Cómo y por qué Ransomware se hizo fuerte en 2017

Seguridad Inteligente

23 ENE 2018

Para miles de personas, la primera vez que oyeron hablar de "ransomware" fue cuando en mayo de 2017 el brote de WannaCry inutilizó los ordenadores de medio mundo, entre ellos más de 80 organismos vinculados al sistema de salud en Inglaterra.

Sin embargo, éste no fue el nacimiento del ransomware, un tipo de delito informático que secuestra los ordenadores o los datos y exige un pago para devolvérselos a sus dueños. Algunos de los primeros ransomware afirmaron ser una advertencia del FBI exigiendo una "multa", simplemente engañando a los usuarios para que paguen o los chantajeen con acusaciones de tráfico de imágenes de abuso infantil.

Los ataques ransomware moderno nacen de dos innovaciones en la primera parte de esta década: encriptación y bitcoin. El ransomware como Cryptolocker, que apareció por primera vez en 2013, no solo bloquea la pantalla y cifra todos los datos: la única manera de recuperarlo era pagar el peaje a cambio de la clave de desbloqueo.

Durante casi cinco años, el llamado "cryptoransomware" burbujeó debajo de la superficie, luchando por expandirse. En general, estaba controlado centralmente, atacando a nuevas víctimas a través de campañas de correo directo, engañando a los usuarios para descargarlo, o mediante botnets.

WannaCry cambió eso.

Ransomworms
El brote de ransomware de mayo fue notable por una serie de razones: la escala del daño; la forma inusual en que llegó a su fin, con el descubrimiento de un "interruptor de matar" mal oculto; y la creciente creencia de que sus arquitectos no eran ciberdelincuentes, sino actores patrocinados por el estado, probablemente trabajando para o con el gobierno de Corea del Norte.

WannaCry fue el primer "ransomworm" que el mundo haya visto jamás. A medida que las técnicas de seguridad informática han mejorado, los brotes de gusanos en todo el mundo se han vuelto raros. Es difícil diseñar un malware que se ejecutará automáticamente en una máquina remota sin la participación del usuario. Antes de WannaCry, el último gran gusano que golpeó al salvaje fue Conficker. Una variante se extendió a casi 20 máquinas en un mes en enero de 2009, infectando a la Marina francesa, el Ministerio de Defensa del Reino Unido y la Policía de Greater Manchester. Pero desde Conficker, los gusanos más importantes habían sido poco comunes, salvo el gusano Mirai y la botnet que infectaban los dispositivos mal diseñados de Internet of Things, como las webcams.

WannaCry tuvo una mano amiga para abrirse paso. En abril de 2017, un misterioso grupo de piratería llamado The Shadow Brokers publicó detalles de una debilidad en los sistemas operativos Windows de Microsoft que podría usarse para ejecutar automáticamente programas en otras computadoras en la misma red.

Se cree que esa debilidad la había robado la NSA, que había descubierto que era un período de tiempo desconocido, y le dio el nombre de EternalBlue. EternalBlue fue parte de la caja de herramientas de la NSA de técnicas de piratería, utilizada para atacar las máquinas de los enemigos de EE. UU., Antes de que uno de ellos cambiara las tornas. La verdadera identidad de los Shadow Brokers aún se desconoce, aunque cada pieza de evidencia apunta fuertemente a que están afiliados con el estado ruso.

Microsoft arregló la debilidad de EternalBlue en marzo, antes de que fuera lanzada por los Brokers de la sombra, avisada por la NSA de que era probable que se hiciera pública. Pero dos meses después, muchas organizaciones aún tenían que instalar el parche.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.