Mentiras, culpables y 'escaqueo' nacional: lecciones del mayor ciberataque mundial

Ya podemos dejar de imaginar cómo sería una 'ciberapocalipsis', la acabamos de vivir durante las últimas 48 horas, y aún colea. El ciberataque masivo mundial de 'ransomware' que ha afectado a más de 100 países y tumbado cientos de empresas y organismos públicos, desde Telefónica a los ferrocarriles rusos pasando por 40 hospitales en Reino Unido y fabricantes de coches, es uno de los mayores ataques informáticos de las últimas décadas y el mayor usando 'ransomware'. Todavía quedan muchos interrogantes por resolver, pero algunas conclusiones ya son inevitables. Y necesarias para reaccionar al próximo ataque. Que vendrá.

TE PUEDE INTERESAR

Así fue el primer ciberataque masivo que ha paralizado el mundo

Manuel Ángel Méndez

Por aquí hemos hablado a fondo de los aspectos técnicos, económicos, humanos y la repercusión mundial de esta debacle informática que ha supuesto WannaCry. Tras semejante oleada de información queda un poso amargo y preocupante a la vez que podemos resumir así…

Esto es lo que ocurre cuando manda la NSA

El exagente de la CIA Edward Snowden vive recluido en algún lugar de Rusia desde que en 2013 realizó la mayor filtración de la historia sobre cómo la Agencia de Seguridad Nacional de EEUU (NSA) puede saber todo, absolutamente todo, de tu vida privada y de la cualquier ciudadano en el mundo. Sin pedir permiso y con total impunidad. Su argumento: combatir el terrorismo requiere espiar de forma indiscriminada. A cualquiera. Por si acaso.

Snowden nos abrió los ojos ante semejante atrocidad filtrando miles de documentos sobre las herramientas usadas por la NSA en su espionaje masivo. Sin embargo, gran parte de la opinión pública dentro y fuera de EEUU nunca llegó a darle al asunto la relevancia que se merecía.

Facebook y Google han sabido anestesiarnos: te daremos un gran servicio (a cambio de tus datos). Y funciona. Tanto que los gobiernos han copiado su estrategia: te protegeremos mejor (a cambio de tus datos). El ciberataque masivo de estos días muestra una terrible consecuencia de este mundo que hemos aceptado sin rechistar: cómo una herramienta desarrollada supuestamente para protegernos en realidad nos puede destruir.

Esa herramienta se llama EternalBlue. Usada y desarrollada por la NSA para infectar ordenadores en remoto y espiar a sus dueños, fue publicada en internet por los 'hackers' ShadowBrokers. El autor del 'ransomware' WannaCry la utilizó como mecanismo para infectar y secuestrar miles y miles de ordenadores en 100 países. El primer culpable de la caída de Telefónica o de los 40 hospitales en Reino Unido (poniendo en riesgo la vida de miles de personas) no es otro que es la NSA estadounidense. Gracias a nuestra complacencia.

La negligencia de las empresas

Esto sí que es inexplicable. Microsoft lanzó un parche el 16 de marzo para solucionar la vulnerabilidad 'EternalBlue' en Windows. Si todas las empresas hubieran mantenido sus sistemas actualizados se habrían infectado equipos (cientos, tal vez unos cuantos miles) pero el virus no habría saltado de PC en PC a la velocidad de la luz en medio mundo. ¿Cómo es posible que multinacionales como Telefónica, FedEx, Nissan y Renault, o centros críticos como hospitales, donde un descuido informático puede costar vidas, no hayan sido más diligentes a la hora de parchear sus sistemas?

El caso de la Seguridad Social (NHS) en Reino Unido es sangrante. Los responsables del NHS ignoraron desde hace al menos un año avisos de especialistas de seguridad sobre el riesgo de usar sistemas operativos obsoletos como Windows XP, que ya no recibe soporte de Microsoft. Nadie hizo nada. Una investigación de Sky News demostró cómo numerosos hospitales no gastaron absolutamente nada en seguridad informática en el 2015. "Ya es hora de que las empresas se tomen esto en serio. No existen las políticas de actualizaciones y luego siempre se echa la culpa a "los de seguridad". La culpa es de los directivos y altos cargos en gobiernos que no entienden la importancia de todo esto", nos comenta el especialista en seguridad informática Jorge SoydelBierzo. Difícil no estar de acuerdo.

Una nueva forma de desencadenar el caos

En el frente técnico hay una conclusión importante: la forma en la que este 'ransomware' se ha extendido es novedosa y efectiva, y nadie descarta que volvamos a sufrir pronto un ataque similar. El 'hacker' español Joxean Koret lo comentaba en su cuenta de Twitter: en realidad se trata de "un programa poco avanzado", salvo por un detalle: su componente de gusano. Eso lo hace diferencial y temido, ya que sus autores podrían desarrollar una nueva versión, aprovechar una futura vulnerabilidad aún no descubierta en Windows, y volver a tumbar medio mundo. Ahora ya han comprobado que funciona.

Sabíamos que el 'ransomware' era una de las formas más baratas y efectivas para un ciberdelincuente de ganar dinero. 'Spameas' a 10.000 personas con un archivo adjunto infectado y les pides un rescate. Solo tienes que apretar un botón. Basta que el 0,1% pique y acepte pagar 300 euros: 3.000 del tirón. Ahora imagina 'spamear' a 10.000 personas con un 'malware' capaz de contagiar a otros ordenadores. El efecto cadena hace que las ganancias se disparen sin esfuerzo ni inversión adicional. Negocio redondo.

Pero, ¿de verdad buscaban dinero?

Es una de las incógnitas que no se despejará hasta dentro de unos meses. O hasta que suframos otro ciberataque similar. Después de 48 horas, los ciberdelincuentes solo han logrado recibir cerca de 30.000 dólares en pagos para rescatar equipos. Un número demasiado bajo para el impacto mundial que ha tenido. ¿Por qué? Está la explicación lógica: se ha logrado detener el 'hackeo' más o menos a tiempo y la gran mayoría de empresas reaccionaron rápido.

Le ha pasado a muchas empresas, pero nosotros hemos sido unos tontos y todo el mundo ha empezado a enviar WhatsApps y a comentarlo

Pero hay otra explicación más preocupante: que este ataque haya sido solo una prueba para verificar la efectividad del contagio entre ordenadores. A la luz de las cifras, cada vez más especialistas informáticos se están decantando por lo segundo. Lo cual augura un futuro poco tranquilizador.

Mentiras (y bulos)

El ciberataque ha sacado lo mejor de cientos de investigadores de ciberseguridad, como el veinteañero que logró detener la propagación del 'ransomware' casi de forma casual, y lo peor de muchas empresas. Preguntadas por el impacto de WannaCry, todas negaban estar afectadas cuando al final se supo que era todo lo contrario. No solo ocurrió en España, también en Portugal y otros lugares, pero el caos inicial en nuestro país fue pintoresco.

Telefónica fue la única compañía que admitió oficialmente haber sido víctima del ataque. "Le ha pasado a muchísimas empresas, pero nosotros hemos sido unos tontos y todo el mundo ha empezado a enviar WhatsApps y a comentarlo", me reconocía resignado uno de sus directivos. En estos casos, y frente a los medios, siempre es mejor pecar de transparente que de mentiroso. Otras empresas no hicieron lo mismo.

Mientras empleados internos confirmaban que estaban siendo víctimas del ciberataque, sus portavoces lo negaban. El CNN-CERT y el INCIBE aclararon luego el misterio: al menos cinco empresas españolas estaban entre las afectadas, pero no podían revelar los nombres, salvo el de Telefónica, por haber aclarado ella misma su situación. "Hay una gran eléctrica afectada", aseguraban fuentes del Ministerio de Interior. Curiosamente, todas las "grandes eléctricas" consultadas minutos antes juraban y perjuraban estar libres de ataques.

Entre mentira y mentira también hubo tiempo para rumores y bulos. En Twitter se colaron ayer mensajes que relacionaban la avería eléctrica en las líneas de Renfe Cercanías en Madrid con un supuesto ciberataque. El rumor se transformó en bulo y luego mutó en noticia. Hasta que Adif desmitió todo explicando que una avería eléctrica era eso, eléctrica, no informática. En caso de ciberataque masivo, ya sabes: pon todo lo que oigas o leas en cuarentena.

'Escaqueo' y 'vendetta' nacional

El ciberataque también nos dejó su sello nacional, cómo no, en forma de trifulca tuitera. Los mensajes del jefe de datos de Telefónica, Chema Alonso (Chief Data Officer) fueron interpretados en redes sociales por miles de personas como un burdo escaqueo del problema que sufría su empresa. "Estoy de vacaciones y aún no me han llamado, o sea que no debe ser muy grave", comentaba en broma a este diario en los primeros minutos tras confirmarse la noticia del ciberataque. Luego le acabaron llamando, y mucho, sobre todo a raíz de este tuit:

El mensaje de Alonso provocó una avalancha de respuestas. Las más comedidas iban en esta línea:

Muchos de estos mensajes provenían de cuentas nuevas, creadas solo para poner verde a Alonso. Una 'cibervenganza' en toda regla. Vale que el comentario de Chema Alonso pudo ser desafortunado, vale que Telefónica lo presenta como "responsable de la ciberseguridad global (que no interna) y de la seguridad de los datos" pero, ¿hay algo más español que aprovechar un error, por leve que sea, para lanzarse a repartir 'zascas' e insultos?

Mientras medio Twitter en España se reía del gorro de Alonso y de sus vacaciones, el 'RAMON-ware' saltaba a Reino Unido, Rusia, China y medio mundo. Quién iba a decir que el nombre del virus iba a describir mejor que nadie la situación: WannaCry (de risa).