Un dominio de 10 euros, el freno inesperado al ciberataque en EE UU
Una soluci¨®n rudimentaria de dos expertos de Reino Unido dio tiempo suficiente para que el virus no se propagase en Estados Unidos
Un tipo llamado Darien Huss y un colega suyo, que tuitea desde la direcci¨®n @malwaretechblog, han resultado los eventuales h¨¦roes capaces de frenar el macroataque cibern¨¦tico producido este viernes a escala global, autores del que puede ser el mayor rescate digital de la historia.¡°Vi que no estaba registrado y pens¨¦, ¡®quiz¨¢ debiera hacerme con ¨¦l¡±, escribi¨® Huss, investigador de Proofpoint, en su cuenta de Twitter al ver que la soluci¨®n, un tanto inusual y que evidencia un fallo de los propios atacantes, funcionaba.
Ciberataque global: ¨²ltimas noticias
EL PA?S ha recopilado una serie de art¨ªculos que explican el desarrollo y las consecuencias del ataque inform¨¢tico.
Ambos estudiaron c¨®mo era el procedimiento de WannaCry, que es como se ha nombrado al software malicioso que atac¨® a grandes empresas el viernes, entre ellas Telef¨®nica, Fedex o el servicio de salud de Reino Unido (NHS). Vieron que al proceder a atacar un nuevo objetivo, WannaCry (en espa?ol "quiero llorar") contactaba con un nombre de dominio (una direcci¨®n de Internet), que consist¨ªa en una gran cantidad de caracteres cuyo final siempre era ¡°gwea.com¡±. Dedujeron que si WannaCry no pod¨ªa tener acceso a esa direcci¨®n comenzar¨ªa a funcionar de manera errante por la Red, buscando nuevos sitios que atacar, hasta terminar por desactivarse, como sucedi¨®.
As¨ª que, siguiendo esta l¨®gica, se compr¨® el dominio gwea.com. Lo adquiri¨® en NameCheap.com por 10,69 d¨®lares e hizo que apuntase a un servidor en Los ?ngeles que ten¨ªa bajo su control para poder obtener informaci¨®n de los atacantes. Tan pronto como el dominio estuvo en activo pudo sentirse la potencia del ataque, m¨¢s de 5.000 conexiones por segundo. Hasta que finalmente termin¨® por apagarse a s¨ª mismo, como un bucle.
Seg¨²n ellos mismos han explicado a Daily Beast, es muy probable que el autor del c¨®digo malicioso fuese consciente del fallo y lo mantuviera como un interruptor de emergencia para desactivarlo.
Ransomware, una amenaza cada vez m¨¢s poderosa
Joseph Popp, un investigador de SIDA en Reino Unido, ostenta un dudoso honor, fue el difusor del primer ciberrapto. Fue en 1989, cuando Internet no era m¨¢s que una red acad¨¦mica. Su distribuci¨®n se hizo a trav¨¦s de diskettes, m¨¢s de 20.000 infectados en 90 pa¨ªses. El pago que se ped¨ªa entonces oscilaba entre los 189 y los 378 d¨®lares.
Desde entonces no han dejado de multiplicarse y de sofisticarse, tanto en la difusi¨®n como en la forma de recaudar el rescate.
A partir de 2000 se ha convertido en un modelo de negocio para los profesionales del cibercr¨ªmen. Entre abril de 2014 y marzo de 2015 CryptoWall fue el protagonista intermitente de las pesadillas de los responsables de seguridad de empresas. El precio de la liberaci¨®n ha pasado de una media de 300 d¨®lares a mediados de la d¨¦cada a pasada a los 500 que se suelen pedir ahora. Una cifra que se suele multiplicar si se deja pasar la fecha l¨ªmite impuesta por los atacantes. El bitcoin, la criptomoneda m¨¢s extendida, es, de facto, el modo de pago m¨¢s aceptado en este mundo gris.
Solo en 2016 el sistema de hospitales de Los Angeles pag¨® por su liberaci¨®n. En Ottawa infectaron m¨¢s 9.800 m¨¢quinas de un hospital. El sistema p¨²blico de transporte de San Francisco sufri¨® un ataque el 25 de noviembre del a?o pasado, como liberaci¨®n se pidi¨® 100 bitcoins, una cifra que entonces alcanz¨® los 73.000 d¨®lares.
¡°Si no lo hubi¨¦semos parado, hay casi un 100% de posibilidades de que hubiera seguido republic¨¢ndose una y otra vez¡±, apunta, ¡°mientras que la gente no ponga los parches eso va a seguir sucediendo¡±.
Ryan Kalember, de la empresa de seguridad Proofpoint, considera que el ingenio de esta pareja merece reconocimiento: ¡°Merecen el premio al h¨¦roe accidental. Quiz¨¢ no son conscientes de lo mucho que han ayudado a frenar que este ransomware (como se llama en el argot a los programas que exigen un rescate) se difundiera en todo el mundo¡±.
En el momento en que registraron el dominio que puso freno al avance del ataque, miles de ordenadores en Asia y Europa ya estaban infectados, pero apenas hab¨ªa avanzado en Estados Unidos, donde hubo tiempo para poner el parche e inmunizarse. La soluci¨®n, que no ayuda a los que ya tienen sus m¨¢quinas infectadas, es posible que no sea definitiva. No hay una garant¨ªa sobre algunas variantes de este software malicioso que podr¨ªa tener otros interruptores para darlos de baja.
Shadow Brokers, el grupo que dice haber robado las herramientas de ciberespionaje de la Agencia Nacional de Seguridad (NSA) y que comparti¨® con Wikileaks a modo de denuncia, liber¨® este programa el 14 de abril. Una vez que se adentra en un PC, este encripta todos los datos de los ordenadores en los que se infiltra y pide un pago a cambio de desbloquear los archivos. En este caso la cantidad demandada por m¨¢quina fue de 300 d¨®lares. Seg¨²n los c¨¢lculos de Kaspersky Labs se registraron 45.000 ataques en 74 pa¨ªses.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
