El héroe que salvó al mundo por 10 euros

Un experto en seguridad británico y la firma estadounidense Proofpoint colaboraron para detener el ciberataque global que ha afectado a organismos y empresas de cerca de cien países, reveló hoy el diario “The Guardian”.

Un joven de 22 años, que vive aún con sus padres en el suroeste de Inglaterra, ha colaborado para detener uno de los peores ciberataques a escala global conocidos hasta ahora, catalogado como «sin precedentes» por Europol. El experto en ciberseguridad, identificado como «MalwareTech», trabajó en colaboración con la firma estadounidense Proofpoint, en concreto con un colega suyo llamado Darien Huss, aunque en un principio desconocía si el truco que iban a utilizar al descubrir una brecha en el virus iba a funcionar.

«Estaba comiendo con un amigo y cuando regresé alrededor de las 3 de la tarde vi que había un montón de noticias sobre que el NHS y varias empresas estaban siendo atacadas», desgranó el joven héroe accidental al diario inglés «The Guardian». «Eché un vistazo y descubrí una muestra de ‘malware’ que estaba tratando de conectar con un dominio específico que no estaba registrado así que lo cogí sin saber lo que iba a suceder en ese momento», añadió el analista, que trabaja para la firma Kryptos Logic, que tiene su cuartel general en la ciudad estadounidense de Los Ángeles.

Con la ayuda de Darien Huss, un bloguero y conocido tuitero de temas de seguridad informática y tecnología, procedió a desensamblar el virus, para ver qué instrucciones llevaba en su código, y allí aparecía el dominio de internet www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Decidió registrarlo, por si acaso, como suele hacer cuando investiga otros virus que llevan dominios en el código, usualmente para crear «botnets» (red de robots). Lo compró por tan sólo 10,69 dólares (9,77 euros) en Namecheap.com y lo abrió a internet.

«MalwareTech», que no ha querido revelar su verdadero nombre, operó cómo hace habitualmente para su empresa, ya que al registrar esos dominios al que están redirigidos los virus las firmas de ciberseguridad pueden penetrar y descifrar cómo operan las redes de robots informáticos («botnet»), que funcionan de forma autónoma y automática. Quien maneja una «botnet» puede controlar todos los ordenadores y servidores infectados de forma remota a su antojo.

Al momento, registró más de 5.000 conexiones por segundo. Según el analista que ha logrado reconducir el caos en el que se encontraban miles de archivos en todo el mundo, con más de 100.000 equipos de más de 100 países infectados, «todo este código (en referencia a los virus) se estaba intentando conectar al dominio que registramos y, si la conexión no tenía éxito, el «ransomware» atacaba el sistema, pero si era exitosa, el «malware» se retiraba».

Este pequeño truco, que ha sorprendido a los propios investigadores, permitió frenar la infección sobre todo en Estados Unidos, donde justo estaba desplegándose de forma intensa cuando los jóvenes ciberexpertos dieron con la fórmula.

El informático británico explicó en una entrevista a la BBC que no se trata de que los ciberpiratas incluyeran una especie de «botón de autodestrucción» para su propio virus. «No se trata de eso, técnicamente es una línea vacía de código dentro del «malware» que fue detectada accidentalmente».

Un héroe accidental que ha paralizado en las últimas horas 75.000 ataques con el software malicioso WanaCrypt0r 2.0 en al menos 99 países, según la empresa checa de antivirus Avast. «El intento sólo trataba de monitorizar la expansión del virus y ver si podíamos hacer algo». Afortunadamente, funcionó, aunque los expertos vaticinan ataques cada vez mayores y más sofisticados a escala global.

En este sentido, «MalwareTech» alertó de que el ataque, que ha afectado a la empresa logística estadounidense FedEx, a la multinacional española Telefónica y buena parte del Servicio de Salud de Reino Unido (NHS) podría reproducirse en cualquier momento. «Hay mucho dinero en esto y cada vez que se tenga la oportunidad... Quizá no sea este mismo fin de semana, pero podría ocurrir el lunes por la mañana», añadió.

Expertos mundiales en ciberseguridad alertaron ayer a la agencia Ap de una cascada de acciones con virus letales que podrían afectar a sectores sensibles en todo el mundo.