Si buscan culpables del ciberataque mundial, miren hacia la NSA

Aunque es un asunto que aún sigue en desarrollo, el ataque digital que deshabilitó los sistemas de varios hospitales en Inglaterra, además de afectar la red interna de Telefónica y otras empresas de telecomunicaciones en Europa, bien puede tener un culpable de facto: la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés).

De entrada, hay que dejar una cosa clara: la NSA no perpetró el ataque y, de hecho, no resulta muy claro quién está detrás de estas acciones, que se han esparcido a más de 70 países.

Ahora bien, lo que sí se ha establecido es que el ataque utiliza una herramienta que fue robada del arsenal de armas digitales desarrollado por la Agencia; este desarrollo después pasó a ser distribuido en internet por un grupo que se hace llamar Shadow Brokers.

En pocas palabras, el ataque aprovecha una vulnerabilidad que la NSA descubrió en Windows, y que al parecer no había sido reportada previamente. Esto comúnmente se conoce como un ataque del día cero (zero-day attack) y es una de las monedas que más se cotizan en el mundo de los ciberataques, pues constituye una de las formas más efectivas de vulnerar la seguridad digital de un sistema.

La publicación de las herramientas desarrolladas por la NSA viene sucediendo, calladamente, desde el año pasado. Desde entonces, Microsoft publicó una actualización de sus productos para cubrir el hueco descubierto por la NSA y hasta ahí todo bien. El punto es que muchos usuarios, principalmente corporativos, viven constantemente en versiones antiguas de software y es aquí cuando las cosas se complican.

En Colombia, el Ministerio TIC confirmó que una entidad pública colombiana fue vulnerada en este ataque, aunque no confirmó de cuál se trata. Juanita Rodríguez, directora de Estándares y Arquitectura TI de esta cartera dijo que el propio ministerio fue atacado, “pero ninguno de estos ataques fue efectivo”.

Rodríguez afirmó que el Ministerio se encuentra trabajando con la entidad comprometida en el ataque para minimizar las repercusiones de éste. "En esta entidad sólo fueron vulnerados cuatro computadores. Tampoco fue terrible. Y lo que se está evaluando en este momento es qué tan bien respaldada estaba la información de éstos para saber qué tan grande es el daño".

La funcionaria aclaró que durante todo el día se han puesto en marcha protocolos para blindar a las entidades públicas, que incluyen reforzar los firewall de estos organismos, así como el bloqueo de direcciones IP desde donde se sabe que vienen los ataques.

Pero la actualización de los sistemas es apenas parte de todo este problema. Otro de los asuntos complejos en este escenario es el diseño de estas herramientas en primer lugar. Buena parte de estos ataques son diseñados por agencias de seguridad estatales, principalmente aquellas con operaciones ofensivas en el reino digital. Estamos hablando de las viejas conocidas, como la CIA, NSA o el GCHQ inglés, pero también caben acá unidades militares. 

El sólo diseño de estas herramientas representa un riesgo potencial para millones de usuarios porque, una vez se crea un arsenal de este calibre, también se crea la posibilidad de perderlo, como terminó sucediendo con la NSA y con la CIA. 

Con todo, los organismos de inteligencia nacionales parecen ser los mayores fabricantes y compradores de software malicioso en el mundo. Esto es cierto para las instituciones ya mencionadas, pero también lo es para las policías nacionales de países como México o Colombia, que tienen un interés marcado en software para romper la seguridad digital de teléfonos inteligentes, entre otras cosas. Al mismo tiempo, las filtraciones de información suelen ocurrirles a estas organizaciones.

Y en esta suerte de tensión entre fabricación y filtración quedan expuestos millones de usuarios, que tampoco ponen de su parte al no actualizar constantemente sus sistemas operativos y el software sobre el que dependen asuntos críticos, como el funcionamiento de hospitales.

El ataque en cuestión se aprovecha de una vulnerabilidad en Windows, que fue hecha pública por Microsoft el 14 de abril de este año, y que ejecuta remotamente un código malicioso, según informó la empresa de seguridad A3SEC. 

El usuario típicamente recibe un correo con un archivo adjunto que, al ser descomprimido, permite que cierta información de su sistema sea cifrada por el atacante; al estar cifrados, los datos resultan inservibles para su dueño, quien debe pagar US$300 para poder acceder de nuevo a éstos. La cifra de estos rescates suele ascender a los miles de dólares.

Este tipo de ataques se conoce como ransomware, o secuestro de información, y es una de las modalidades de ciberdelitos que más rápidamente está creciendo en todo el mundo: se estima que uno de cuatro usuarios en Latinoamérica ha sido víctima de esta práctica y en Colombia se registraron más de 100 estos casos en Colombia sólo el año pasado.

A través de un comunicado, Microsoft dijo que: "El día de hoy, nuestros ingenieros incorporaron detección y protección contra el nuevo software malicioso conocido como Ransom:Win 32.WannaCrypt. En marzo, pusimos a disposición de  nuestros clientes protecciones adicionales contra malware de esta naturaleza, con actualizaciones de seguridad que previenen su propagación a través de diferentes redes. Los equipos que estén corriendo nuestro software de antivirus gratuito y tengan habilitado Windows Update, están protegidos".

Rodríguez, de MinTIC, recomienda que, si el usuario tiene computadores con Windows XP o Vista, los desconecte de inmediato de internet, pues estas versiones del sistema operativo ya no tienen soporte de actualización. De Windows 7 en adelante, lo recomendable es actualizar tan pronto se pueda. 

Aunque es un asunto que aún sigue en desarrollo, el ataque digital que deshabilitó los sistemas de varios hospitales en Inglaterra, además de afectar la red interna de Telefónica y otras empresas de telecomunicaciones en Europa, bien puede tener un culpable de facto: la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés).

De entrada, hay que dejar una cosa clara: la NSA no perpetró el ataque y, de hecho, no resulta muy claro quién está detrás de estas acciones, que se han esparcido a más de 70 países.

Ahora bien, lo que sí se ha establecido es que el ataque utiliza una herramienta que fue robada del arsenal de armas digitales desarrollado por la Agencia; este desarrollo después pasó a ser distribuido en internet por un grupo que se hace llamar Shadow Brokers.

En pocas palabras, el ataque aprovecha una vulnerabilidad que la NSA descubrió en Windows, y que al parecer no había sido reportada previamente. Esto comúnmente se conoce como un ataque del día cero (zero-day attack) y es una de las monedas que más se cotizan en el mundo de los ciberataques, pues constituye una de las formas más efectivas de vulnerar la seguridad digital de un sistema.

La publicación de las herramientas desarrolladas por la NSA viene sucediendo, calladamente, desde el año pasado. Desde entonces, Microsoft publicó una actualización de sus productos para cubrir el hueco descubierto por la NSA y hasta ahí todo bien. El punto es que muchos usuarios, principalmente corporativos, viven constantemente en versiones antiguas de software y es aquí cuando las cosas se complican.

En Colombia, el Ministerio TIC confirmó que una entidad pública colombiana fue vulnerada en este ataque, aunque no confirmó de cuál se trata. Juanita Rodríguez, directora de Estándares y Arquitectura TI de esta cartera dijo que el propio ministerio fue atacado, “pero ninguno de estos ataques fue efectivo”.

Rodríguez afirmó que el Ministerio se encuentra trabajando con la entidad comprometida en el ataque para minimizar las repercusiones de éste. "En esta entidad sólo fueron vulnerados cuatro computadores. Tampoco fue terrible. Y lo que se está evaluando en este momento es qué tan bien respaldada estaba la información de éstos para saber qué tan grande es el daño".

La funcionaria aclaró que durante todo el día se han puesto en marcha protocolos para blindar a las entidades públicas, que incluyen reforzar los firewall de estos organismos, así como el bloqueo de direcciones IP desde donde se sabe que vienen los ataques.

Pero la actualización de los sistemas es apenas parte de todo este problema. Otro de los asuntos complejos en este escenario es el diseño de estas herramientas en primer lugar. Buena parte de estos ataques son diseñados por agencias de seguridad estatales, principalmente aquellas con operaciones ofensivas en el reino digital. Estamos hablando de las viejas conocidas, como la CIA, NSA o el GCHQ inglés, pero también caben acá unidades militares. 

El sólo diseño de estas herramientas representa un riesgo potencial para millones de usuarios porque, una vez se crea un arsenal de este calibre, también se crea la posibilidad de perderlo, como terminó sucediendo con la NSA y con la CIA. 

Con todo, los organismos de inteligencia nacionales parecen ser los mayores fabricantes y compradores de software malicioso en el mundo. Esto es cierto para las instituciones ya mencionadas, pero también lo es para las policías nacionales de países como México o Colombia, que tienen un interés marcado en software para romper la seguridad digital de teléfonos inteligentes, entre otras cosas. Al mismo tiempo, las filtraciones de información suelen ocurrirles a estas organizaciones.

Y en esta suerte de tensión entre fabricación y filtración quedan expuestos millones de usuarios, que tampoco ponen de su parte al no actualizar constantemente sus sistemas operativos y el software sobre el que dependen asuntos críticos, como el funcionamiento de hospitales.

El ataque en cuestión se aprovecha de una vulnerabilidad en Windows, que fue hecha pública por Microsoft el 14 de abril de este año, y que ejecuta remotamente un código malicioso, según informó la empresa de seguridad A3SEC. 

El usuario típicamente recibe un correo con un archivo adjunto que, al ser descomprimido, permite que cierta información de su sistema sea cifrada por el atacante; al estar cifrados, los datos resultan inservibles para su dueño, quien debe pagar US$300 para poder acceder de nuevo a éstos. La cifra de estos rescates suele ascender a los miles de dólares.

Este tipo de ataques se conoce como ransomware, o secuestro de información, y es una de las modalidades de ciberdelitos que más rápidamente está creciendo en todo el mundo: se estima que uno de cuatro usuarios en Latinoamérica ha sido víctima de esta práctica y en Colombia se registraron más de 100 estos casos en Colombia sólo el año pasado.

A través de un comunicado, Microsoft dijo que: "El día de hoy, nuestros ingenieros incorporaron detección y protección contra el nuevo software malicioso conocido como Ransom:Win 32.WannaCrypt. En marzo, pusimos a disposición de  nuestros clientes protecciones adicionales contra malware de esta naturaleza, con actualizaciones de seguridad que previenen su propagación a través de diferentes redes. Los equipos que estén corriendo nuestro software de antivirus gratuito y tengan habilitado Windows Update, están protegidos".

Rodríguez, de MinTIC, recomienda que, si el usuario tiene computadores con Windows XP o Vista, los desconecte de inmediato de internet, pues estas versiones del sistema operativo ya no tienen soporte de actualización. De Windows 7 en adelante, lo recomendable es actualizar tan pronto se pueda.