El veinteañero que descubrió por casualidad cómo frenar el ciberataque

"Cuando volví de comer, tenía un montón de avisos sobre diversos hospitales en el Reino Unido que habían caído bajo el ataque y me di cuenta de que estaba ante algo grande". Así empieza su relato el investigador británico anónimo de 22 años de MalwareTech que ha dado con la solución para frenar el avance del gusano-'ransomware' WannaCry. Tan sencillo como poner a funcionar un dominio que venía en el código del malware.

Del investigador anónimo de momento solo se sabe su edad (22 años) y que vive en el sur de Inglaterra con sus padres trabajando para la firma estadounidense de seguridad Kryptos Logic. Con la ayuda de Darien Huss, de Proofpint, procedió a desensamblar el virus, para ver qué instrucciones llevaba en su código, y allí aparecía el dominio de internet www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Decidió registrarlo, por si acaso, como suele hacer cuando investiga otros virus que llevan dominios en el código, usualmente para crear botnets. Lo compró por 10,69 dólares en Namecheap.com y lo abrió a internet.

Al momento, registró más de 5.000 conexiones por segundo. Según el investigador, "todo este código (se refiere a los virus) se estaba intentando conectar al dominio que registramos y, si la conexión no era exitosa, el 'ransomware' atacaba el sistema, pero si era exitosa, el 'malware' se retiraba".

Este pequeño truco, que ha sorprendido a los propios investigadores, permitió frenar la infección sobre todo en Estados Unidos, donde justo estaba desplegándose. El experto en seguridad de Fox-It, José Miguel Esparza, ha explicado en su cuenta de Twitter: "Parece más bien que (el virus) era una prueba de concepto, a ver qué pasaba, y pusieron un "botón de pánico" por si acaso se descontrolaba".

Esta es una de las teorías que corren entre buen número de investigadores: el hecho de que el 'ransomware' llevase en sus entrañas una forma de desactivarlo es usual en las llamadas "pruebas de concepto", experimentos para comprobar si algo es posible. Aún así, no es una teoría firme porque desde VirusTotal aseguran que no ha habido sólo una oleada de este malware, sino que el 27 de marzo se registró la primera.

Según Bernardo Quintero, de Virus Total, esta primera oleada pasó "sin pena ni gloria" posiblemente porque el 'ransomware' no tenía funciones de gusano, como sí ha sucedido en esta segunda oleada, razón que posiblemente sea la clave de su éxito. Se desconoce si habrá más oleadas con modificaciones del código, como suele ser habitual en el cibercrimen asociado a los virus. Si realmente era una prueba de concepto, muy posiblemente todo acabe aquí y ahora.

"Es exactamente el mismo exploit que robaron a la NSA y le han puesto un 'payload' para cobrar el rescate, es una copia y cosa de ciberdelincuentes"

Marcos Gómez, subdirector de servicios de seguridad de INCIBE, no cree que estemos ante una prueba de concepto: "Es exactamente el mismo exploit que robaron a la NSA y simplemente le han puesto un "payload" para cobrar el rescate, es una copia y es cosa de ciberdelincuentes".

En todo caso, acaba su relato el investigador anónimo, "una cosa muy importante a tener en cuenta es que nuestro sumidero [sinkhole, en inglés, un servidor diseñado para captar tráfico malicioso y evitar que un ciberdelincuente tome control remoto de un ordenador] sólo detiene esta muestra, no hay nada que haga que impida que alguien elimine esta comprobación de dominio y vuelva a intentarlo, por lo que es muy importante que cualquier sistema que no haya sido actualizado lo sea y se apliquen los parches lo más rápidamente posible". El problema es que en las grandes organizaciones, que han sido las más afectadas, aplicar parches no es precisamente una cosa fácil ni limpia.