etnògraf digital

Anatomía de un ciberatac: 10 cosas que he aprendido

18 de Mayo de 2017
Act. 18 de Mayo de 2017
Josep Maria Ganyet | VIA Empresa
Un viernes un hacker desconocido lanza un ataque con un software malicioso rudimentario pero efectivo que se propaga en pocas horas por todo el mundo. Secuestra centenares de miles de ordenadores de grandes empresas en 150 países por los que pide un rescate en Bitcoins que va de 300 a 600 dólares por ordenador. Es el ciberatac más grande de la historia. Las empresas afectadas se ven obligadas a cerrar todos los ordenadores para evitar la propagación.

Expertos de gobiernos, empresas de seguridad y telecoms trabajan contra reloj para desactivar la propagación. Algunos afectados empiezan a pagar el rescate como mal menor mientras el programa malicioso se continúa propagando e infectando más ordenadores a cada hora que pasa. Primero los canales sociales, después los digitales y finalmente los informativos se hacen eco del que está pasando. En Gran Bretaña estalla el caos hospitalario cuando el Catsalut británico (NHS) queda parcialmente bloqueado por el ciberatac y se tienen que cancelar visitas y operaciones.

Un software malicioso ha podido entrar por un agujero de seguridad que tienen las versiones antiguas de Windows y que la NSA conocía bien porque lo había usado antes para infiltrarse en ordenadores de altri. Desde que unos hackers entraron a los servidores de la NSA hace unos meses y difundieron vía Wikileaks las vulnerabilidades de Windows que la agencia usaba, era cuestión de tiempo que alguien lo aprovechara y lanzara un ciberatac como este.

A la cabeza de unas horas, y sin explicación aparente, la difusión del software malicioso parece que remite. Los miles de ordenadores infectados continúan secuestrados pero ya no se propaga al ritmo exponencial de hace unas horas. De hecho el ataque se para. Un joven de 22 años británico que trabaja en ciberseguretat ha estudiado el software, ha visto que hace un llamamiento en un dominio no registrado, lo ha comprado por el equivalente de 9€ y el ataque se para.

Podría ser el guion del episodio perdido de Mr. Robot, pero a estas alturas todo el mundo sabe que todo esto es cierto y que estos hechos pasaron de viernes al pasado sábado.

Quéhemos aprendido? Que la tecnología tiene un lado oscuro y es peligrosa depende de cómo se utilice? No, esto ya lo sabíamos desde que inventamos la escritura. La imprenta sirve para imprimir La República de Platón pero también el Mein Kampf de Hitler; la radio nos mantiene informados pero fue la plataforma de difusión de propaganda clave para la creación de los totalitarismos del siglo XX. Podríamos continuar.

Además de tecnicismos y de visiones apocalípticas de nuestro futuro, de este último episodiohe aprendido muchas cosas, osdejo 10:

1. Que los cibercriminals sólo lo son si no tienen un estado al última. La NSA sabía de hacía tiempo la vulnerabilidad de Windows —esta y muchas más— que han explotado los hackers y lo había utilizado por sus funciones de vigilancia.

2. Que los ataques a gran escala ya no son patrimonio exclusivo de estados, ejércitos u organizaciones criminales; sino que cualquiera con acceso en la red tiene las herramientas y la información para poner en jaque en medio mundo. Parece que los responsables de este último ataque tampoco eran tan profesionales.

3. Que quizás la realidad supera la ficción pero para afirmarlo tendríamos que saber qué es realidad y qué es ficción. No sabemos quién son los cibercriminals (algunas fuentes apuntan en Corea del Norte), no sabemos si son poco profesionales o son tan buenos que sehacen pasar y no sabemos el alcance real del ataque puesto que muchas empresas y organizaciones no lo hacen público por miedo al escarni público conocido también como pena de Twitter.

4. Que empresas como Telefónica (Telefónica!) tienen ordenadores con versiones antiguas de Windows que nadie se había preocupado de actualizar cuando todo el mundo sabía que las vulnerabilidades eran públicas y que un ataque sólo era cuestión de tiempo. Su negligencia puso en peligro otros emprendidas clientas suyas encomendándolos el software malicioso.

5. Que otras grandes empresas y organizaciones como el Catsalut británico (NHS) tampoco estaban preparadas y que en general la seguridad incluso de grandes corporaciones que se dedican al negocio TIC dejan mucho que desear. Os podría explicar mi experiencia en grandes organizaciones multinacionales pero no me creeríais.

6. Que un grande poder comporta una gran responsabilidad. Es responsabilidad de empresas, organizaciones, gobiernos e individuos tener copias de los datos, tener los sistemas operativos actualizados, evitar hacer clic a enlaces poco claros y no ceder a chantajes.

7. Que los actos en el espacio digital tienen un impacto directo en el espacio físico y pueden tener consecuencias fatales en ambos.

8. Que este tipo de ataques se volverán a repetir. Por el efecto imitación, porquemejorarán los mecanismos de desactivación o porque explotarán otra vulnerabilidad conocida pero a la que millones de ordenadores no actualizados son todavía sensibles.

9. Que Microsoft le ha visto las orejas al lobo y ha trabajado sin cesar para sacar parches que repararan las versiones afectadas de Windows aunque no tuvieran apoyo y en un gesto inaudito lo han reconocido a su blog.

10. Que el Marcus Hutchins, un chico británico de 22 años, es el héroe que de manera accidental pero metódica desactivó la difusión del software malicioso en cuestión de horas. Afirma que él no es ningún héroe, que hizo el que hace siempre en estos casos: estudiar el software malicioso y mirar de parar su difusión porque "es el que toca, no?". En un apunte a su blog lo explica con los agradecimientos a los que lo ayudaron a desactivar el ciberatac, Microsoft incluido.