Decenas de miles de ataques de ransomware que tenían como blanco organizaciones de todo el mundo afectó este viernes. La firma de seguridad Kaspersky Lab ha registrado más de 75.000 ataques en 9 países en las últimas 10 horas. España es el tercer país más afectado, por detrás de Rusia y Taiwán, por un ciberataque que ha resultado tener dimensión global y que los expertos han calificado de muy virulento y creen que se ha extendido hasta en 99 países, llegando a paralizar y afectar en distinto grado a sistemas sanitarios, como los de Reino Unido y Estados Unidos.
El ransomware, llamado "WannaCry", bloquea todos los archivos de un ordenador infectado y pide al administrador de la computadora que pague para recuperar el control de los mismos. Los investigadores dicen que se está extendiendo a través de un exploit de Microsoft Windows llamado "EternalBlue", para el que Microsoft lanzó un patch (parche) en marzo. Un grupo de hacking filtró el exploit en un trove de otras herramientas de espionaje de la Agencia de Seguridad Nacional de EEUU (NSA) el mes pasado.
"Las empresas afectadas tienen seis horas para pagar y cada pocas horas el monto de extorsión aumenta", dijo Kurt Baumgartner, el principal investigador de seguridad de Kaspersky Lab. "La mayoría de las personas parecen que han pagado los 300 dólares iniciales en las primeras horas".
Dieciséis organizaciones del Servicio Nacional de Salud (NHS) en el Reino Unido han sido afectadas, y algunos de esos hospitales han cancelado las citas con pacientes ambulatorios y les dijeron a la gente que evitara departamentos de emergencia si es posible. La compañía española de telecomunicaciones Telefónica también fue golpeada con el ransomware.
Las autoridades españolas confirmaron que el ransomware se está propagando a través de la vulnerabilidad de EternalBlue y han aconsejado a las personas aplicar el patch. "Se va a extender a lo largo y ancho dentro de los sistemas internos de las organizaciones; esto se está convirtiendo en el mayor incidente de ciberseguridad que he visto", dijo el arquitecto de seguridad británico Kevin Beaumont.
Kaspersky Lab dice que aunque el ransomware de WannaCry puede infectar las computadoras incluso sin la vulnerabilidad, EternalBlue es "el factor más significativo" en el brote global.
Beaumont examinó una muestra del ransomware usado para afectar al NHS y confirmó que era el mismo utilizado contra Telefónica. Dijo que las compañías pueden aplicar el patch lanzado en marzo a todos los sistemas para prevenir infecciones de WannaCry. Aunque no servirá en nada para las máquinas que ya han sido afectadas.
El experto dijo que es probable que el ransomware se extienda a las empresas de EEUU también. El ransomware escanea automáticamente los equipos que puede infectar cada vez que se carga en una nueva máquina. Puede infectar otros equipos en la misma red inalámbrica. "Tiene un módulo 'hunter', que busca computadoras en redes internas", dijo Beaumont. "Así que, por ejemplo, si su computadora portátil está infectada y usted fue a una cafetería, se extendería a las computadoras en la cafetería, de ahí a otras compañías".
Según Matthew Hickey, fundador de la empresa de seguridad Hacker House, el ataque del viernes no es sorprendente, y muestra que muchas organizaciones no aplican actualizaciones de manera oportuna. Cuando la CNN informó por primera vez que las vulnerabilidades de Microsoft se filtraron en abril, Hickey dijo que eran las "más perjudiciales" que había visto en varios años, y advirtió que las empresas estarían en mayor riesgo.
No es la primera vez que los hackers han utilizado las herramientas filtradas de la NSA para infectar computadoras. Poco después de la filtración, los hackers infectaron miles de máquinas vulnerables con una puerta trasera llamada DOUBLEPULSAR.
