CARATULA

ÍNDICE
ATAQUES RANSOMWARE WANNACRY ......................................................................................... 2
Antecedentes ............................................................................................................................ 2
Impacto ..................................................................................................................................... 3
Respuesta defensiva.................................................................................................................. 3
Reacciones................................................................................................................................. 4

i
 ATAQUES RANSOMWARE WANNACRY

Son ataques informáticos que usan el criptogusano conocido como WannaCry (también

denominado WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) dirigidos al sistema

operativo Windows de Microsoft. Durante el ataque, los datos de la víctima son

encriptados, y se solicita un rescate económico pagado con la criptomoneda Bitcoin, para

permitir el acceso a los datos. Los ataques ransomware normalmente infectan un ordenador

cuándo un usuario abre un email phishing y, a pesar de que presuntamente emails de esta

clase serían los causantes de la infección WannaCry, este método de ataque no ha sido

confirmado

Antecedentes
El supuesto vector de infección, EternalBlue, fue publicado por el grupo cracker The Shadow

Brockers el 14 de abril de 2017, junto con otras herramientas aparentemente filtradas del

colectivo Equation Group, de quienes se presume un vínculo con la Agencia de Seguridad

Nacional de Estados Unidos.

EternalBlue aprovecha la vulnerabilidad MS17-010 en la implementación ideada

por Microsoft para el protocolo Server Message Block (SMB).32 Esta vulnerabilidad de

Windows no es un defecto que permita un ataque de día cero, sino uno para el que Microsoft

ya había publicado herramientas, junto con un parche de seguridad para reparar

dicha vulnerabilidad dos meses antes, el 14 de marzo de 2017. El parche se aplicaba al

protocolo SMB utilizado por Windows, y cubría varios clientes del sistema operativo

Windows de Microsoft, incluyendo Windows Vista en adelante (con la excepción

de Windows 8), así como versiones incrustadas y de servidor, como Windows Server

2008 en adelante y Windows Embedded POSReady 2009, sin embargo, el parche no cubría

el más antiguo Windows XP

2
Impacto
Este episodio en la historia de los ataques computacionales no tiene precedente

según Europol. Esta agencia estima que alrededor de 200,000 ordenadores fueron

infectados en 150 países. Según Kaspersky Lab, los cuatro países más afectados

fueron Rusia , Ucrania, India y Taiwán.

El ataque afectó muchos hospitales del Servicio Nacional de Salud (NHS) en Inglaterra y

Escocia, y hasta 70,000 dispositivos pudieron haber sido afectados, incluyendo

ordenadores, escáneres de IRM, refrigeradores para el almacenamiento de sangre y

equipamiento de quirófano. El 12 de mayo, algunos servicios del NHS tuvieron que ignorar

emergencias no críticas, y algunas ambulancias fueron desviadas.

Respuesta defensiva
Las horas después de la liberación inicial del ransomware, el 12 de mayo de 2017, mientras

intentaba establecer la escala del ataque, Marcus Hutchins, un investigador quien bloguea

bajo el seudónimo @MalwareTech, accidentalmente descubrió lo que en la práctica resulta

ser un "botón de apagado" del malware, incluido como hard code en el código del mismo.64

65666768
Registrando un nombre de dominio correspondiente a un sinkhole DNS, logró

detener la propagación del gusano, porque el ransomware sólo encriptaba los archivos del

ordenador si era incapaz de conectarse a dicho dominio. Mientras esto no ayudó a los

sistemas que ya habían sido infectados, retrasó severamente la propagación de la infección

inicial y dio tiempo para que se desplegaran medidas defensivas en todo el mundo,

particularmente en América del Norte y Asia, en donde el ataque no había alcanzado la

misma extensión que en otras zonas. Se ha sugerido que el propósito de este "botón de

apagado" incluía hacer el programa más difícil de analizar. Algunas configuraciones de red

pueden impedir la efectividad de este método

3
Reacciones
Varios expertos destacaron la decisión de la NASA de no revelar la vulnerabilidad, y su

pérdida de control sobre la herramienta EternalBlue, usada en el ataque. Edward Snowden

dijo que si la NASA hubiera "revelado privadamente" el defecto utilizado para atacar

hospitales cuando fue encontrado, y no cuando fue filtrado, [el ataque] podría no haber

ocurrido".75 El experto británico en ciberseguridad Graham Cluley también encuentra "algo

de culpabilidad de parte de los servicios de inteligencia de los EE.UU.". Según él y otros

"(las agencias) podrían haber hecho algo hace mucho tiempo para arreglar este problema,

y no lo hicieron". También dijo que a pesar de los usos obvios de tales herramientas para

espiar personas de interés, las agencias tienen el deber de proteger a los ciudadanos de su

país.76 El presidente ruso Vladimir Putin colocó la responsabilidad del ataque sobre los

servicios de inteligencia de los EE.UU., por haber creado EternalBlue (Kroustek, 2017)

4
BIBLIOGRAFÍA
(Kroustek, 2017)