¿Qué pasará cuando los ordenadores se despierten?

Europol y expertos informáticos alertan de que una nueva oleada de virus podría golpear a partir de hoy los ordenadores. El ataque del pasado viernes podría haber sido sólo un ensayo para calibrar la respuesta de los sistemas de seguridad.

En un comunicado enviado ayer por la mañana, el Instituto Nacional de Ciberseguridad (INCIBE) señalaba que todavía se continúa trabajando con las empresas afectadas por los ciberataques que empezaron a producirse el viernes 12 de mayo. Pasados unos días ya comienzan a saberse más detalles. Uno de ellos es que han podido confirmar que existen al menos dos variantes del virus informático.

El primero de ellos es WannaCrypt.A, la avanzadilla, en cierto modo. Este malware intenta conectarse a una página web codificada internamente apenas entra el ordenador. Si no lo consigue, entonces comienza a cifrar los documentos del equipo y solicita un pago por el rescate de los mismos. Su «hermano vírico» es WannaCrypt.B, que apunta directamente a los archivos. Esta habría sido la variante que afectó al sistema de Telefónica.

Y hay más datos, si ayer Avast señalaba 99 países y unos 80.000 ordenadores infectados, el INCIBE ya habla de 166 naciones y más de 100.000 equipos infectados por la variante de WannaCrypt.A. Los grandes perjudicados han sido Rusia, Ucrania, Taiwan y en Europa, Alemania (compañías de trenes) y Reino Unido (principalmente hospitales), mientras que España se encuentra en la posición 18 del ranking por países, con algo menos de 600 infecciones confirmadas.

Pero el INCIBE especula que esto irá a más. De hecho, nos hemos comunicado telefónicamente con ellos ayer (sí, domingo, lo que marca el nivel de crisis) y nos han comentado que aún no tienen cifras de China, Corea del Sur o Japón, pero que especulan que, debido a la diferencia horaria, muchos equipos de Asia no estaban funcionando cuando comenzó la epidemia y que hoy será el día que nos enteremos del verdadero alcance del ataque.

Pese al alcance que ha logrado este virus, la realidad es que es la primera vez que el público ve en directo cómo puede afectar la seguridad digital a su vida, Y en España nos hemos librado de los mayores perjuicios: los hospitales han seguido funcionando, no hubo demoras en las comunicaciones, estaciones de tren o aeropuertos y la Policía tampoco ha sufrido ninguna consecuencia (en Rusia, unos 1.000 ordenadores del Ministerio del Interior recibieron la alerta de «hackeo»).

El problema es que muchos expertos ya señalan que esto probablemente haya sido apenas un ensayo para ver qué ocurría en caso de un ataque masivo, conocer los tiempos de respuesta, los organismos y empresas más vulnerables y los posibles beneficios que se podrían obtener. En este último sentido, las cifras hablan de apenas unos 15.000 euros de 52 personas o empresas que pagaron a los «hackers».

Una de las razones de que el ataque no siguiera su curso fue la mediación accidental de un británico experto en ciberseguridad, conocido como MalwareTech, que intentando rastrear el virus detectó una web que no estaba registrada y compró el dominio al ver la actividad que partía de esa web, por unos 10 euros, para ver dónde le llevaba. Afortunadamente, quienes diseñaron el virus pusieron lo que se conoce como «sandbox» o aislamiento de procesos. Se trata de un mecanismo en el cual los expertos pueden ejecutar programas en modo seguro en el ordenador. Si detectan algo extraño, lo destruyen allí y el problema no se extiende. Y, básicamente, lo que ocurrió fue que Malware Tech, al comprar el dominio y comunicarse con otros afectados, le hizo creer al virus que estaba en una de estas cajas de arena... y se autodestruyó. Según este experto, es muy probable que hoy por la mañana comience un ataque similar. «Hemos detenido este, pero llegará otro y no podremos hacerlo. Hay mucho dinero en esto. No hay razón para que dejen de hacerlo. No cuesta mucho esfuerzo modificar el código y empezar de nuevo», explicó el informático.

Sea por un hecho fortuito, por un mal diseño o por una combinación de ambas, la verdad es que el virus detuvo su propagación. Pero ha dejado muchas alertas y dos preguntas. Somos muy vulnerables, todos. Atacar resulta sencillo y ni siquiera es necesario huir. Y menos aún invertir, ya que WanaCry fue publicado gratuitamente (después de ser robado, supuestamente, a la Agencia de Seguridad Nacional de EE UU) y traducido a al menos 28 idiomas, según afirman en Avast.

Y las incógnitas son: ¿a quien no le interesa el dinero, pero sí no ser capturado y evadir cualquier control de seguridad? Y, la otra pregunta es, alguien que logra colarse de modo tan efectivo y con tal velocidad, ¿de veras no ha contemplado que registrar un dominio lo podía detener? Si los que lo han publicado lo sabían, ¿por qué no lo detuvieron antes?

Exactamente dos años atrás, los expertos en ciberseguridad, descubrían un ransomware, similar a WanaCry, llamado Locker. Encriptaba documentos, comunicaba con los «hackers», servía para pedir rescate. Exactamente igual en este sentido que WanaCry. Lo que hacía que Locker fuera diferente es que una vez que ingresaba en el ordenador podía mantenerse «dormido», aletargado por completo y prácticamente indetectable hasta que el «hacker» diera la orden de ataque.

En aquel momento, los expertos de Bleeping Computers dieron la voz de alarma sobre las capacidades únicas de este virus. Esta web fue la primera en señalar la aparición de CryptoLocker (otro ransomware) que en 2013 infectó 250 ordenadores. Desde entonces, siempre se encuentran entre los primeros en señalar la aparición de cualquier malware (especialmente si se trata de ransomware) a nivel global.

Así, no sería extraño que hoy no solo se conozcan nuevos casos. Sino que haya muchos más infectados de los que creemos. Solo que por ahora, están durmiendo. De hecho, Europol elevó ayer las víctimas del ciberataque a más de 200.000 y advirtió de que el número de afectados seguirá creciendo a partir de hoy. El director de la Policía de la UE, Rob Wainwright, señaló que el virus seguirá propagándose «cuando la gente vuelva al trabajo y encienda su ordenador» hoy. «Llevamos a cabo cerca de 200 operaciones globales al año contra el cibercrimen, pero nunca hemos visto nada como esto», dijo Wainwright.