Aquí le explicamos la conexión de Wannacry con Corea del Norte

Probablemente pasen varias semanas antes de que existan pruebas concluyentes, con 100 % de certeza, de que Wannacry está vinculado con un grupo de hackers auspiciado por el gobierno de Corea del Norte. Pero la primera evidencia sobre la autoría de este ciberataque así lo señala: “Lo que tenemos es la utilización de una pieza de código que ya habíamos visto en ataques anteriores de este colectivo y que no es usado por accidente o por casualidad”.

Quien habla es Matthieu Suiche, un analista francés con base en Dubái, fundador de la firma de seguridad digital Comae Technologies, quien fue uno de los primeros en establecer el vínculo entre Wannacry y, posiblemente, Corea del Norte. Sus hallazgos fueron confirmados individualmente por los laboratorios de Kaspersky, que incluso lo citan en su publicación, y por Symantec; estas son dos de las firmas más grandes en términos de seguridad informática.

“La comunidad fue alertada por una publicación de Neel Mehta (un investigador de Google) y, analizando las muestras que él publicó en Twitter, encontré la similitud en el código utilizado para Wannacry y en otros ataques que han sido atribuidos a Corea del Norte”, cuenta Suiche desde su oficina en Dubái. “Lamento no tener mucho tiempo para esta llamada, pero tenemos que trabajar rápidamente en esto. Llevo durmiendo poco por estos días”.

El investigador se refiere, principalmente, al hackeo de Sony en 2014, que incluyó la publicación de correos electrónicos de altos ejecutivos de la empresa japonesa. Barack Obama, expresidente de EE.UU., responsabilizó personalmente al régimen norcoreano por este ataque digital.

Suiche es el primero en afirmar que aún hace falta más investigación para poder establecer la autoría del ataque con una certeza absoluta. “La comunidad de seguridad digital trabajará en esto, pero en algún punto serán los gobiernos quienes puedan aportar más información que permita señalar con total seguridad que Corea del Norte está detrás de Wannacry. Hasta el momento, la evidencia que hemos analizado parece totalmente legítima”.

¿Qué implica que Corea del Norte esté detrás de Wannacry? “Estaríamos ante el primer gran ataque de ransomware auspiciado por un estado, pero con una particularidad: no se trata de conseguir dinero, sino de sembrar caos y de lograr una afectación política. El código está bien hecho, es profesional, aunque tiene unas fallas de diseño que resultan interesantes porque ha frenado la recaudación de fondos”.

Las fallas de diseño de las que habla Suiche son una especie de botón de seguridad que fue detectado por un analista británico conocido como MalwareTech y que impidió una mayor tasa de infección de Wannacry. El mismo Suiche logró detener parte del ataque cuando éste fue rediseñado para evitar el método de contención descubierto por MalwareTech.

A pesar de su escala global y de la afectación en sistemas de hospitales, líneas de trenes, oficinas gubernamentales, corporaciones y grandes universidades, se estima que Wannacry ha recaudado menos de US$60.000. Los cálculos sobre esta materia son complejos de realizar, y acaso azarosos, porque no todos los afectados admiten haber pagado, porque el ataque sigue en desarrollo (aunque a menor velocidad) y porque rastrear los pagos no es una tarea fácil. Incluso haciendo estas salvedades, una infección de estas proporciones debería estar en el rango de millones de dólares.

“Lo que cada vez resulta más claro es que esto no fue diseñado sólo para obtener fondos. Aunque los métodos de cifrado de información que utiliza son profesionales y están bien implementados, el ataque es algo torpe en lo que tiene que ver con dinero. Lo que vemos es que toda esta operación buscaba instaurar caos”, dice Suiche, quien responde pronto a la siguiente pregunta. ¿Si se trata de un asunto vinculado a un estado, no buscaría afectaciones políticas? “Con este nivel de caos y publicidad creo que ese ya es un resultado con ganancias políticas”.

A pesar de toda la investigación que han realizado individuos como Suiche, MalwareTech y Mehta (además de todas las empresas del ramo), aún quedan varios puntos por conectar en el caso Wannacry. Por ejemplo, si el ataque (o una vertiente del mismo) tiene vínculos con Corea del Norte, ¿esto quiere decir que este país habría robado la herramienta de la Agencia Nacional de Seguridad de EE.UU. (NSA) que permitió armar esta infección?

Suiche separa ambos puntos drásticamente. “Quien oficialmente obtuvo los datos filtrados de la NSA fue el grupo conocido como The Shadow Brokers. Aún seguimos sin saber quiénes son ellos. Si el ataque fue realizado por Corea del Norte, esto tampoco significa, necesariamente, que estuvieron detrás de la filtración en la NSA”.

En una especie de comunicado, atribuido a The Shadow Brokers, el grupo aseguró que “el oráculo nos está diciendo que Corea del Norte es responsable por Wannacry. Armas nucleares y ciberataques. América tiene que irse a la guerra, no hay otras opciones (es sarcasmo)”. Y finalizan diciendo “si el actor responsable compra sus datos perdidos antes de que se le vendan a la gente, entonces no tendremos más incentivos financieros para tomar los riesgos continuos de estas operaciones y nos desactivaremos permanentemente; ustedes tienen nuestra dirección pública de Bitcoin”. En otras palabras: queridas agencias de inteligencia, páguennos y no pasa nada, pareciera decir el comunicado.

Suiche finaliza diciendo: “Independientemente de lo que siga pasando con Wannacry, que no parará hasta que la gente instale las actualizaciones de seguridad, nosotros, como usuarios de internet, tenemos la responsabilidad de seguir alertas. Necesitamos estar mejor preparados para este tipo de escenarios, desde las empresas hasta los gobiernos. Este tema hay que asumirlo con la seriedad que requiere”.

Probablemente pasen varias semanas antes de que existan pruebas concluyentes, con 100 % de certeza, de que Wannacry está vinculado con un grupo de hackers auspiciado por el gobierno de Corea del Norte. Pero la primera evidencia sobre la autoría de este ciberataque así lo señala: “Lo que tenemos es la utilización de una pieza de código que ya habíamos visto en ataques anteriores de este colectivo y que no es usado por accidente o por casualidad”.

Quien habla es Matthieu Suiche, un analista francés con base en Dubái, fundador de la firma de seguridad digital Comae Technologies, quien fue uno de los primeros en establecer el vínculo entre Wannacry y, posiblemente, Corea del Norte. Sus hallazgos fueron confirmados individualmente por los laboratorios de Kaspersky, que incluso lo citan en su publicación, y por Symantec; estas son dos de las firmas más grandes en términos de seguridad informática.

“La comunidad fue alertada por una publicación de Neel Mehta (un investigador de Google) y, analizando las muestras que él publicó en Twitter, encontré la similitud en el código utilizado para Wannacry y en otros ataques que han sido atribuidos a Corea del Norte”, cuenta Suiche desde su oficina en Dubái. “Lamento no tener mucho tiempo para esta llamada, pero tenemos que trabajar rápidamente en esto. Llevo durmiendo poco por estos días”.

El investigador se refiere, principalmente, al hackeo de Sony en 2014, que incluyó la publicación de correos electrónicos de altos ejecutivos de la empresa japonesa. Barack Obama, expresidente de EE.UU., responsabilizó personalmente al régimen norcoreano por este ataque digital.

Suiche es el primero en afirmar que aún hace falta más investigación para poder establecer la autoría del ataque con una certeza absoluta. “La comunidad de seguridad digital trabajará en esto, pero en algún punto serán los gobiernos quienes puedan aportar más información que permita señalar con total seguridad que Corea del Norte está detrás de Wannacry. Hasta el momento, la evidencia que hemos analizado parece totalmente legítima”.

¿Qué implica que Corea del Norte esté detrás de Wannacry? “Estaríamos ante el primer gran ataque de ransomware auspiciado por un estado, pero con una particularidad: no se trata de conseguir dinero, sino de sembrar caos y de lograr una afectación política. El código está bien hecho, es profesional, aunque tiene unas fallas de diseño que resultan interesantes porque ha frenado la recaudación de fondos”.

Las fallas de diseño de las que habla Suiche son una especie de botón de seguridad que fue detectado por un analista británico conocido como MalwareTech y que impidió una mayor tasa de infección de Wannacry. El mismo Suiche logró detener parte del ataque cuando éste fue rediseñado para evitar el método de contención descubierto por MalwareTech.

A pesar de su escala global y de la afectación en sistemas de hospitales, líneas de trenes, oficinas gubernamentales, corporaciones y grandes universidades, se estima que Wannacry ha recaudado menos de US$60.000. Los cálculos sobre esta materia son complejos de realizar, y acaso azarosos, porque no todos los afectados admiten haber pagado, porque el ataque sigue en desarrollo (aunque a menor velocidad) y porque rastrear los pagos no es una tarea fácil. Incluso haciendo estas salvedades, una infección de estas proporciones debería estar en el rango de millones de dólares.

“Lo que cada vez resulta más claro es que esto no fue diseñado sólo para obtener fondos. Aunque los métodos de cifrado de información que utiliza son profesionales y están bien implementados, el ataque es algo torpe en lo que tiene que ver con dinero. Lo que vemos es que toda esta operación buscaba instaurar caos”, dice Suiche, quien responde pronto a la siguiente pregunta. ¿Si se trata de un asunto vinculado a un estado, no buscaría afectaciones políticas? “Con este nivel de caos y publicidad creo que ese ya es un resultado con ganancias políticas”.

A pesar de toda la investigación que han realizado individuos como Suiche, MalwareTech y Mehta (además de todas las empresas del ramo), aún quedan varios puntos por conectar en el caso Wannacry. Por ejemplo, si el ataque (o una vertiente del mismo) tiene vínculos con Corea del Norte, ¿esto quiere decir que este país habría robado la herramienta de la Agencia Nacional de Seguridad de EE.UU. (NSA) que permitió armar esta infección?

Suiche separa ambos puntos drásticamente. “Quien oficialmente obtuvo los datos filtrados de la NSA fue el grupo conocido como The Shadow Brokers. Aún seguimos sin saber quiénes son ellos. Si el ataque fue realizado por Corea del Norte, esto tampoco significa, necesariamente, que estuvieron detrás de la filtración en la NSA”.

En una especie de comunicado, atribuido a The Shadow Brokers, el grupo aseguró que “el oráculo nos está diciendo que Corea del Norte es responsable por Wannacry. Armas nucleares y ciberataques. América tiene que irse a la guerra, no hay otras opciones (es sarcasmo)”. Y finalizan diciendo “si el actor responsable compra sus datos perdidos antes de que se le vendan a la gente, entonces no tendremos más incentivos financieros para tomar los riesgos continuos de estas operaciones y nos desactivaremos permanentemente; ustedes tienen nuestra dirección pública de Bitcoin”. En otras palabras: queridas agencias de inteligencia, páguennos y no pasa nada, pareciera decir el comunicado.

Suiche finaliza diciendo: “Independientemente de lo que siga pasando con Wannacry, que no parará hasta que la gente instale las actualizaciones de seguridad, nosotros, como usuarios de internet, tenemos la responsabilidad de seguir alertas. Necesitamos estar mejor preparados para este tipo de escenarios, desde las empresas hasta los gobiernos. Este tema hay que asumirlo con la seriedad que requiere”.