El síndrome del malware "wannacry"

Me he atrevido a utilizar el término "síndrome" (utilizado en medicina para definir un cuadro clínico que agrupa diversos síntomas) para nombrar este artículo, en virtud de que me ha llamado la atención la cantidad de opiniones y artículos que se han generado en torno al ransomware wannacry para determinar las causas que lo provocaron y quién lo provocó, vista las consecuencias que se han publicado y haber realizado el análisis forense correspondiente a los equipos infectados, y de las cuales en algunos casos difiero por estar sustentadas vagamente, en especial la parte de identificar el atacante.

Primeramente, un ransomware (ransom 'rescate' ware viene de 'software') es un tipo de programa malicioso (malware - malicious software) cuya finalidad es bloquear el acceso a los archivos o equipo que ha sido infectado, pidiendo una cifra de dinero a cambio para que el usuario pueda recuperar el acceso al equipo. El fin es encriptar los archivos que se encuentran en este equipo para obligar al pago solicitado.

Una de las causas principales (a nuestro entender) de que los dispositivos informáticos se vean afectados de malware se debe a la gran cantidad de software pirateados que son instalados en estos equipos. Los programas que son utilizados para violar las normas de seguridad y licenciamiento de los softwares que instalamos en nuestros equipos sin tener que pagar por ello, infectan nuestros dispositivos habilitándolos a que puedan ser utilizados para llevar a cabo cualquier tipo de acto ilícito sin darnos cuenta de ello. Un ejemplo de esto lo representan las botnets que son grupos de computadoras (u otros dispositivos informáticos) que han sido infectadas por programas maliciosos para emprender en conjunto acciones en perjuicio de otros sistemas sin conocimiento del dueño del equipo. Mayormente las botnets son utilizadas para llevar a cabo ataques de denegación de servicios (DoS - Denial of Service / DDoS - Distributed Denial of Service), en donde todos los equipos infectados son utilizados para comprometer el buen funcionamiento de algún servidor de servicios en particular. Para que Usted lector tenga una idea, en el 2016 por un tipo de ataques de esta índole se vieron afectados los servicios de Twitter, Netflix, el periódico The Guardian, CNN, entre otros.

Algunos datos interesantes del software pirateado.

La Encuesta Global de Software de la BSA (Business Software Alliance) en su estudio del 2013 publicado en junio del 2014 reseñó que el 43% del software instalado en una PC alrededor del mundo era pirateado, con un valor comercial de 62.7 billones de dólares. El 62% de los administradores de TI (Tecnología de la Información) encuestados indicaron que la razón primordial por la que no se debe de utilizar software pirateado se debe a que puede ser infectado por malware cuyo riesgo principal es la pérdida de datos. Cabe destacar que muchas de las empresas que son afectadas no tienen una política del uso de software bajo licenciamiento, según consta en dicho informe. Aunque en el mismo informe para el año 2015 hubo una ligera reducción a un 39% del software pirateado instalado en el mundo, el impacto que esta cifra provocó fue de más de 400 billones de dólares en pérdidas a causa de ciberataques.

Este mismo estudio plantea un análisis que sustenta lo que ya hemos mencionado acerca de nuestro parecer sobre el uso de software pirateado y la infección de malware en los dispositivos. La correlación entre las variables utilizadas indica que mientras más alto es el porcentaje del uso de software pirateado mayor sera la posibilidad de que los usuarios sean víctimas de un ciberataque.

De acuerdo a las estadísticas obtenidas, al 2011 había un 61% de software ilegal siendo utilizado en la región de Latinoamérica (LA) en donde República Dominicana (RD) presentaba un 76%. Para el 2013 la cifra en LA era de 59% con un 75% para RD. Para el 2015 había un 55% de software pirateado en uso, reduciendo del 2011 al 2015 en 6%, sin embargo, en RD aumentaba nuevamente a un 76%.

Otros factores preponderantes para la propagación de los malware tenemos: Inexistencia de políticas de seguridad que ayuden a evitarlos, falta de entrenamientos en el uso correcto de las tecnologías a los usuarios que son considerados como el enlace más débil en la cadena de seguridad, entre otros.

Identificación del atacante.

Todo avezado en seguridad de sistemas sabe que determinar dónde inicia un ataque pudiera ser fácil de detectar. Sin embargo, el origen real no necesariamente pueda ser determinado o que el dueño del dispositivo desde donde fue llevado el ataque tenga que ver con esto (lo que en un principio hablé de las botnets para el caso de ataques del tipo DoS). Me explico. Juan Pérez instala software pirateado o hace descargas desde lugares no recomendados. La pc de Juan Pérez se infecta de algún malware que ha sido creado. El creador de ese malware puede utilizar el equipo de Juan Pérez que vive en un país X el cual no necesariamente sea el mismo país del atacante. ¿Es Juan Pérez el atacante? ¿La culpa es del País X? El ataque inicia en el país X pero su origen pudiera ser otro al igual que el atacante no necesariamente lo es Juan Pérez.

Es por la razón anteriormente expuesta, que por simples análisis de las técnicas y la infraestructura utilizada por los atacantes podamos determinar que esto pertenece a un determinado grupo (aliado o no a determinados gobiernos o países). Por lo tanto, inculpar a Corea del Norte del reciente ataque del que sufrieron entidades de diversos países del mundo con el malware wannacry, pudiera ser una ligereza que lleve a satisfacer el morbo político de lo que hemos estado leyendo acerca de una posible guerra entre Estados Unidos y la nación referida.

En seguridad de sistemas de información, los administradores crean entornos de "trampa" o "señuelo" (honeypots / honeynets en inglés) para desviar la atención de posibles atacantes de los servidores reales, pero al mismo tiempo sirve esta técnica para aprender las "técnicas" (valga la redundancia) que utilizan para penetrar ilegalmente en los sistemas y así protegernos o encontrar vulnerabilidades que desconocíamos (esto se llama Zeroday Attacks).

Dicho lo anterior me nacen las siguientes interrogantes:

1) ¿Cómo puede determinarse por una "técnica" que fue un grupo de hackers determinado quienes llevaron a cabo un ataque en específico si yo como administrador de sistemas puedo aprenderlas y llevarlas a cabo?

2) ¿Qué tal si otro grupo de ciberdelincuentes para comprometer posibles adversarios en estas actividades delincuenciales usaran las técnicas del grupo al cual se quiere comprometer?

3) ¿Cómo puede determinarse por el tipo de infraestructura que fue un determinado grupo que cometió un ataque cibernético, si pueden ser comprometidos los dispositivos?

Sería interesante encontrar respuestas a estas preguntas si en los informes se detallaran estos aspectos técnicos para el consumo del lector por parte de las autoridades que han realizado el análisis forense correspondiente, y que sin utilizar un lenguaje técnico puedan bien informar a todos sus lectores sobre cómo llegaron a dar al traste con la conclusión de señalar uno que otro grupo o su alianza a determinado país.

Estaré buscando las respuestas a estas preguntas que me he planteado, y que el lector de este artículo pudiera llegarse a preguntar al igual que yo.

Por lo pronto, es de vital importancia que Usted lector tome conciencia de que inmediatamente ha instalado en su equipo algún tipo de software que ha sido pirateado, estará abriendo la brecha a que no solo sea utilizado su dispositivo para cualquier evento mal intencionado, también a vulnerar y comprometer todas las informaciones que en el ha guardado y que le puede costar pérdidas irreparables.

La finalidad de este artículo es meramente constructiva y que pueda servir para orientación de Lectores que no manejen ciertos tecnicismos de la materia.

Hasta una próxima entrega.

Gracias por su tiempo.

Fausto Richardson
Doctorando en Proyectos
Máster en Ciencias en Gestión de la Información
Máster en Gestión Universitaria