12/6/2019 Cómo una herramienta secreta creada por Estados Unidos se convierte en una destructiva arma ‘online’ | Tecnología

Tecnología | EL PAÍS

TECNOLOGÍA

Cómo una herramienta secreta creada por

Estados Unidos se convierte en una destructiva
arma ‘online’
El secuestro del sistema público de la ciudad estadounidense
de Baltimore es la última prueba del uso criminal de recursos
desarrollados por Gobiernos
JORDI PÉREZ COLOMÉ

9 JUN 2019 - 19:13 CEST

La filtración de Shadow Brokers fue un caso peor para la NSA que el caso Snowden. En la
imagen, un grafiti sobre la agencia estadounidense en Estocolmo (Suecia). PIXABAY

El 7 de mayo, parte de los ordenadores de la Administración de la ciudad

de Baltimore (EE UU) se bloqueó. Un hacker, o grupo de hackers, había
encriptado archivos del sistema y pedía 13 bitcoins para liberarlos. El
precio de las bitcoins varía bastante: ahora, son 92.467 euros.

https://elpais.com/tecnologia/2019/06/04/actualidad/1559684802_287272.html 1/9
12/6/2019 Cómo una herramienta secreta creada por Estados Unidos se convierte en una destructiva arma ‘online’ | Tecnología | EL PAÍS

El ataque bloqueó, entre otras cosas, los correos electrónicos

municipales, una base de datos de multas de aparcamiento, un sistema
utilizado para pagar recibos de agua y el sistema de venta de casas. El
plazo para pagar el chantaje se ha ido alargando hasta ahora, un mes
después del ataque. "No hablaremos más, todo lo que queremos es
¡DINERO! ¡Rápido!", decía la nota que apareció en algunas pantallas.
Baltimore ha anunciado que ha recuperado algunos sistemas y que el
coste final de este ataque para la ciudad rondará los 18 millones de
dólares.

El caso de Baltimore habría quedado como un ejemplo más si no fuera

por un detalle que reveló The New York Times y que está en el centro del
debate de la comunidad de ciberseguridad: para que el virus que bloqueó
los ordenadores fuera más rápido, se usó, presuntamente, una
herramienta llamada EternalBlue, creada por la estadounidense NSA
(Agencia de Seguridad Nacional, en inglés) alrededor de 2012.

EternalBlue había servido al Gobierno de Estados Unidos para

aprovechar un fallo desconocido en el software de Windows e infiltrarse
sin ser descubierto en cualquier ordenador con ese sistema operativo.
"Era un Santo Grial", dice Sergio de los Santos, director de innovación y
laboratorio en ElevenPaths, unidad de ciberseguridad de Telefónica
Digital. "No requería intervención por parte del usuario, podía pasar
desapercibido y funcionaba en cualquier Windows moderno", añade.

EternalBlue había servido al Gobierno de EEUU para

aprovechar un fallo desconocido en el 'software' de
Windows e infiltrarse

https://elpais.com/tecnologia/2019/06/04/actualidad/1559684802_287272.html 2/9
12/6/2019 Cómo una herramienta secreta creada por Estados Unidos se convierte en una destructiva arma ‘online’ | Tecnología | EL PAÍS

Los virus informáticos como el de Baltimore se llaman ransomware o de

"recompensa" y son más comunes de lo que parece. En España hubo 54
ataques contra infraestructuras críticas de la Administración en 2018,
según datos del Centro Nacional de Protección de Infraestructuras
Críticas (CNPIC). También hubo dos contra infraestructuras críticas en el
sector privado. El CNPIC no revela los nombres de las empresas y
organismos afectados.

Las 56 "infraestructuras críticas" atacadas con ransomware son, según la

ley, "infraestructuras estratégicas cuyo funcionamiento es indispensable
y no permite soluciones alternativas, por lo que su perturbación o
destrucción tendría un grave impacto sobre los servicios esenciales". Los
casos en los últimos años, según el CNPIC, no crecen porque dependen
sobre todo de qué tipo de ransomware se pone de moda y funciona
mejor.

El código usado en Baltimore se llama Robinhood, pero hay censados

más de 700 por todo el mundo. Van por rachas o modas: ahora acaba de
cerrar uno, GandCrab, que presumía de cobrar comisiones de las
recompensas que obtenían sus "usuarios". Dicen que se han pagado
2.000 millones de dólares gracias a su virus.

La mayor filtración de la historia

En España hubo 54 ataques contra infraestructuras

críticas de la Administración en 2018

https://elpais.com/tecnologia/2019/06/04/actualidad/1559684802_287272.html 3/9
12/6/2019 Cómo una herramienta secreta creada por Estados Unidos se convierte en una destructiva arma ‘online’ | Tecnología | EL PAÍS

La historia de EternalBlue va mucho más allá de la informática. En 2017

un grupo llamado Shadow Brokers publicó online unas herramientas,
entre ellas EternalBlue. De repente estaba al alcance de cualquier
Gobierno o banda criminal una de las mejores armas del arsenal
estadounidense. Era como si hubiera un escuadrón de F-35 tirados en un
aeropuerto cualquiera disponibles para quien supiera pilotarlos. La gran
pregunta es cómo habían llegado allí.

El FBI detuvo en 2016 a Harold T. Martin, empleado subcontratado de la

NSA, como Edward Snowden. En su casa encontraron montones de
información clasificada, entre ella, las herramientas de hackeo que usaba
la NSA para entrar en sistemas enemigos. ¿Alguien ayudó a Martin?
¿Quién siguió hablando por los Shadow Brokers después de su
detención? Hay muchas preguntas sin respuesta. La filtración de Shadow
Brokers fue peor que la de Snowden.

Cuando la NSA supo que su herramienta había sido robada, avisó a

Microsoft para que parcheara el software. La acción es lógica, pero no
deja de ser cínica: la NSA avisó a Microsoft que arreglara un agujero que
ellos habían usado durante años. Microsoft lo hizo, pero no todos los
sistemas del mundo se actualizaron en seguida.

Era como si hubiera un escuadrón de F-35 tirados en

un aeropuerto cualquiera

De aquella filtración surgió el virus WannaCry en mayo de 2017.

"WannaCry solo sirvió para provocar caos y para que EternalBlue

https://elpais.com/tecnologia/2019/06/04/actualidad/1559684802_287272.html 4/9
12/6/2019 Cómo una herramienta secreta creada por Estados Unidos se convierte en una destructiva arma ‘online’ | Tecnología | EL PAÍS

perdiera todo su valor porque se dio a conocer", dice De los Santos.

WannaCry fue un ransomware masivo. Fue como coger un escuadrón de
F-35 para atracar bancos al azar: algo absurdo. Los atacantes reunieron
"solo" unos 140.000 dólares de cerca de 400 ordenadores que pagaron.

El Departamento de Justicia de Estados Unidos imputó al programador

norcoreano Park Jin Hyok por WannaCry. El origen por tanto está
establecido. Aquel virus alcanzó unos 300.000 ordenadores, entre ellos
varios hospitales públicos en Reino Unido, Renault, Telefónica, FedEx o
los ferrocarriles alemanes.

Un mes después de WannaCry, llegó NotPetya. A través de los servidores

de una empresa ucraniana que servía para hacer declaraciones de renta,
NotPetya encriptó ordenadores de toda Ucrania y de multinacionales que
tenían servidores allí. Afectó a 45.000 ordenadores de la red de Maersk,
empresa de transporte marítimo. Para volver a restablecer el sistema
tuvieron que recurrir a un disco duro en Ghana que se había
desconectado de la red por una caída eléctrica un rato antes de que
NotPetya destrozara todo el sistema. A la farmacéutica Merck, por
ejemplo, le costó 870 millones en reparaciones. El principal sospechoso
en este caso es Rusia.

Hasta ese momento, el ransomware había dependido sobre todo de la

intervención incauta de usuarios: había que clicar por ejemplo en un
mensaje falso. Pero gracias a la combinación de EternalBlue con otros, el
virus reventaba ordenadores en cadena sin ninguna intervención.

¿Por qué vuelve ahora?

https://elpais.com/tecnologia/2019/06/04/actualidad/1559684802_287272.html 5/9
12/6/2019 Cómo una herramienta secreta creada por Estados Unidos se convierte en una destructiva arma ‘online’ | Tecnología | EL PAÍS

Todo eso fue en 2017. ¿Por qué vuelve a estar de actualidad? Porque ha
vuelto a casa. La sede de la NSA está junto a Baltimore. Es como si armas
fabricadas solo en Estados Unidos se usaran para atacar al país desde
fuera. El uso preciso de EternalBlue en Baltimore está en discusión, pero
la falta de precaución de la NSA, o de cualquier Gobierno, con este tipo
de herramientas es un riesgo enorme.

¿Por qué las empresas y organismos públicos no

actualizaron en seguida sus sistemas?

Ahora una gran arma de la NSA está en manos de cualquiera: "Una vez
que esas herramientas están ahí fuera, pueden caer en manos de quien
sea, incluso de unos niños", dice Ross Anderson, profesor de la
Universidad de Cambridge. Dos años después ya no es sofisticada
porque se han actualizado muchos sistemas, pero siempre habrá huecos.

La NSA no es el único responsable. Microsoft, al fin y al cabo, había

publicado el parche para evitar el asalto de EternalBlue. ¿Por qué las
empresas y organismos públicos no actualizaron en seguida sus
sistemas? Hay, sobre todo, dos motivos: uno, hay grandes empresas que
necesitan que sus sistemas estén en marcha las 24 horas y detenerlos
para actualizarlos requiere de mucho esfuerzo; y dos, hay sistemas que
funcionan bien con versiones antiguas y una actualización puede
estropear el funcionamiento.

Hay un tercer motivo más difuso: negligencia. Las copias de seguridad,

por ejemplo, son un recurso simple para restaurar sistemas si aparece un

https://elpais.com/tecnologia/2019/06/04/actualidad/1559684802_287272.html 6/9
12/6/2019 Cómo una herramienta secreta creada por Estados Unidos se convierte en una destructiva arma ‘online’ | Tecnología | EL PAÍS

virus. "Hay una diferencia fundamental entre los equipos de seguridad y

los sistemas en una empresa", explica Alfredo Reino, consultor en
ciberseguridad. "Los sistemas se miden por cuánto tiempo funcionan, y
si se cae algo tienen que levantarlo. Eso entra en conflicto con la
seguridad. Cosas tan fundamentales como los permisos, parches y
copias de seguridad, les parecen secundario. Y puede que lo retrasen o
no lo hagan, no vaya a ser que se caiga".

Hay escáneres que buscan cuántos ordenadores aún no se han

actualizado. Solo en Estados Unidos, hay más de 400.000. En España
también hay muchos equipos al descubierto: "En el caso de ciudadanos
particulares o empresas pequeñas donde el uso de software sin licencia
(y sin actualizaciones oficiales) es más habitual, la incidencia de un
ataque de estas características podría afectar a varios miles de equipos",
dicen fuentes del CNPIC.

Eso no es lo peor. Lo peor es que Microsoft ha anunciado un nuevo

parche este mes de mayo para un agujero que aún no se conocía. Es
probable que alguien —¿un Gobierno?— lo haya estado usando como
arma de espionaje. Es decir, quizá hay por ahí una herramienta para
entrar en cientos de miles de máquinas sin actualizar. Las versiones de
Windows por las que se cuela son más antiguas que EternalBlue, pero su
alcance es aún un misterio.

Se adhiere a los criterios de

Más información >

https://elpais.com/tecnologia/2019/06/04/actualidad/1559684802_287272.html 7/9
12/6/2019 Cómo una herramienta secreta creada por Estados Unidos se convierte en una destructiva arma ‘online’ | Tecnología | EL PAÍS

› ARCHIVADO EN:

Virus informáticos · NSA · Baltimore · Ataques informáticos · Servicios inteligencia

· Departamento Defensa EEUU · Maryland · Seguridad nacional · Estados Unidos

CONTENIDO PATROCINADO

Si su ordenador cuenta con Después del Coworking [Galería] 20 fotos increíbles

una conexión a internet, llega el Coliving que son totalmente reales
debería hacer lo siguiente…
SECURITY SAVERS BANKADEMIA EDITOR CHOICE

Y ADEMÁS...

Civitatis llena tu viaje Acusan a Yoli de ‘GH 15’ de Joaquín Sabina manda un
revender ropa de mensaje a este dirigente
Aliexpress como su propia político tras las elecciones:
EL PAÍS EPIK HUFFINGTON POST

recomendado por

N E W SL E TTE R
Recibe la mejor información en tu
bandeja de entrada

https://elpais.com/tecnologia/2019/06/04/actualidad/1559684802_287272.html 8/9
12/6/2019 Cómo una herramienta secreta creada por Estados Unidos se convierte en una destructiva arma ‘online’ | Tecnología | EL PAÍS

https://elpais.com/tecnologia/2019/06/04/actualidad/1559684802_287272.html 9/9