Más de 230.000 computadoras en 150 países se han visto afectadas por un ciberataque que cifra los datos hasta que se paga un rescate. Se cree que es el más grande de la historia, siendo India, Taiwán y varios países europeos los más afectados.
Si usa una Mac, no tiene nada de qué preocuparse por ahora, ya que este "ransomware" en particular solo apunta a PC con Windows. Sin embargo, la cantidad de ataques creados para macOS aumenta a un ritmo rápido cada año.
Entonces, ¿qué es exactamente el ransomware y cómo se puede evitar? Esto es lo que necesita saber.
Este ataque generalizado apareció por primera vez en Londres el viernes por la mañana, y el Servicio Nacional de Salud (NHS) del Reino Unido fue una de las organizaciones más grandes en ser atacadas. Luego se abrió camino a más de 150 países, poniendo a las empresas grandes y pequeñas sobre sus espaldas.
Se cree que el equipo detrás del ataque, conocido como "WannaCrypt" o "WannaCry", solo recibió alrededor de $ 32,000 en tarifas de rescate hasta ahora, pero se estima que se han perdido cientos de millones de dólares como resultado de cortes.
Microsoft ha descrito el ataque como una "llamada de atención" y culpa a los gobiernos de "acumular vulnerabilidades" en el software que permitió la creación del ransomware.
Esto es lo que sabemos hasta ahora.
¿Qué es el ransomware?
El ransomware es un tipo de software malicioso que cifra los datos en una computadora infectada y evita que el usuario lo desbloquee hasta que se haya pagado una tarifa de rescate. En algunos casos, el ransomware puede bloquear un disco duro completo, haciendo imposible la recuperación de datos.
Hasta que se desbloquee el sistema, se muestra un mensaje que exige el pago de la clave de descifrado. Los atacantes suelen querer este pago en forma de bitcoins, que evitan que se rastree el dinero. La gran mayoría de los ataques de ransomware están diseñados para Windows, que tiene una participación de mercado significativamente mayor que macOS. Sin embargo, a medida que las computadoras Apple se vuelven más populares, la cantidad de ataques dirigidos a los usuarios de Mac está creciendo a un ritmo sin precedentes.
En abril, el último Informe de amenazas de McAfee Labs reveló que la cantidad de ataques de malware creados para macOS se disparó 744 por ciento en 2016, con alrededor de 460.000 instancias de software identificadas. Afortunadamente, la gran mayoría de esto es adware, que no es ni de lejos tan dañino.
¿Cómo se propaga el ransomware?
Al igual que muchas infecciones de malware, el ransomware se propaga mediante correos electrónicos de phishing. Un archivo aparentemente inocente se adjunta a un mensaje y un usuario desprevenido lo abre, creyendo que es genuino. El software malintencionado puede entonces llevar a cabo su ataque y el usuario no sabe nada hasta que es demasiado tarde.
Se cree que el ataque WannaCry aprovechó un exploit llamado EternalBlue, desarrollado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA), que permite que se propague a través de una red.
Esto significa que una vez que el software se ha instalado en una PC, puede extenderse a otras en la misma red sin tener que abrirse manualmente en cada computadora.
¿Cómo puedes evitarlo?
La forma más sencilla de evitar el ransomware es mantener su computadora actualizada. Los proveedores de software suelen emitir parches para grandes vulnerabilidades, como MS17-010, el explotado por WannaCry, poco después de que se identifiquen, y la instalación de esos parches garantiza que su computadora esté segura.
Lo crea o no, Microsoft parcheó la vulnerabilidad MS17-010 en marzo y categorizó la actualización como "crítico". A pesar de esto, muchas organizaciones no lo habían aplicado, dejando sus máquinas vulnerable. Las PC con sistemas operativos más antiguos, como Windows XP, también estaban en riesgo.
Desde que se identificó WannaCry, Microsoft ha dado el paso inusual de aplicar parches a Windows XP y Windows Server 2003, a pesar de que dejó de brindar soporte hace más de dos años, para evitar nuevos brotes.
También puede reforzar su seguridad ejecutando un programa antivirus de buena reputación. Estos pueden identificar ciertos ataques tan pronto como se descargan y bloquearlos antes de que tengan la oportunidad de causar algún daño. Pero el antivirus no siempre te salvará. Con la misma rapidez con que estos programas se actualizan para combatir los últimos ataques, los piratas informáticos están desarrollando otros nuevos que inicialmente pasarán desapercibidos.
¿Qué se está haciendo con WannaCry?
En pocas palabras, es muy poco lo que se puede hacer con equipos que ya están infectados. Los expertos buscarán formas en las que puedan eliminarlo y descifrar los sistemas sin pagar la tarifa de rescate, pero aún no está claro si eso es posible.
Como se mencionó anteriormente, Microsoft ya abordó la vulnerabilidad explotada por WannaCry en marzo, por lo que las PC actualizadas serán inmunes a ella. También ha publicado actualizaciones para Windows XP y Windows Server 2003 para evitar más ataques.
Un investigador de seguridad de 22 años de Inglaterra encontró inadvertidamente un interruptor en WannaCry que evita que se propague. Todo lo que tenía que hacer era registrar un "nombre de dominio sin sentido muy largo al que el malware realiza una solicitud", lo que lo cerró.
El kill-switch fue introducido por el creador del randsomware en caso de que quisieran evitar que se propagara. El software verifica el dominio y si lo identifica como activo, inmediatamente deja de intentar llegar a otras máquinas.
El dominio le costó al investigador, identificado solo como MalwareTech, solo $ 10.69, e inmediatamente estaba registrando miles de conexiones por segundo, según El guardián.
Pero este interruptor no significa el final de WannaCry.
“Esto no ha terminado”, advierte MalwareTech. "Los atacantes se darán cuenta de cómo lo detuvimos, cambiarán el código y luego comenzarán de nuevo".
¿Quién se ha visto afectado por WannaCry?
La larga lista de empresas y organizaciones afectadas por WannaCry, según Wikipedia, incluye:
- PetroChina
- Buró de Seguridad Pública
- Renault
- Portugal Telecom
- Ministerio de Relaciones Exteriores
- MegaFon
- Ministerio del Interior de la Federación de Rusia
- Ferrocarriles rusos
- Telefónica
- servicio Nacional de Salud
- NHS Escocia
- Nissan Reino Unido
- FedEx
- Instituto de Tecnología de Massachusetts
- Compañía de telecomunicaciones saudita
- Hitachi
En el Reino Unido, se cree que 70.000 equipos propiedad del NHS se han visto afectados por el ataque, incluidas computadoras, escáneres de resonancia magnética, refrigeradores de almacenamiento de sangre y equipos de teatro. Como resultado, algunos servicios y operaciones no críticas han tenido que posponerse.
Una fábrica de Nissan en Tyne and Wear se vio obligada a detener la producción después de que el ataque infectara a algunos de sus sistemas, mientras que Renault también dejó de fabricar en varios sitios para evitar la propagación de infección.
Una llamada de atención
En una publicación de blog publicada por Microsoft el domingo, la compañía describe este ataque como una "llamada de atención". La compañía critica a la NSA por ser la fuente de la vulnerabilidad y por acumular vulnerabilidades para su propio beneficio. También insiste en que los gobiernos deberían hacer más para prevenir ataques similares.
Microsoft pide a los gobiernos que consideren el "daño a los civiles que proviene de acumular estas vulnerabilidades". Quiere que adopten el Convenio de Ginebra digital con “un nuevo requisito para que los gobiernos informen sobre las vulnerabilidades a los proveedores, en lugar de almacenar, vender o explotar ellos."
“Debemos tomar de este reciente ataque una renovada determinación de una acción colectiva más urgente”, concluye la empresa. “Necesitamos que el sector tecnológico, los clientes y los gobiernos trabajen juntos para protegerse contra los ataques de ciberseguridad. Se necesitan más acciones, y se necesitan ahora ".