El ataque del ransomware WannaCry (quieres llorar) este viernes 12 de mayo ha sido de dimensiones "nunca antes vistas", tanto que solo se pueden intentar abarcar mirando las cifras:
De acuerdo a Europol, el ataque afectó a 200.000 computadores en 150 países.
Pero más allá de su impacto global, lo que más ha llamado la atención de los expertos ha sido el método que se utilizó para infectar a los ordenadores alrededor del mundo.
Método que consistió en aprovechar una vulnerabilidad en el sistema operativo Windows a través de dos programas o "exploits" (Eternal Blue y Double Pulsar) que habían sido robados a la Agencia Nacional de Seguridad de EE.UU. (NSA, por sus siglas en inglés) hace algunos meses.
Sin embargo, aunque el día que empezó la campaña masiva de ransomware fue este viernes, de acuerdo al reporte de la empresa Kaspersky Lab, con sede Miami, la misma fisura ya había sido aprovechada días antes por otro virus.
Y el blanco utilizado, aseguran, fue una institución financiera en Perú.
"Nadie se detuvo a estudiar que los primeros 'abusos' de Eternal Blue publicado por Shadow Brokers en el mes de marzo, se habían dado una semana antes y habían ocurrido en Perú", le dijo a BBC Mundo Dmitry Bestuzhev, director del Equipo Global de Investigación y Análisis de Kaspersky Lab en América Latina.
"Nosotros ayudamos a la institución financiera a solucionar este ataque. Aunque no utilizó el virus de la familia WannaCry, si aprovechó la fisura de Windows con Double Pulsar", agregó.
El ataque fue reportado como un ramsonware normal, pero después se advirtió que contenía las mismas características que haría "novedoso" este ataque mundial.
"En los días previos al 12 de mayo se presentaron varios ataques, no solo como el de Perú, sino otros que sí utilizaron WannaCry, pero que no tuvieron el mismo efecto", le explicó por su parte a BBC Mundo el profesor Alan Woodward, experto en seguridad cibernética de la Universidad de Surrey.
"Pero todo se centró en China y Rusia, mientras que olvidamos que Brasil fue uno de los países más afectados, o que Latinoamérica sufrió ataques en la mayoría de sus países", señaló.
¿Cómo ocurrió?
El ransomware es un ataque en el que los perpetradores piden dinero a cambio de acceder de nuevo a los sistemas que han bloqueado con un virus.
"Este ataque de WannaCry fue masivo por la forma en que ingresaron a los sistemas: no a través de un correo o un link, sino a cualquier computador que no hubiera actualizado los parches de seguridad de Windows", explicó Woodward.
Pero lo peor es que había sido advertido: en marzo el colectivo Shadow Brokers señaló que había robado a la NSA los programas Eternal Blue y Double Pulsar, que permitían ingresar a un computador a través de internet y acceder a sus archivos principales si tenían el sistema operativo Windows.
De inmediato Microsoft, dueño del sistema operativo, lanzó un parche de seguridad que eliminaba cualquier riesgo. Pero muchos no hicieron caso y no actualizaron sus programas.
Según Dmitry Bestuzhev, el caso peruano fue informado el lunes 8 de mayo.
"Ese día tenemos reportes desde Perú que una institución financiera había detectado un ransomware que había usado a 'Eternal Blue' para infectar sus sistemas", señaló.
"No pensamos que se trataba de un caso importante, ocurren casos de ransomware todos los días, sino fuera porque cuatro días después, mientras trabajamos en desbloquear este problema, apareció ese oleaje a nivel mundial utilizando los mismos exploits", añadió.
Otra familia
En el caso de Perú habían utilizado el virus Cript off, que es de una familia distinta a la de Wannacry que se extendió por todo el mundo.
"Antes de eso, no habíamos visto que se aprovecharan de la vulnerabilidad de Windows, aunque no se puede descartar que haya ocurrido", anotó Bestuzhev.
Y esto lo aclara Gonzalo Asensio, el director de ciberseguridad del centro tecnológico español Eurecat.
"No conozco el caso peruano, pero no sabemos el tiempo que pasó entre cuando se obtuvieron las fisuras y fueron dadas a conocer al público en general. Allí también pudieron ocurrir muchos de estos ataques previos", le explicó Asensio a BBC Mundo.
En el caso peruano, no solo se habían aprovechado de la vulnerabilidad de Windows, sino también la falta de actualización del sistema.
El riesgo de América Latina
Podría haber ocurrido en cualquier parte del mundo. Pero dentro de la institución financiera peruana la organización había facilitado un poco las cosas.
"Habían utilizado la red que se usa para cosas internas como impresoras o intranet para el acceso a internet, lo que junto a la poca actualización de sus sistemas, hizo que fuera pan comido para cualquier ataque", explicó Bestuzhev.
Y es un cuestionamiento que se extiende al continente.
"América Latina como un todo está expuesta a un riesgo sustancialmente mayor que el resto del mundo debido a que tiene el mayor porcentaje de computadoras con sistema Windows sin actualizar", le dijo a BBC Mundo Vince Steckler, gerente general de la empresa de seguridad informática Avast.
De acuerdo a Steckler, el 18,4% de las computadoras que usan Windows en Argentina no habían aplicado el parche de Windows antes de la aparición de WannaCry. En Brasil esa cifra era del 17,6% y en México 14,71%.
"El tema de seguridad cibernética es complejo, porque no es evidente: cuando no pasa nada es cuando está funcionando. Y cuando pasa algo es cuando se toman las medidas con un daño de por medio", explicó Asensio.
"Lo importante es que se actualicen todos los sistemas y se mantengan así, para evitar otro ataque como el del viernes", señaló.
Tanto Bestuzhev como Woodward estuvieron de acuerdo que este hecho no significaba que el ataque de WannaCry se hubiera originado en el país latinoamericano.