Una operación global con armas robadas del arsenal de la NSA

Como en esas tardes bochornosas de verano, cuando el viento cambia de golpe y el cielo se pone negro, la virulenta tormenta que afectó a organizaciones en más de 74 países del mundo no fue del todo inesperada. Es verdad que de una compañía como Telefónica de España se esperaría mayor robustez frente a un ataque informático. Otro tanto puede decirse del servicio de salud británico. Pero una cadena de eventos que arrancó en agosto del año último podría explicar semejante desastre.

Lo que ocurrió es, en un punto, bastante fácil de entender. Las computadoras de Telefónica de España, de los servicios de salud británicos y de muchas otras organizaciones en el mundo (se contabilizaban ayer 45.000 ataques) fueron infectadas por un tipo de software malicioso conocido como ransomware. En este caso, de la familia WannaCry.

Un ransomware encripta los archivos de la computadora y pide un rescate (ransom, en inglés) en bitcoins, la moneda virtual más popular de Internet, a cambio de la contraseña para recuperar los datos. En ciertos casos, como el de ayer, cifra también los discos de red a los que esa máquina tiene acceso. El rescate promedio es de 620 dólares; el ataque de ayer solicitaba 300, aunque por la escala y por el tipo de víctimas involucradas es poco probable que buscara un botín. Pareció más bien una demostración de fuerza.

Todavía no se sabe cómo llegaron a las víctimas estos gusanos informáticos, pero en general vienen como un adjunto o como un link en un correo electrónico. El e-mail urge a la víctima, mediante algún pretexto alarmante, a abrir el adjunto o hacer clic en el link. Casi de inmediato aparece un cuadro que anuncia que los archivos del equipo han sido cifrados, así como las instrucciones para pagar el rescate y recibir la contraseña para descifrarlos.

La crisis desatada ayer por el WannaCry fue tan grave que el Instituto SANS, una compañía estadounidense dedicada a la ciberseguridad, cambió a amarillo el alerta de su Centro de Tormentas de Internet. En Telefónica, la instrucción fue apagar las máquinas, sin más. En la Argentina, según fuentes corporativas consultadas por LA NACION, el ataque también pegó fuerte.

El origen y la seriedad del incidente podría remontarse a agosto del año último, cuando se oyó por primera vez sobre un equipo de hackers llamado The Shadow Brokers. Ese grupo haría público en abril un conjunto de herramientas de ataque informático robado a la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés) de Estados Unidos. Artillería pesada.

Una de esas herramientas se llama EternalBlue y explota vulnerabilidades de Windows que Microsoft informó en el boletín MS17-010, el 14 de marzo. Tales fallas permiten a un atacante ejecutar un programa de forma remota. Es algo muy grave y por lo tanto se aconseja aplicar de inmediato el parche que corrige las vulnerabilidades.

Instalar una serie de parches en una computadora personal lleva unos minutos. Pero en una compañía como Telefónica de España, que tiene 120.000 empleados, no es tan sencillo. "Con 120.000 usuarios podría realizarse en un plazo de 3 a 4 horas. Pero como algunas estaciones de trabajo pueden estar apagadas al intentar la actualización, que además suele demandar un reinicio de la máquina -explica Pablo Verdina, director de tecnología de la compañía de seguridad NextVision-, la instalación exitosa del parche a 120.000 usuarios, en un escenario productivo normal, puede llegar a demorar días o incluso semanas." Habiéndose informado de la falla en marzo, ni el ataque ni las corridas para parchar Windows deberían haber ocurrido ayer.

Hasta anoche, la información era todavía confusa y fragmentaria, sobre todo respecto de la metodología del ataque y los daños. Algo es seguro, sin embargo: el WannaCry se incorporó ayer a la lista de los gusanos más virulentos de la historia.