Después de Stuxnet, uno de los ataques cibernéticos que más perjuicio ocasionó fue el ataque del ransomware WannaCry en el año 2017. Esta acometida afectó a organizaciones en todo el mundo y tuvo un gran impacto en múltiples sectores.
Idiosincrasia del ataque
WannaCry era un tipo de malware llamado ransomware que encriptaba los archivos de los sistemas infectados y exigía un pago en bitcoin para restituirlos. Se propagó utilizando una vulnerabilidad en el sistema operativo Windows.
En cuestión de horas, WannaCry logró infectar unos 300000 equipos en 150 países. Se valió de una vulnerabilidad en el protocolo SMB de Windows, que ya había sido parcheada por Microsoft en marzo de 2017, pero muchas empresas e instituciones no habían aplicado la actualización.
El SMB (Server Message Block) es un protocolo de red utilizado principalmente para compartir archivos, impresoras y otros recursos de red entre computadoras. Fue desarrollado originalmente por IBM en la década de 1980 y ha tenido un amplio uso en diversos sistemas operativos, especialmente en Windows.
Los atacantes, inicialmente, exigieron un rescate de 300 dólares en bitcoins, y luego lo aumentaron a 600 dólares. A las víctimas del ransomware WannaCry se les informó que, si no pagaban el rescate en tres días, sus archivos serían eliminados permanentemente.
El mejor consejo respecto a los pagos de rescates es no ceder. Siempre evitar pagar el rescate, ya que no hay garantía de recuperar los archivos; además, cada pago incentiva la actividad delictiva de los cibercriminales, aumentando la probabilidad de futuros ataques.
Este consejo fue acertado durante el ataque de WannaCry porque la codificación utilizada era defectuosa. Cuando las víctimas pagaban el rescate, los atacantes no podían asociar el pago con el ordenador específico de una víctima.
WannaCry tenía fallos en su implementación técnica. Estos fallos permitieron a investigadores de seguridad y expertos en ciberseguridad identificar vulnerabilidades que, en algunos casos, facilitaron la recuperación de archivos sin necesidad de pagar el rescate. Además, estos errores en la codificación también contribuyeron a que los ataques fueran menos eficaces de lo que podrían haber sido si el malware hubiera sido programado de manera más robusta y eficiente.
Existen dudas sobre si alguien recuperó sus archivos. Algunos investigadores afirman que nadie recuperó sus datos, pero una empresa llamada F-Secure aseguró que algunas personas sí lo hicieron. Esto recuerda por qué nunca es buena idea pagar el rescate si se sufre un ataque de ransomware.
En términos económicos, la estimación de las pérdidas globales varía, pero se calcula que alcanzaron miles de millones de dólares. Sólo para FedEx, las pérdidas directas fueron de aproximadamente 300 millones de dólares.
Lo que inicialmente parecía una amenaza local, se convirtió en un ciberataque a nivel mundial que se extendió por el sistema de salud del Reino Unido y que afectó en distintos ámbitos productivos y empresariales a EEUU, Canadá, Rusia, China, Italia y Taiwán. Varios expertos cifraron en 74 el número de países afectados hasta entonces. Según Jakub Kroustek, experto en antivirus de la compañía Avast, se detectaron más de 57.000 ataques en todo el mundo. WannaCry fue el tipo de malware que más quebraderos de cabeza dio a las grandes empresas a nivel mundial.
España fue uno de los primeros objetivos de este ataque a escala mundial. Telefónica fue la empresa que recibió el mayor golpe, aunque otras como Iberdrola o Gas Natural también se vieron afectadas.
En Telefónica, cientos de ordenadores fueron infectados, lo que llevó a la empresa a desconectar sistemas para contener la propagación. El ataque generó una gran preocupación sobre la ciberseguridad en el país y puso de relieve la necesidad de mejores prácticas de seguridad y actualizaciones de software en las organizaciones españolas.
Consecuencias
El ataque causó la interrupción de servicios críticos en diversas industrias. Por ejemplo, el Servicio Nacional de Salud del Reino Unido (NHS) sufrió graves interrupciones, lo que llevó a la cancelación de citas y operaciones. Empresas como Telefónica en España, Renault en Francia y muchas otras también fueron afectadas.
Respuesta
La respuesta global al ataque implicó multitud de esfuerzos coordinados para aplicar parches de seguridad y detener la propagación del malware. Además, un investigador de ciberseguridad encontró un interruptor de apagado en el código de WannaCry que ayudó a detener su propagación al registrar un dominio web que el ransomware verificaba antes de infectar los sistemas.
El ataque de WannaCry subrayó la importancia de mantener los sistemas actualizados y aplicar parches de seguridad de manera oportuna. También destacó la necesidad de tener planes de contingencia y copias de seguridad robustas para mitigar el impacto de futuros ataques cibernéticos.
Este suceso, junto con otros incidentes destacados como el ataque a SolarWinds en 2020, que comprometió las redes de múltiples agencias gubernamentales y empresas privadas en Estados Unidos, ha llevado a una mayor concienciación y mejoras en las prácticas de ciberseguridad a nivel global.
