Así funciona WannaCry, el ‘ransomware’ usado en el ciberataque global

Ha sido la noticia más importante a nivel nacional en cuanto seguridad informática del año: Telefónica confirmaba este viernes haber sufrido un ciberataque masivo que inutilizó parte de su red interna y afectó a otras empresas españolas, así como a más de 70 países.

El culpable del ataque fue un ransomware, un tipo de software malicioso que se caracteriza por secuestrar el ordenador, bloqueando todos los archivos del disco duro con el objetivo de pedir un rescate por ellos, usando la moneda virtual criptográfica bitcoin, lo que hace la operación irrastreable.

En este caso concreto, el virus recibe el nombre de WannaCry, una versión mejorada del ya conocido Wanna Decryptor que cifra datos usando un algoritmo de encriptación con el protocolo AES-128 para generar una clave única que se almacena externamente. Este tipo de malware también infecta ordenadores que se encuentran en una red y además es capaz de autoprotegerse de los antivirus.

Tras casi un día de ataques a escala global, dos expertos de Reino Unido descubrieron que el virus, antes de atacar un nuevo objetivo, consultaba constantemente una dirección web o dominio que contenía una gran cantidad de caracteres y siempre terminaba en “gwea.com”. Uno de ellos decidió registrarlo (por 10€) y así provocar un comportamiento errático de la infección, que finalmente terminó por “apagar” al ransomware al entrar en un bucle. Estos dos expertos dedujeron que esa brecha en el código malicioso estaba ahí a propósito, como una especia de interruptor de emergencia hecho por su creador para apagarlo.

No es la variante que más infecciones exitosas ha conseguido, ya que otros como CryptoWall o Locky han provocado muchas más, pero el caso de WannaCry destaca especialmente por la rapidez con la que se ha expandido a nivel mundial.

El ransomware normalmente actúa propagándose a través del correo electrónico y de hecho, durante el año pasado fue muy común llegar a recibir mensajes sobre facturas pendientes o avisos sobre un paquete pendiente de recoger que resultaron falsos y eran una vía de infección. El archivo adjunto, que contendrá el virus camuflado y listo para actuar, se ejecutará de forma inofensiva de cara al usuario pero en segundo plano ya estará trabajando en la encriptación de ficheros. Este tipo de malware pueden ejecutarse en un momento concreto o aprovecharse de alguna vulnerabilidad del sistema operativo de la víctima.

En el caso de Telefónica, WannaCry utilizó un agujero de seguridad crítico en Windows para el que Microsoft había lanzado un parche urgente. Según Reuters, la herramienta que explota esta vulnerabilidad habría sido desarrollada por la Agencia de Seguridad Nacional (NSA) de Estados Unidos. Un grupo llamado TheShadowBrokers, que lleva tiempo intentando vender esas herramientas, filtró el malware.

Una vez infectado, aparece en la pantalla un aviso con una cuenta atrás para desembolsar una cantidad de dinero en bitcoins y obtener así la clave para desbloquear los archivos o se borrarán por completo.

Desencriptar esos archivos resulta extremadamente difícil sin dicha clave y es por ello que muchas empresas optan por desembolsar la cantidad que pide el atacante, pero los expertos en seguridad informática advierten que pagar no garantiza que se reciba la clave de desencriptado.

La mejor opción para protegerse ante este tipo de ciberataques es contar con una buena política de copias de seguridad cifradas, mantener el sistema y el resto del software siempre actualizado a las versiones más reciente y, como es lógico, aplicar el sentido común al momento de abrir correos electrónicos desconocidos.

Ante una infección, existen algunas herramientas creadas por las principales empresas de seguridad informática como Kaspersky o Avast. Todas están disponibles en la web de No More Ransom, un proyecto que nació ante la necesidad de ofrecer soluciones para este tipo de ataques. Para identificar el tipo de ransomware, se puede cargar en esa misma página un archivo infectado y los responsables se encargarán de analizar y guiar al usuario con la mejor solución.