nuevas versiones más agresivas de Wannacry

Por qué se espera una segunda oleada de ciberataques (y puede ser peor)

Tras 48 horas del ciberataque que ha tumbado empresas en medio mundo, los expertos avisan de que en los próximos días puede haber una segunda oleada de 'hackeos' masivos. ¿Qué puede ocurrir?

Foto:

Cuando hoy lunes volvamos al trabajo y encendamos el ordenador de la oficina, el 'ransomware-gusano' WannaCry iniciará de nuevo su baile infernal. Europol ya ha avisado de ello, así como los expertos que llevan desde el pasado viernes lidiando con este ataque. Lo que no está claro es qué magnitud tendrá. ¿Será un repunte, dado que muchos sistemas ya han sido vacunados, o WannaCry nos sorprenderá con una nueva versión que vuelva a dejar KO a medio planeta?

Según Europol, la amenaza puede ir a más a partir de hoy mismo. "Ahora mismo estamos ante una amenaza que puede escalar. Los números están aumentando. Me preocupa cómo las cifras continuarán creciendo cuando la gente vuelva a su trabajo y encienda los ordenadores el lunes", ha dicho Rob Wainwright, director ejecutivo de Europol, al canal británico ITV. Hoy "todavía habrá muchas empresas donde no se haya 'parcheado' el problema", avisa el experto en 'malware' Joxean Koret. Es muy posible que haya nuevas infecciones a principio de semana pero, según Koret, "no creo que volvamos a vivir un ataque de la misma magnitud, han saltado ya demasiadas alarmas". En todo caso, dice: "No sé si habrá un nuevo ataque justo el lunes, pero seguro que lo habrá en un futuro cercano".

Es la fuerza de la costumbre quien le hace hablar así, dado que la mayoría de virus suelen volver, en diferentes oleadas, después de que sus autores les hayan cambiado ligeramente el código para evitar la detección de los antivirus. WannaCry también volverá y, de hecho, ya está volviendo, pues desde su aparición, el 27 de marzo, se han descubierto otras versiones del mismo, como la que atacó al planeta el viernes pasado, que fue la segunda.

(Reuters)
(Reuters)

"Buena parte de las campañas de propagación de 'malware' suelen empezar entre el domingo por la noche y el lunes por la mañana para coger con la guardia baja a los usuarios que acceden a sus ordenadores", explica Josep Albors, responsable de Investigación y Concienciación de la firma de seguridad informática ESET. Esto justificaría que mañana hubiese que estar vigilantes, al ser fecha habitual de infecciones. Albors coincide con Koret en que "es difícil que WannaCry vuelva a causar problemas de la misma magnitud, porque ahora todo el mundo está sobre aviso". La preocupación, sin embargo, está en nuevas versiones más agresivas que ya no se podrían frenar con las técnicas usadas con WannaCry.

Probabilidad "muy alta" de nuevos ataques

Los expertos llaman a "no descartar otros ataques", dice Albors, quien conmina a las empresas a "aplicar los parches de seguridad lo antes posible, para evitar nuevas infecciones que aprovechen esta y otras vulnerabilidades". Un punto importante son los portátiles que lleven de su casa los empleados. Al no haber sido actualizados, aunque la empresa haya actualizado equipos este fin de semana, pueden convertirse en un punto de entrada a la red corporativa.

El experto en ciberseguridad Jorge SoydelBierzo considera "muy alta" la posibilidad de nuevas infecciones mañana. Ahora bien, dice: "Que afecte a empresas del tamaño de Telefónica o Renault, ya menos". El peligro está en las empresas que no hayan actualizado aún sus sistemas Windows, especialmente las pymes o, apostilla Jorge, "las que tengan Windows pirata, las que no sepan que tienen abierto el puerto 445 a todo internet".

En el momento de escribir estas líneas, hay en internet 1,5 millones de dispositivos con el puerto 445 abierto, según el buscador Shodan, aunque esto engloba todo tipo de sistemas operativos, cuando solo los Windows son vulnerables. En caso de que se les haya aplicado el parche correspondiente, aunque tengan el puerto abierto están a salvo.

WannaCry es un virus "extraño". Da la impresión de ser el mayor ciberataque de la historia... con 'solo' 200.000 víctimas en 150 países

Otro punto importante es que a estas horas todos los antivirus detectan a WannaCry, lo que hace prever que mañana podamos ver un repunte pero no la debacle del fin de semana. Las empresas cuentan también con una defensa que el CCN-CERT puso a disposición de todo el mundo muy al principio del ataque: el programa NoMoreCry, que bloquea la ejecución del 'ransomware'.

WannaCry es un virus al que muchos expertos califican de "extraño". Da la impresión de ser el mayor ciberataque de la historia, ha armado un revuelo de dimensiones épicas... con 'solo' 200.000 víctimas en 150 países. Nada comparado con las infecciones que consiguieron otros gusanos, como los 50 millones de ordenadores afectados por I Love You en mayo de 2000, o los 11 millones del gusano Conficker en 2008.

Y es que WannaCry parece buscar hacer el menor daño posible. Por una parte, explica Josep Albors, "a todos nos sorprendió que se hubiera utilizado un 'ransomware' para el ataque, probablemente el 'malware' menos discreto que hay hoy en día, y que además fuera lanzado un viernes, limitando las capacidades de infección y permitiendo a los administradores de sistemas disponer de todo un fin de semana para restaurar los equipos infectados".

Otros virus habría podido explotar el mismo agujero y hacer mucho más daño, sin dar a conocer su presencia en la red, por ejemplo robando información. Un 'ransomware' se detecta fácilmente porque de repente 'estalla' en la pantalla del ordenador una ventana pidiendo el rescate, como puede verse en algunos vídeos que lo han registrado.

WannaCry no ha afectado de momento a los ordenadores domésticos, mientras que I Love You sí lo hacía, de ahí sus altos ratios de infección. "El protocolo SMB viene desactivado en las versiones domésticas de Windows", explica Albors. Los proveedores de acceso tienen cortado el acceso a este puerto desde el exterior hacia los ordenadores de sus clientes, por lo que en principio los usuarios domésticos no corren peligro. El ataque iba expresamente dirigido a empresas y organizaciones.

Nuevas variantes más agresivas

En el código del 'ransomware' también hay una cosa extraña: la existencia de un 'interruptor' para activar o desactivar el virus. Es el famoso dominio www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com, si el virus puede conectarse a él, deja de infectar. Si no, sigue. No es nada raro: es sabido que los gusanos informáticos se pueden descontrolar y a veces se les pone un 'botón' para pararlos, pero suele esconderse mejor, o cifrarlo.

Se creía que poner este 'interruptor' y tan a la vista había sido un error de los atacantes. Pero la realidad es que nuevas variantes que acaban de aparecer llevan también esta función, con otros nombres de dominio. Ahora bien, para complicarlo un poco más, algunas variantes hacen caso al dominio y otras no. Y las últimas que se han visto ya no llevaban 'interruptor'.

La aparición de nuevas variantes, con o sin dominio, por suerte todas de momento detectadas por los antivirus, se ha acelerado durante las últimas horas, como un anuncio de lo que puede llegar a partir de hoy. Y puede ser peor. Mientras, la confusión empieza a hacerse patente entre los investigadores, cansados después de estar tres días en alerta, con pocas horas de descanso y un enemigo que mueve los hilos desde la oscuridad, dando la sensación de que se está a su merced. El Instituto Nacional de Ciberseguridad, Incibe, ha publicado unas recomendaciones para que podamos sentirnos algo más seguras y seguros. Hoy, o en los próximos días, sabremos si llega o no un nuevo 'ciberapocalipsis'.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
11 comentarios
Por FechaMejor Valorados
Mostrar más comentarios