Descifrando WannaCry: el virus de moda

Este 12 de mayo de 2017 será recordado por todos como el día que unos ciberdelincuentes pusieron en jaque la seguridad de todos los equipos Windows con un ransomware llamado WannaCry. Este 12 de mayo de 2017 será recor… seamos sinceros, nadie fuera del mundo de la seguridad informática recordara este día, pero ese problema no es el que hoy nos concierne, empecemos desde el principio.

Soy un apasionado de la seguridad informática y lo acontecido estos días no hace más que recalcar, algo que hackers y apasionados de la tecnología llevamos gritando desde hace años: al usuario le importa nada y menos la seguridad. Pero la culpa de esto viene del mundo técnico y es que, seamos realistas, WEP o WPA2, AES o PSK, MD5 o SHA1, IPv4 o IPv6, HTTPS o HTTP… Se ha creado un mundo completamente inaccesible para el usuario, hemos absorbido el mundo digital sin tener ni idea de cómo funciona.

Teniendo esto claro, vamos a hablar de WannaCry, al que a partir de ahora me referiré cariñosamente como “el bichito”. Resulta que nuestro bichito se aprovecha de una vulnerabilidad conocida y parcheada en Marzo. Una vulnerabilidad que le permite, y atentos, porque esta frase en el mundo de la seguridad significa “estas jo****”: la ejecución de código arbitrario. El bichito básicamente te encripta el disco duro y te dice que pases por caja para poder usar tu máquina.

Pantallazo WannaCry
Pantalla que aparece al ser infectado con WannaCry en la que se alerta al usuario de que sus datos estan encriptados y que “debe” pagar para recuperarlos

¿Pero no robaba datos y se lo enviaba a los rusos? ¿Y no robaba tarjetas de crédito?

Pues no. Nuestro amigo secuestra tu ordenador y ya. ¿Os acordáis del “virus de la policía”? Pues WannaCry y éste último son primos. Hacen prácticamente lo mismo: Una vez infecta el equipo, analiza la red en busca de posibles víctimas y, una vez encuentra una víctima, busca a otra y luego a otra y otra y otra… Y para terminar, te muestra el precioso mensaje de “paga o formatea”.

Pantallazo "virus de la Policía"
Pantalla del “virus de la Policía”. Otro ransomware que infectó a varios ordenadores hace unos años en España

¿Pero cómo coges un bicho así? Pues porque alguien ha entrado en paginas de contenido poco moral, como empiricamentecierto.com, claramente, ¿no? Pues va ser que no. En este caso se usó un correo electrónico, y en un precioso instante alguien decidió abrir ese correo con asunto: “Te he visto en estas fotos de una fiesta” o “Mira las fotos de esta chica” o, mi preferido, “Yo chica rusa querer conocer tu completo desconocido mira mis fotos guapi”. En ese momento, alguien abrió ese correo completamente emocionado y… la emoción llegó a su vida y a su empresa de una manera completamente nueva y desconocida.

Hasta ahora, se han detectado dos variantes de nuestro amigo y vecino “el bichito”: WannaCrypt.A, que, antes de ponerse a cifrar como un loco, primero intenta conectar a una pagina web codificada. Si lo consigue, no hace nada. Se queda ahí contigo en amor y compañía. Pero si no lo consigue, te cifra el disco duro y luego te pide el rescate. Y la otra variante, WannaCrypt.B, que fue la que afecto a Telefónica, y que no se anda con miramientos: te cifra el disco duro y te pide, muy amablemente, que pases por caja al arrancar tu pc.

Apenas han pasado unos días, desde que sufrimos en Europa este ataque y ayer, día 15, China volvía a sufrir una nueva oleada del bichito, pero una nueva versión. Y es que, cambiando la sintaxis o el orden de algunas instrucciones de cualquier malware, algunos antivirus no lo detectarán. El problema es que se espera que esto continúe. Nuestro bichito es fuerte, y muta con facilidad. Agencias de inteligencia de todo el mundo sufren, luchan e investigan con el único objetivo de parar a WannaCry. En España se sabe de al menos diez equipos de operadores estratégicos nacionales infectados. Y estamos en la parte alta de la tabla de infectados, en la posición 18.

Mapa WannCry
Principales focos de infección de WannaCry a lo largo del globo

Venga va Chema, que ya nos has dado la chapa suficiente, ahora el “salseo”: ¿Y qué ha pasado con Telefónica? Porque a ellos les ejecutaron mucho código arbitrario y muy fuerte, ¿ehhh?

Siento deciros que no tanto como nos han hecho creer ciertos medios. Y, por cierto, enhorabuena al equipo de Telefónica, porque fueron rápidos y actuaron con una contundencia ejemplar: Desconectar la intranet para evitar propagación y cortar todas las comunicaciones internas hasta tener una evaluación de riesgos y perdidas bien hecha. Un ejemplo perfecto de “prevenir antes que curar” y que demuestra tener un protocolo de contención de daños MUY SÓLIDO. Resulta que mientras que otras empresas sufrían el ataque y callaban, Telefónica salió a la palestra y dijo las cosas como son, ofreció ayuda y también la solicitó. El mundo hacker volvió a demostrar que no es un mundo de criminales, y todo el mundo a investigar ¡BRAVO SEÑORES!

Pero, un momento. En Telefónica deberían tener todos los equipos actualizados, que tienen grandes hackers y administradores.

Pues mira, pensándolo así rápido, te digo que sí, pero, es que esto no es una empresa de barrio que vende componentes. En el mundo de verdad, las empresas así de grandes, generan muchísima tecnología y prueban muchísima más. En el mundo de verdad, un administrador no puede actualizar las decenas de equipos que pueda tener una empresa de este calibre y arriesgarse a que el programa X, que servía para la función Y, no funcione, o peor aún: “que el Windows vaya mal, después de actualizar”, (algo que no pasa nunca, ¿verdad?). La realidad empresarial es mucho más compleja de lo que podemos pensar.

Sea como fuere, el debate está servido, y es que si los chicos de Microsoft te sacan un parche CRITICO, el que ese parche sea instalado en todos tus equipos debe de ser CRITICO y se deben hacer todas las pruebas del mundo y poner barreras en tu red, defendiendo tú las vulnerabilidades que deberías saber que existen y en definitiva tienes que hacer tu trabajo a contrarreloj.

Chema López
Contacto

Chema López

Colaborador en Empíricamente Cierto
Eterno estudiante de Ingeniería de Software en la Universidad Complutense de Madrid. Apasionado de la seguridad informática, los gadgets y la fotografía.
Chema López
Contacto

Últimos artículos de Chema López (ver todos)

Chema López

Eterno estudiante de Ingeniería de Software en la Universidad Complutense de Madrid. Apasionado de la seguridad informática, los gadgets y la fotografía.