WannaCry (2017) – El ransom que puso al mundo en jaque
18/03/2025
El 12 de mayo de 2017 comenzó como cualquier otro viernes en empresas, hospitales y oficinas gubernamentales de todo el mundo. Empleados llegaron a sus escritorios, encendieron sus computadoras y revisaron sus correos electrónicos, sin saber que en cuestión de horas estarían frente a un mensaje aterrador.
“¡Oops! Tus archivos han sido cifrados.” “Si quieres recuperarlos, debes pagar 300 dólares en Bitcoin en las próximas 72 horas, o serán eliminados.”
Pantallas bloqueadas, sistemas caídos, médicos sin acceso a historiales clínicos, aeropuertos sin control de vuelos, fábricas completamente detenidas. El ataque de ransomware más devastador de la historia estaba en marcha.
Su nombre era WannaCry.
Un Ataque Relámpago El impacto fue inmediato. Alrededor de las 9:30 a. m. en Reino Unido, hospitales del National Health Service (NHS) comenzaron a reportar fallos masivos en sus sistemas. Doctores y enfermeras intentaban acceder a expedientes médicos, pero en su lugar, se encontraban con una pantalla roja con una advertencia de pago en Bitcoin. No podían programar cirugías, revisar tratamientos ni siquiera acceder a los números de contacto de los pacientes.
A medida que pasaban los minutos, más y más organizaciones en distintos países caían. En España, Telefónica ordenó a sus empleados que desconectaran sus equipos de la red. En Francia, Renault cerró temporalmente algunas fábricas. En Alemania, los paneles de información en estaciones de tren dejaron de funcionar. En Rusia, el Ministerio del Interior reportó que 1,000 de sus computadoras estaban infectadas. Para el mediodía, WannaCry se había convertido en una epidemia global.
La velocidad con la que se propagaba era alarmante. En menos de 24 horas, más de 230,000 computadoras en 150 países estaban bloqueadas, y los atacantes exigían pagos en Bitcoin para liberar los archivos.
¿Cómo Funcionaba el Ataque? Un ataque de Ransomware esta provocado por un malware que se introduce en el sistema informático y cifra los archivos del usuario, impidiendo su acceso. Tras esto, se muestra un mensaje exigiendo un pago, habitualmente en una criptomoneda como puede ser el bitcoin. El Ransomware suele propagarse por phishing, redes P2P, vulnerabilidades, etc.
En este caso WannaCrypt0r 2.0 era una version mejorada del Ransomware WCry/WannaCrt del cual se tuvo constancia en febrero de 2017. En esta nueva versión se añadió una funcionalidad clave. Podía propagarse de forma automática por la red local sin necesidad de intervención humana, gracias a una falla de seguridad en el protocolo SMB (Server Message Block) de Windows.
Este protocolo pertenece a la capa de aplicación en el modelo TCP/IP. Se utiliza principalmente en computadoras con los sistemas operativos Microsoft Windows y DOS. Su función es compartir archivos, impresoras, etcétera, entre nodos de una red de computadoras que usan el sistema operativo Microsoft Windows.
Esta vulnerabilidad, llamada EternalBlue, había sido descubierta por la Agencia de Seguridad Nacional de EE.UU. (NSA). En teoría, este exploit era un arma secreta de ciberespionaje del gobierno estadounidense, pero en abril de 2017, un grupo de hackers llamado Shadow Brokers lo filtró en Internet. Lo que debía ser una herramienta para operaciones encubiertas cayó en manos de ciberdelincuentes.
Al exploit de esta vulnerabilidad se le conoce con el nombre de EternalBlue, que se supone desarrollada por la NSA. En teoría, este exploit era un arma secreta de ciberespionaje del gobierno estadounidense, pero el 14 de abril de 2017 (casi un mes antes del ataque de WannaCry) fue filtrada por un grupo de ciberdelincuentes llamado The Shadow Brokers a través de Twitter en la filtración numero 5: «Lost in Translation». Adjunto, un mensaje con un enlace a los archivos filtrados, encriptado con la contraseña «Reeeeeeeeeeeeeee». a filtración incluye, entre otras cosas, las herramientas y exploits con nombre en código: DANDERSPIRITZ, ODDJOB, FUZZBUNCH, DARKPULSAR, ETERNALSYNERGY, ETERNALROMANCE, ETERNALBLUE, EXPLODINGCAN y EWOKFRENZY
Algunas de las vulnerabilidades dirigidas al sistema operativo Windows se parchearon en un Boletín de seguridad de Microsoft el 14 de marzo de 2017, un mes antes de que ocurriera la filtración, y dos meses antes del ataque de Ransomware WannaCry. Algunos especularon que Microsoft podría haber recibido un aviso sobre el lanzamiento de las vulnerabilidades.
Los creadores de WanaCrypt0r 2.0 integraron EternalBlue en su Ransomware, lo que les permitió infectar a miles de equipos que no habían instalado el parche de seguridad que Microsoft había publicado en marzo de 2017 para corregir la vulnerabilidad. Por desgracia, muchas personas y sobre todo organizaciones no tenían una política de actualización rápida de parches de seguridad en sus sistemas por lo que quedaron expuestas al ataque. Esto significaba que bastaba con que un solo equipo en una empresa fuera infectado para que todo su sistema cayera.
Así, el Ransomware se convirtió en un gusano (worm) capaz de replicarse y propagarse por sí mismo a ordenadores aleatorios en el Internet, y «lateralmente» a ordenadores en la misma red. Era una combinación perfecta de un worm (gusano informático) y un ransomware: se movía rápidamente y bloqueaba sistemas enteros sin advertencia.
Así es como WannaCry se extendió tan rápido:
Explotaba la vulnerabilidad de SMB para entrar en una red corporativa o gubernamental. Se propagaba de manera autónoma sin necesidad de que los usuarios descargaran archivos o hicieran clic en enlaces. Cifraba todos los archivos importantes, bloqueando el acceso a documentos, imágenes y bases de datos. Mostraba un mensaje exigiendo un pago en Bitcoin, con un temporizador que amenazaba con eliminar los archivos si no se pagaba. Siempre se aconseja no pagar el rescate de los datos ya que no hay seguridad alguna de que los archivos vayan a ser desencriptados tras realizar el pago.
Tres direcciones bitcoin, o «carteras», fueron usadas para recibir los pagos de las víctimas. En esta clase de cartera, sus transacciones y balances son accesibles al público, pero los dueños de la cartera permanecen en el anonimato.
El 19 de mayo de 2017, 2:33 UTC, un total de 238 pagos, que acumulaban $72,144.76 habían sido transferidos.
El Descubrimiento del Kill Switch: La Jugada Accidental que Salvó al Mundo Mientras las empresas y gobiernos intentaban contener el caos, un investigador británico de ciberseguridad llamado Marcus Hutchins (conocido como MalwareTech en la comunidad) examinaba el código de WannaCry. Revisando su comportamiento, notó algo extraño: el malware intentaba conectarse a un dominio web específico (una dirección larga y sin sentido como iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com). Lo que descubrió fue un interruptor lógico, el malware antes de ejecutarse realizaba una consulta al dominio y al no obtener respuesta el malware se ejecutaba.
Sobre el por que de este interruptor existen varias teorías, una es que sería una especie de interruptor para que los creadores pudieran controlar «al monstruo» y otra de las teorías es que podrían haber incluido esta característica para proteger el ransomware del análisis de los profesionales de seguridad.
Ese tipo de examen a menudo tiene lugar en un entorno controlado llamado «sandbox.» Los investigadores construyen algunos de estos entornos para engañar al malware y pensar que está en le mundo real, pero realmente está comunicándose con un montón de direcciones IP ficticias de sandbox. Como resultado, cualquier dirección que el malware intente alcanzar obtiene una respuesta, incluso si el dominio real no está registrado, y si este contestaba afirmativamente el malware no se ejecutaba pasando por un software inofensivo.
Este dominio no estaba registrado, así que Hutchins decidió comprarlo por 10 dólares, sin saber que estaba activando accidentalmente un «kill switch». El código de WannaCry contenía una rutina que, si lograba conectarse a ese dominio, se autodesactivaba.
Por supuesto esto no ayudó a los sistemas que ya habían sido infectados. Al registrar el dominio, y luego dirigir el tráfico a él en un entorno de servidor destinado a capturar y mantener el tráfico malicioso, conocido como “sinkhole”, MalwareTech compró tiempo para sistemas que no habían sido infectados, retrasando severamente la propagación de la infección inicial y dio tiempo para que se desplegaran medidas defensivas en todo el mundo, particularmente en América del Norte y Asia, en donde el ataque aun no había alcanzado la misma extensión que en otras zonas.
Aun asi el descubrimiento no era una solución permanente. Todo lo que se necesitaría para evitarlo sería una nueva cepa de WannaCry cuyo código excluya el interruptor de interrupción, o se basa en un generador de URL más sofisticado en lugar de una dirección estática.
El Impacto del Ataque A pesar de la activación del kill switch, el daño ya estaba hecho:
150 países afectados. 230,000 computadoras infectadas en menos de un día. Hospitales colapsados en el Reino Unido, con cientos de cirugías canceladas. Grandes empresas como Renault, Telefónica y FedEx paralizadas. Pérdidas económicas estimadas en más de 4,000 millones de dólares. El caos fue tan grande que incluso Microsoft, que ya no brindaba soporte a sistemas antiguos como Windows XP, lanzó parches de emergencia para proteger a sus usuarios.
¿Quién Estaba Detrás del Ataque? Después de meses de investigación, Estados Unidos, Reino Unido y Australia concluyeron que el grupo de hackers norcoreano Lazarus estaba detrás de WannaCry. Este grupo, ligado al gobierno de Corea del Norte, ya había sido responsable de otros ataques cibernéticos de alto perfil, como el hackeo a Sony Pictures en 2014.
Se cree que WannaCry fue lanzado como un intento de recaudar dinero para el régimen de Kim Jong-un, que enfrentaba sanciones económicas. Sin embargo, los atacantes cometieron un error crítico: no diseñaron un sistema automatizado para recibir los pagos, lo que dificultó la recuperación de archivos incluso para quienes pagaron el rescate.
¿Cómo se Pudo Haber Evitado? WannaCry explotó una vulnerabilidad que ya tenía solución. Microsoft había lanzado un parche de seguridad en marzo de 2017, dos meses antes del ataque, pero muchas empresas y gobiernos no lo aplicaron.
Si las organizaciones hubieran seguido buenas prácticas de seguridad, podrían haber evitado la infección:
Actualizar los sistemas operativos con los últimos parches de seguridad. Deshabilitar SMB en equipos que no lo necesiten. Implementar segmentación de red para evitar que una infección afecte a toda la infraestructura. Realizar copias de seguridad frecuentes para no depender de los atacantes en caso de cifrado de archivos. Lecciones Aprendidas El ataque de WannaCry dejó enseñanzas cruciales para el mundo de la ciberseguridad:
Los gobiernos deben proteger sus herramientas de hacking. Si EternalBlue no hubiera sido filtrado desde la NSA, WannaCry no habría existido. Las actualizaciones de seguridad no son opcionales. Muchas empresas fueron víctimas simplemente porque no instalaron un parche disponible meses antes. Los ataques pueden colapsar infraestructuras críticas en cuestión de horas. Si no se hubiera activado el kill switch, el impacto habría sido mucho peor. La ciberseguridad es un problema global. Desde hospitales hasta fábricas, nadie es inmune a un ataque como WannaCry. Desde 2017, los ataques de ransomware han evolucionado y ahora son más sofisticados. Grupos como REvil y Conti han aprendido de los errores de WannaCry y ahora diseñan ransomware más sigilosos y efectivos.
