" />
Published On: Sab, May 13th, 2017

¿Por qué prospera el ransomware?

La noticia de ayer y posiblemente de todo el fin de semana fue el ataque con ransomware (ransom = rescate; ware = producto hecho para comerciar) que sufrieron muchas empresas.

La primera en dar la voz de alarma fue Telefónica, que es la que parece (¡quién lo iba a decir!) que es la que ha tenido una política de comunicación más transparente pero parece que han sido muchas más las empresas afectadas. Con el paso de las horas hemos ido conociendo que se trata de un fenómeno a escala mundial y que el país más afectado es Rusia.

Por lo que se sabe hasta ahora, el ataque utiliza dos técnicas muy sofisticadas que están fuera del alcance de los informáticos de a pie:

  1. para acceder a los ordenadores utiliza un agujero de seguridad que era conocido (y seguramente explotado) por los organismos públicos de seguridad, como la famosa NSA. En cuanto tal fallo de seguridad se convirtió en vox populi, Microsoft sacó un parche que impedía la infección en ordenadores equipados con versiones de Windows posteriores a Windows 3, NT, 95, 98, 2000 y XP que ya han terminado su ciclo de vida y no reciben actualizaciones. Es alucinante que haya empresas e instituciones públicas que tengan datos vitales en sistemas antiguos, sin actualizar y desprotegidos. De hecho, es posible que buena parte de las infecciones se hayan producido en ordenadores que sí diponen de la actualización pero no la habían aplicado.
    Basta con saber la dirección IP de uno de estos ordenadores (tan sencillo para los ciberdelincuentes de alto nivel como para ti ver un coche y saber su matrícula) para entrar por esta puerta trasera. En esta ocasión aprece que, además, se ha utilizado una vulnerabilidad más para extender la infección a todos los ordenadores y discos de red que estén concetados a través de una red de Windows.
  2. una vez que se está dentro se instala un programa que se dedica a buscar los ficheros de texto, hojas de cálculo, bases de datos, gráficos, presentaciones y documentos de todo tipo y les cambia la extensión por una que admite una contraseña. Para eso piden el dinero, para darte la contraseña. Se supone que en cuanto se pagan los bitcoins, tu ordenador se va a conectar a un servidor que va a trransmitir al programa secuestrador desencriptar los archivos para poder volver a trabajar.

Ahora bien, todo esto de Internet es mucho más transparente de lo que parece. Para hacerse una idea, es como secuestrar a alguien y pedir que nos envíen el dinero por transferencia bancaria a nuestra cuenta. ¿Se necesita una pista más clara para saber quién es el secuestrador que su cuenta bancaria? Pues en este caso la situación es parecida: los secuestradores piden el pago con bitcoins, que son transparentes por naturaleza (ya se sabe que en las primeras horas llevan recaudados 6.000$ aproximadamente) y, en segundo lugar, para facilitarte la clave te la tienen que enviar desde algún sitio que es fácilmente rastreable (no para ti y para mí, pero sí para la NSA).

De hecho es posible que este ataque fracase porque, en realidad, parece que se le ha ido de las manos a sus creadores hasta convertirlos en terroristas globales (están bloqueando incluso hospitales) y exponerse para cobrar seria como colocarse encima una diana.

Entonces ¿por qué no se paran en seco estos ataques?

Porque algunos países no quieren: Rusia, China y Corea del Norte principalmente pero son algunos más, se niegan a ceder en su soberanía para investigar a delincuentes que, sobre todo, actúan en países occidentales, que es donde está la pasta. Así de sencillo.

De todos modos, que no se nos olvide, Internet es propiedad del Gobierno de Estados Unidos y son ellos quienes deciden quién esá dentro y quién fuera así que es de suponer que tendrán intereses estratégicos en mantener a todos esos países díscolos dentro por si las cosas se pusieran feas de verdad.

Leave a comment

XHTML: You can use these html tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>