Expertos en seguridad expresaron su alarma el viernes por una oleada –varias decenas de miles– de ciberataques en todo el mundo que parecían explotar una falla de los sistemas operativos de Microsoft que estaba minuciosamente descripta en documentos secretos de la Agencia de Seguridad Nacional (NSA) de Estados Unidos pero que fueron expuestos por un grupo de hackers conocido como Shadow Brokers el pasado abril. A partir de ese “agujero”, para el que el propietario de Windows había lanzado un parche en marzo, se colaron unas cuantas variantes de software malicioso que ejecuta lo que se llama ransomware (acrónimo por rescate y software en inglés).
Todos los ataques de este viernes se produjeron en esa forma de ransomware, una técnica utilizada por los hackers que encripta y deja inaccesibles los archivos de un usuario al que luego se le pide un “rescate” en bitcoin, una moneda virtual de comercio, para liberarlos. En este caso, sin embargo, la finalidad no parece haber sido esa.
El virus ransomware afecta a los «sistemas Windows cifrando todos sus archivos y los de las unidades de red a las que estén conectados», explicó el Centro Criptológico Nacional (CCN) de España, la división de los servicios de inteligencia encargada de la seguridad de las tecnologías de la información.
El alcance de los ataques no fue inmediatamente esclarecido, en medio de hipótesis diferentes de investigadores de seguridad. Pero el malware estaba siendo rastreado en ataques cometidos contra hospitales en Gran Bretaña, así como contra el gigante español de telecomunicaciones Telefónica. También se estaba extendiendo en otros países, entre ellos Brasil.
El nombre del primer malware (software malicioso) identificado en los ataques es WCry, pero los analistas también estaban registrando variantes como WannaCry, WanaCrypt0r, WannaCrypt o Wana Decrypt0r. La mayor compañía global de informática, Microsoft, había lanzado un parche de seguridad a principios de este año por la falla, pero, argumentaron voceros de la compañía, muchos sistemas aún no se han actualizado.
El investigador Costin Raiu, de Kaspersky –empresa de seguridad informática con sede en Rusia y propietaria de conocidos antivirus– dijo en un post en la red Tweeter: «Hasta ahora, hemos registrado más de 45.000 ataques del ransomware #WannaCry en 74 países de todo el mundo.»
Akub Kroustek, de la firma colega Avast, publicó en la misma red que había registrado «36.000 detecciones de #WannaCry (alias #WanaCypt0r aka #WCry) hasta ahora. Y agregó: “Rusia, Ucrania y Taiwán al tope. Esto es enorme».
Kaspersky señaló que el malware fue lanzado en abril por un grupo de hackers llamado Shadow Brokers, el cual afirmaba haber descubierto la falla de la NSA.
El Reino Unido perdió la flema inglesa
Según la primera ministra británica Theresa May, el ataque causó alarma mundial y afectó entre otros a hospitales británicos y empresas españolas.
«No se trata de un ataque contra el NHS (sistema nacional de salud), es un ataque internacional y varios países y organizaciones se han visto afectados» dijo May.
En el caso de los hospitales británicos, el ataque obligó a desviar ambulancias, suspender citas rutinarias e incluso, según dijeron testigos a la agencia AFP, alteró intervenciones quirúrgicas.
«Ciertas organizaciones del NHS informaron a NHS Digital que se vieron afectadas por un ataque informático», anunció el Servicio Nacional de Sanidad (NHS, en inglés).
Un portavoz del hospital Saint Bartholomew de Londres dijo que estaban sufriendo «problemas informáticos graves» y retrasos en sus cuatro establecimientos. «Lamentamos tener que cancelar citas rutinarias», añadió el portavoz, precisando que habían desviado sus ambulancias a otros establecimientos.
En España, a la misma hora
Prácticamente a la misma hora, varias compañías españolas, entre ellas el gigante de las telecomunicaciones Telefónica, fueron víctimas de un ciberataque con un virus del mismo tipo que el británico.
«Afectó puntualmente a equipos informáticos de trabajadores de varias compañías. Por tanto, no afecta ni a la prestación de servicios, ni a la operativa de redes, ni al usuario de dichos servicios», salió a enfrentar psicosis el gobierno mediante un comunicado en Madrid.
El ciberataque «no compromete la seguridad de los datos ni se trata de una fuga de datos», insistió el Ministerio de Energía, que también se encarga de las cuestiones digitales.
¿Al azar o con intención?
David Emm, investigador en seguridad informática de GReAT (Global Research & Analysis Team), de Kaspersky, explicó que «hay varios motivos para los ciberataques, desde los beneficios financieros al deseo de plantear alguna reivindicación social o política, pasando por el ciberespionaje e incluso el ciberterrorismo».
Sin embargo, si la captura de pantalla que presentaron algunos medios «reclamando 300 dólares es correcta, esto sugiere que es un ataque al azar, más que algo intencionado» a gran escala. «Si un ciberdelincuente puede golpear tantos sistemas a la vez, ¿por qué no pedir mucho dinero?».
Temen en el país de Temer
Los portales web del Tribunal de Justicia y el Ministerio Público de Sao Paulo salieron de internet este viernes como medida de precaución por el ciberataque global. Fue consecuencia de la instrucción recibida por parte de altas instancias gubernamentales de apagar los servidores por precaución, sin previsión de reconexión.
«No tenemos informaciones de que la seguridad de nuestra red haya sido comprometida», alcaró sin embargo el Ministerio Público.
El portal G1 informó que los servicios de la Gobernación de Sao Paulo y del Instituto Nacional de Seguridad Social de Ceará (noreste) registraron dificultades.
La compañía de comunicaciones Vivo, perteneciente a Telefónica, una de las primeras afectadas por el ataque en España, difundió un comunicado para anunciar que activó el protocolo de seguridad específico para este tipo de incidentes, pero que el servicio en Brasil no fue comprometido».