Un ataque digital a gran escala comenzó a infectar ayer los sistemas de al menos una docena de compañías e instituciones gubernamentales en Europa y Estados Unidos. Entre los países europeos involucrados se encuentran Ucrania, Rusia, Polonia, Italia, Reino Unido, Alemania, Francia y Dinamarca. Las compañías afectadas incluyen la naviera Maersk y el laboratorio farmacéutico Merck.
Al igual que Wannacry, el ataque que tuvo su pico en mayo de este año y que afectó por los menos 250.000 sistemas en 150 países, esta nueva amenaza es un secuestro de datos: los atacantes cifran la información de un computador y para devolverla exigen el pago de US$300 en bitcoin.
Este nuevo ataque ha sido denominado Petya por algunos investigadores, pues podría utilizar código malicioso, o malware, que ya había sido reportado en 2016. Ahora bien, esta versión ha sido disputada por los expertos de la firma de seguridad Kaspersky, quienes opinan que podría tratarse de una amenaza totalmente nueva, aunque aseguraron que aún se encuentran investigando.
Lo que parece estar claro, más allá del nombre de este nuevo ataque, es que utilizaría una variedad de la misma vulnerabilidad explotada por Wannacry. Esto es, se aprovecha de una falla en la seguridad de Windows, el sistema operativo más popular del mundo, que fue descubierta por la Agencia Nacional de Seguridad de Estados Unidos (NSA, por sus siglas en inglés), organismo que a su vez perdió el control de esta arma a manos de un grupo de hackers llamado Shadow Brokers.
La falla fue reportada públicamente en marzo, cuando Microsoft, empresa fabricante de Windows, publicó un parche de seguridad para solucionarla. Sin embargo, para cuando Wannacry explotó, cientos de miles de usuarios no habían instalado estas actualizaciones de seguridad y así permitieron la infección y el cifrado de información en sus sistemas.
En este panorama hay varias cosas preocupantes. La primera, que aún haya sistemas que no han sido debidamente actualizados y, por ende, continúan ofreciendo un blanco fácil a este tipo de ataques. Y la segunda, que el nuevo ataque utilizaría otros métodos para llegar a un computador. O sea, no sólo se aprovecharía de la vulnerabilidad ya reportada, sino que podría explotar otras fallas de seguridad. Los investigadores de empresas como Kaspersky y Symantec se encontraban trabajando a toda máquina para identificar las posibles debilidades del ataque, aunque, aún horas después de los primeros reportes de infecciones, no se había producido información oficial sobre este punto.
Hasta el cierre de esta edición no se habían reportado incidentes con este ataque en Colombia, aunque varios expertos advirtieron que era posible que, al igual que Wannacry, el pico de infección se demorara en llegar uno o dos días.
El funcionamiento de este nuevo ataque sigue siendo, cuando menos, confuso. Algunos investigadores reportan que han visto muestras del código infeccioso llegar a través del correo electrónico (en supuestos archivos de Excel), mientras que otros se inclinan por pensar que sólo se inserta en redes que ya están comprometidas y que, por esto, su alcance será menor que Wannacry.
Un portavoz de Maersk, la naviera con sede en Dinamarca, aseguró que el ataque “había infectado todas las ramas de su negocio, tanto en su país de origen como en sus operaciones afuera”. En Ucrania, el Gobierno reportó la interrupción de operaciones en el metro de Kiev, la capital ucraniana, en una empresa de energía estatal y en un operador de telecomunicaciones privado.
Matthieu Suiche, investigador que ayudó a frenar el alcance de Wannacry en mayo y quien fue uno de los primeros en señalar los vínculos de este ataque con hackers de Corea del Norte, dijo: “Sí, esto es muy malo. No hay freno de emergencia esta vez. Hay que actualizar los sistemas y tener una estrategia para recuperarse”. Y añadió: “Esta parece ser una versión más letal de Wannacry”.
Suiche afirma que, al igual que sucedió con Wannacry, hay que monitorear el desempeño financiero del ataque para poder entender qué lo motiva y así, quizá, llegar a dar con los responsables.
A lo que se refiere el investigador francés y fundador de la firma de seguridad digital Comae Technologies es que, a pesar de su alcance global, Wannacry no logró recaudar los fondos para un ataque de su escala, lo que sugería que había sido una operación política. Todavía no queda claro quién está detrás de este nuevo ataque y, debido al nivel de sofisticación, puede que los culpables permanezcan en el anonimato.
En su cuenta de Twitter, el investigador que primero descubrió el método para frenar el avance de Wannacry, y que se hace llamar Malware Tech, dijo lo siguiente: “En serio, no paguen el rescate. No van recuperar sus archivos”.