C¨®mo una herramienta secreta creada por Estados Unidos se convierte en una destructiva arma ¡®online¡¯
El secuestro del sistema p¨²blico de la ciudad estadounidense de Baltimore es la ¨²ltima prueba del uso criminal de recursos desarrollados por Gobiernos
El 7 de mayo, parte de los ordenadores de la Administraci¨®n de la ciudad de Baltimore (EE UU) se bloque¨®. Un hacker, o grupo de hackers, hab¨ªa encriptado archivos del sistema y ped¨ªa 13 bitcoins para liberarlos. El precio de las bitcoins var¨ªa bastante: ahora, son 92.467 euros.
El ataque bloque¨®, entre otras cosas, los correos electr¨®nicos municipales, una base de datos de multas de aparcamiento, un sistema utilizado para pagar recibos de agua y el sistema de venta de casas. El plazo para pagar el chantaje se ha ido alargando hasta ahora, un mes despu¨¦s del ataque. "No hablaremos m¨¢s, todo lo que queremos es ?DINERO! ?R¨¢pido!", dec¨ªa la nota que apareci¨® en algunas pantallas. Baltimore ha anunciado que ha recuperado algunos sistemas y que el coste final de este ataque para la ciudad rondar¨¢ los 18 millones de d¨®lares.
El caso de Baltimore habr¨ªa quedado como un ejemplo m¨¢s si no fuera por un detalle que revel¨® The New York Times y que est¨¢ en el centro del debate de la comunidad de ciberseguridad: para que el virus que bloque¨® los ordenadores fuera m¨¢s r¨¢pido, se us¨®, presuntamente, una herramienta llamada EternalBlue, creada por la estadounidense NSA (Agencia de Seguridad Nacional, en ingl¨¦s) alrededor de 2012.
EternalBlue hab¨ªa servido al Gobierno de Estados Unidos para aprovechar un fallo desconocido en el software de Windows e infiltrarse sin ser descubierto en cualquier ordenador con ese sistema operativo. "Era un Santo Grial", dice Sergio de los Santos, director de innovaci¨®n y laboratorio en ElevenPaths, unidad de ciberseguridad de Telef¨®nica Digital. "No requer¨ªa intervenci¨®n por parte del usuario, pod¨ªa pasar desapercibido y funcionaba en cualquier Windows moderno", a?ade.
EternalBlue hab¨ªa servido al Gobierno de EEUU para aprovechar un fallo desconocido en el 'software' de Windows e infiltrarse
Los virus inform¨¢ticos como el de Baltimore se llaman ransomware o de "recompensa" y son m¨¢s comunes de lo que parece. En Espa?a hubo 54 ataques contra infraestructuras cr¨ªticas de la Administraci¨®n en 2018, seg¨²n datos del Centro Nacional de Protecci¨®n de Infraestructuras Cr¨ªticas (CNPIC). Tambi¨¦n hubo dos contra infraestructuras cr¨ªticas en el sector privado. El CNPIC no revela los nombres de las empresas y organismos afectados.
Las 56 "infraestructuras cr¨ªticas" atacadas con ransomware son, seg¨²n la ley, "infraestructuras estrat¨¦gicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbaci¨®n o destrucci¨®n tendr¨ªa un grave impacto sobre los servicios esenciales". Los casos en los ¨²ltimos a?os, seg¨²n el CNPIC, no crecen porque dependen sobre todo de qu¨¦ tipo de ransomware se pone de moda y funciona mejor.
El c¨®digo usado en Baltimore se llama Robinhood, pero hay censados m¨¢s de 700 por todo el mundo. Van por rachas o modas: ahora acaba de cerrar uno, GandCrab, que presum¨ªa de cobrar comisiones de las recompensas que obten¨ªan sus "usuarios". Dicen que se han pagado 2.000 millones de d¨®lares gracias a su virus.
La mayor filtraci¨®n de la historia
En Espa?a hubo 54 ataques contra infraestructuras cr¨ªticas de la Administraci¨®n en 2018
La historia de EternalBlue va mucho m¨¢s all¨¢ de la inform¨¢tica. En 2017 un grupo llamado Shadow Brokers public¨® online unas herramientas, entre ellas EternalBlue. De repente estaba al alcance de cualquier Gobierno o banda criminal una de las mejores armas del arsenal estadounidense. Era como si hubiera un escuadr¨®n de F-35 tirados en un aeropuerto cualquiera disponibles para quien supiera pilotarlos. La gran pregunta es c¨®mo hab¨ªan llegado all¨ª.
El FBI detuvo en 2016 a Harold T. Martin, empleado subcontratado de la NSA, como Edward Snowden. En su casa encontraron montones de informaci¨®n clasificada, entre ella, las herramientas de hackeo que usaba la NSA para entrar en sistemas enemigos. ?Alguien ayud¨® a Martin? ?Qui¨¦n sigui¨® hablando por los Shadow Brokers despu¨¦s de su detenci¨®n? Hay muchas preguntas sin respuesta. La filtraci¨®n de Shadow Brokers fue peor que la de Snowden.
Cuando la NSA supo que su herramienta hab¨ªa sido robada, avis¨® a Microsoft para que parcheara el software. La acci¨®n es l¨®gica, pero no deja de ser c¨ªnica: la NSA avis¨® a Microsoft que arreglara un agujero que ellos hab¨ªan usado durante a?os. Microsoft lo hizo, pero no todos los sistemas del mundo se actualizaron en seguida.
Era como si hubiera un escuadr¨®n de F-35 tirados en un aeropuerto cualquiera
De aquella filtraci¨®n surgi¨® el virus WannaCry en mayo de 2017. "WannaCry solo sirvi¨® para provocar caos y para que EternalBlue perdiera todo su valor porque se dio a conocer", dice De los Santos. WannaCry fue un ransomware masivo. Fue como coger un escuadr¨®n de F-35 para atracar bancos al azar: algo absurdo. Los atacantes reunieron "solo" unos 140.000 d¨®lares de cerca de 400 ordenadores que pagaron.
El Departamento de Justicia de Estados Unidos imput¨® al programador norcoreano Park Jin Hyok por WannaCry. El origen por tanto est¨¢ establecido. Aquel virus alcanz¨® unos 300.000 ordenadores, entre ellos varios hospitales p¨²blicos en Reino Unido, Renault, Telef¨®nica, FedEx o los ferrocarriles alemanes.
Un mes despu¨¦s de WannaCry, lleg¨® NotPetya. A trav¨¦s de los servidores de una empresa ucraniana que serv¨ªa para hacer declaraciones de renta, NotPetya encript¨® ordenadores de toda Ucrania y de multinacionales que ten¨ªan servidores all¨ª. Afect¨® a 45.000 ordenadores de la red de Maersk, empresa de transporte mar¨ªtimo. Para volver a restablecer el sistema tuvieron que recurrir a un disco duro en Ghana que se hab¨ªa desconectado de la red por una ca¨ªda el¨¦ctrica un rato antes de que NotPetya destrozara todo el sistema. A la farmac¨¦utica Merck, por ejemplo, le cost¨® 870 millones en reparaciones. El principal sospechoso en este caso es Rusia.
Hasta ese momento, el ransomware hab¨ªa dependido sobre todo de la intervenci¨®n incauta de usuarios: hab¨ªa que clicar por ejemplo en un mensaje falso. Pero gracias a la combinaci¨®n de EternalBlue con otros, el virus reventaba ordenadores en cadena sin ninguna intervenci¨®n.
?Por qu¨¦ vuelve ahora?
Todo eso fue en 2017. ?Por qu¨¦ vuelve a estar de actualidad? Porque ha vuelto a casa. La sede de la NSA est¨¢ junto a Baltimore. Es como si armas fabricadas solo en Estados Unidos se usaran para atacar al pa¨ªs desde fuera. El uso preciso de EternalBlue en Baltimore est¨¢ en discusi¨®n, pero la falta de precauci¨®n de la NSA, o de cualquier Gobierno, con este tipo de herramientas es un riesgo enorme.
?Por qu¨¦ las empresas y organismos p¨²blicos no actualizaron en seguida sus sistemas?
Ahora una gran arma de la NSA est¨¢ en manos de cualquiera: "Una vez que esas herramientas est¨¢n ah¨ª fuera, pueden caer en manos de quien sea, incluso de unos ni?os", dice Ross Anderson, profesor de la Universidad de Cambridge. Dos a?os despu¨¦s ya no es sofisticada porque se han actualizado muchos sistemas, pero siempre habr¨¢ huecos.
La NSA no es el ¨²nico responsable. Microsoft, al fin y al cabo, hab¨ªa publicado el parche para evitar el asalto de EternalBlue. ?Por qu¨¦ las empresas y organismos p¨²blicos no actualizaron en seguida sus sistemas? Hay, sobre todo, dos motivos: uno, hay grandes empresas que necesitan que sus sistemas est¨¦n en marcha las 24 horas y detenerlos para actualizarlos requiere de mucho esfuerzo; y dos, hay sistemas que funcionan bien con versiones antiguas y una actualizaci¨®n puede estropear el funcionamiento.
Hay un tercer motivo m¨¢s difuso: negligencia. Las copias de seguridad, por ejemplo, son un recurso simple para restaurar sistemas si aparece un virus. "Hay una diferencia fundamental entre los equipos de seguridad y los sistemas en una empresa", explica Alfredo Reino, consultor en ciberseguridad. "Los sistemas se miden por cu¨¢nto tiempo funcionan, y si se cae algo tienen que levantarlo. Eso entra en conflicto con la seguridad. Cosas tan fundamentales como los permisos, parches y copias de seguridad, les parecen secundario. Y puede que lo retrasen o no lo hagan, no vaya a ser que se caiga".
Hay esc¨¢neres que buscan cu¨¢ntos ordenadores a¨²n no se han actualizado. Solo en Estados Unidos, hay m¨¢s de 400.000. En Espa?a tambi¨¦n hay muchos equipos al descubierto: "En el caso de ciudadanos particulares o empresas peque?as donde el uso de software sin licencia (y sin actualizaciones oficiales) es m¨¢s habitual, la incidencia de un ataque de estas caracter¨ªsticas podr¨ªa afectar a varios miles de equipos", dicen fuentes del CNPIC.
Eso no es lo peor. Lo peor es que Microsoft ha anunciado un nuevo parche este mes de mayo para un agujero que a¨²n no se conoc¨ªa. Es probable que alguien ¡ª?un Gobierno?¡ª lo haya estado usando como arma de espionaje. Es decir, quiz¨¢ hay por ah¨ª una herramienta para entrar en cientos de miles de m¨¢quinas sin actualizar. Las versiones de Windows por las que se cuela son m¨¢s antiguas que EternalBlue, pero su alcance es a¨²n un misterio.
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
Sobre la firma
