominios parecido al oficial en-marche.fr y que imitaban “hasta el último píxel” el aspecto de un correo salido del servidor oficial.

Alguien que recibió uno de esos correo trampa en Telefónica hizo click en el falso adjunto y procedió a ejecutar un programa que procedió a encriptar los archivos del ordenador con una determinada extensión y a expandirse por la red local de la empresa aprovechando. El software que encriptó los archivos fue bautizado con varios nombres como WannaCry, WannaCrypt, WNCry, etc.. Pide un rescate a pagar en la moneda virtual Bitcoins por la liberación de los datos, de ahí que este tipo de software se conozca como ransomware.

Al tiempo, empresas clientes de los servicios de Telefónica y que usan su infraestructura  empezaron a verse afectadas. Este es el momento de la presente historia que saltó a los medios de comunicación. Como esto es España, empezaron los chistes autoflagelantes sobre la tradicional chapuza y cutrez española. Uno de los blancos fue el mediático Chema Alonso, el “hacker” del gorro, que ahora es jefe de datos (CDO) de Telefónica y al que equivocadamente le atribuían responsabilidad en materia de seguridad. A las pocas horas, saltó la noticia de que el Servicio Nacional de Salud (NHS) británico había sufrido el mismo ataque y decenas de miles de ordenadores habían sido afectados en decenas de países, incluyendo ordenadores de organismos oficiales rusos. Se trataba de un problema global.

Imagen vía EMSISOFTblog.

La tarde del viernes, un experto en seguridad informática anónimo había conseguido aislar el software y hacerlo ejecutar en un entorno controlado para estudiarlo. Reparó en un cosa. El programa trataba de contactar con un servidor de Internet que tenía un nombre formado por una enorme ristra de letras aleatorias. El dominio estaba sin registrar. Con toda probabilidad se tratara de un sistema de protección ante ejecuciones en entornos controlados, que responden a cualquier intento de comunicación externa con respuestas simuladas. Si el programa recibía respuesta del dominio de nombre absurdo se detenía. El analista de seguridad registró el dominio incluso antes de entender qué función tenía y mientras lo estudiaba recibió el aviso de que el ransomware se estaba desactivando en todo el mundo. El asunto fue tratado en las noticias como “informático frena el ciberataque global de pura chiripa”. En realidad, el resultado hubiera sido el mismo de haberse desconectado del mundo trasteando en su ordenador hasta terminar de entender cómo funcionaba.

Este ejemplo de ransomware llevaba circulando desde marzo de este año y esta nueva ola de ataques se volvió más potente por el uso de las vulnerabilidades procedentes de las herramientas de la NSA. Si no buscamos más allás de los meros hechos estamos ante un ataque masivo movido por el afán de lucro que posiblemente se expandiera mucho más y más rápido de lo que sus autores preveían. Su impacto hubiera sido menor de haber aplicado las grandes empresas y organismos el parche publicado por Microsoft en marzo de 2017. Pero como siempre, lo urgente es enemigo de lo importante y en muchas empresas se retrasó la instalación del dichoso parche por razones particulares que cada empresa sabrá.

Si especulamos que detrás de esta historia hay algo más, tenemos que tener en cuenta que una vez se descubre el uso de una brecha de seguridad desconocida (Zero Day) el efecto sorpresa se anula y todo el mundo adopta medidas contra ese agujero de seguridad concreto. Es un arma de usar y tirar. Podríamos pensar entonces que fue un ensayo de algo y que algunas víctimas fueron una simple cortina de humo. Es decir, para no llamar la atención sobre el ataque a un objetivo en concreto se ataquen varias más para que parezca una ola de ciberataques global. ¿Porque podemos creer que los autores de este ransomware realmente esperaban que Telefónica y NHS pagaran un rescate? ¿O lo realmente interesante no era obtener dinero sino datos e información?

El viernes leí comentarios sobre qué país era el responsable de esta ola de ciberataques. Y en pleno 2017 la pregunta estaba mal formulada. La experiencia nos enseña que ahí fuera operan redes transnacionales de ciberdelincuentes muy sofisticados cuya acciones apenas se conocen porque ninguna gran empresa suele reconocer en público que ha sido desvalijada vía Internet. Sólo la caída de alguna de esas redes nos permite conocer su existencia. Los gobiernos aparecen en esta historia cuando se trata de delincuentes de ciertos países cuyas acciones se toleran mientras los objetivos sean extranjeros. Véase “Inside the Hunt for Russia’s Most Notorious Hacker” (Wired, marzo 2017).

La primera lección de urgencia es asumir de una maldita vez que cualquier hardware, software y servicio de Internet de una empresa estadounidense, desde routers Cisco a Facebook, tienen agujeros de seguridad a disposición de las autoridades del país. Y que cualquier organismo español (o europeo) que considere que sus datos no deberían estar al alcance de Estados Unidos debería emplear software libre. Mientras, Europa está enganchada a Microsoft. Y en España mejor no comentar dónde se usa Microsoft Windows.

Para detalles técnicos sobre el ransomware véase:

“Global WannaCry ransomware outbreak uses known NSA exploits”.

“How to Accidentally Stop a Global Cyber Attacks”.

5 thoughts on “Antecedes y unos rápidos apuntes sobre la ola global de ciberataques

  1. “Y en España mejor no comentar dónde se usa Microsoft Windows.”

    ¿Pudiera ser, y habla mi mente conspiranoica, que esa sea una claúsula que se le exige a países aliados en pago de lo que sea en cada caso que provea USA?

    1. Recuerdo hace muchos años leer sobre el servicio secreto alemán migrando a Linux. Sé que lo usa la Gendarmería Nacional francesa. Y buscando en Internet encuentro que el U.S. Army es el mayor usuario de Red Hat Linux del mundo y que los submarinos nucleares estadounidenses usan Linux, mientras los cuatro submarinos con misiles nucleares de la Royal Navy usan Windows XP.

  2. La clave para saber (en este caso concreto) si fue un ataque masivo o un ataque concreto más cortina de humo será conocer el vector del virus.

    Hasta ahora en otros casos de ransomware eran correos suficientemente genéricos: avisos de Correos, Endesa, AEAT… para tener una base más amplia de gente que pueda picar. Pero si se encuentran correos sospechosamente personalizados (y es probable que estén aún en los servidores de correo) sí se podría pensar en ataques dirigidos.

    También se pueden rastrear los bitcoins, que no son tan anónimos como cree la gente. No es fácil, pero tampoco imposible.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s