«No sabíamos ni cuándo ni dónde, pero nos temíamos un ciberataque de este tipo»

Bernardo Quintero es, probablemente, uno de los ingenieros informáticos que más sabe sobre ciberseguridad en el mundo, y su trabajo en Google le avala. El gigante tecnológico le fichó a él y a su equipo en 2012, adquiriendo su producto estrella: Virustotal. Se trata de un servicio online pionero en el escaneo sistemático de archivos en busca de software dañino, que a día de hoy opera desde Málaga para Silicon Valley. El Kaspersky Security Analyst Summit, la cumbre mundial de seguridad informática, reconoció en 2015 el trabajo de su empresa con el premio Save the World MVP a la mayor contribución a la industria de la seguridad informática.

El ataque masivo con ransomware que el pasado viernes trajo de cabeza a decenas de empresas en el mundo confirmado como el ataque más grande hasta el momento no le ha pillado por sorpresa. «No sabíamos cuándo ni dónde iba a ocurrir», asegura, pero por los foros de la comunidad informática «estábamos pendientes». Un aviso de Microsoft sobre una actualización global para cubrir un fallo «crítico» hizo que «estuviéramos viéndolas venir». Para Quintero no hay «un antivirus perfecto», ni un «jefe de seguridad capaz de parar todos los ataques». Pero su experiencia luchando contra los malwares él los llama bichos le permite dar algunos consejos.

Lo primero, ¿qué es un ransomware?

Es un tipo de malware, un software malicioso. Básicamente, se trata de un código que secuestra los documentos del sistema que infecta y los encripta. De forma automática, crea una contraseña que queda en manos del atacante. Al usuario le sale un pantallazo pidiendo que pague un rescate para recuperar la información.

¿Cómo fue el ataque del viernes? ¿un ransomware de manual?

El ataque del viernes es muy complejo, en el que se ha utilizado el ransomware de una forma diferente, pero todo viene desde más atrás en el tiempo. Todo empezó el 14 de marzo. Microsoft lanzó una actualización para los sistemas operativos Windows, y una de las cosas que cambió fue el protocolo SMB, que sirve para compartir la información de un ordenador en red local. Al lanzar el parche, dijeron que habían descubierto una vulnerabilidad a través de la cual alguien podría hacerse con el control de la red mediante el SMB, por lo que catalogaron la actualización como crítica. Un mes después, el 14 de abril, Shadow Brokers, un grupo de hackers anónimos, dicen haber robado un arsenal de la NSA agencia nacional de inteligencia de los Estados Unidos con las herramientas que desde el organismo público utilizaban para monitorizar y acceder a ordenadores de terceros. Entre ese arsenal, hay una herramienta que utiliza la vulnerabilidad del SMB que Microsoft había corregido un mes atrás. Con esa herramienta alguien podía crear un gusano que fuese entre redes locales infectando los ordenadores. Llegamos al 12 de mayo. Alguien cogió un ransomware y metió el código de infección del SMB en él, por lo que aparte de infectar el ordenador, contagiaba a la red local completa, y así se movió de manera exponencial. Si hay cientos de ordenadores infectados solo hizo falta que el virus se abriera en uno.

¿Hay alguna forma de hacer que el gusano pare?

A día de hoy sólo se ha podido parar mediante un descubrimiento fortuito. Dos analistas de código en Reino Unido se dieron cuenta de que, entre las decenas de caracteres que componen el malware, estaba escondido el dominio de una página web. Cuando intentaron acceder vieron que la web no existía, por lo que decidieron registrar el dominio y activarlo, tras lo que inmediatamente el bicho dejó de moverse. Resulta que el virus tenía la orden de intentar comunicarse con la página web antes de cada infección. Si no recibía ninguna respuesta, podía continuar; si la web estaba activada, se detenía, como un botón de apagado. Los analistas creen que el atacante colocó ese protocolo para poder desactivar el gusano llegado el momento.

¿Se esperaban que pasara esto?

No sabíamos ni cuándo, ni dónde, ni cómo, pero sabíamos que algo iba a pasar. Hay un montón de tweets y comentarios al respecto en la comunidad de informáticos en internet, porque estábamos todos estudiando el código parcheado, siendo conscientes de que se podría utilizar con intenciones maliciosas en ordenadores no actualizados.

¿Siempre se puede recuperar lo robado después de un ransomware?

No. En las primeras versiones sí era posible, porque el sistema de cifrado no era demasiado sofisticado. Ahora son muy potentes y no siempre es posible, ni siquiera si el usuario efectúa el pago. Si hay suerte se recupera la información en su totalidad, pero en muchos otros casos, una vez enviada la cantidad demandada, los datos se han perdido para siempre.

¿Cuál es la mejor defensa?

No existe una defensa perfecta. Es importante tener un buen antivirus y, cuando se trata de una empresa, copias de seguridad periódicas. Antes se hacían muchas y constantemente porque los sistemas fallaban, pero ahora nos hemos relajado en este aspecto, por lo que las compañías están más expuestas. Además, debemos hacer las copias de seguridad a la antigua, en las que la información no esté alojada en el mismo ordenador, sino en un disco duro externo. También es fundamental la picaresca y la atención de la persona que está al otro lado del teclado. No se debe abrir ningún fichero que te llegue por internet del cual no se conozca su procedencia. Hay que sospechar, siempre y mantener los sistemas operativos actualizados, los parches se hacen por algo.

¿A quién se dirigen estos ataques?

En este caso de ransomware conectado con gusano, el objetivo es puramente económico. Puede afectar a cualquier tipo de empresa o usuario, solo que el ataque del que hablamos tiene unas dimensiones diferentes. En un domicilio hay pocos ordenadores conectados en red, mientras que en las oficinas hay muchos. Sabemos que no se trata de un ataque dirigido contra una corporación grande en concreto, sino que el gusano se ha movido solo.

¿Cree que se va a repetir?

El ciberataque volverá a repetirse, seguro. Seguro ue mientras estamos hablando hay gente que está adaptando el código empleado en este ataque para utilizarlo en una nueva infección.

¿Qué sabe del atacante?

El código usado el viernes ya lo había probado antes, con una campaña de ransomwaree estándar. Esto se hizo el 27 de marzo, pero fue un ataque entre otros muchos y no tuvo repercusión. El hackeo del viernes llegó a Virustotal a las siete de la mañana, y fue detectado por trece motores antivirus, que percibieron cómo se había aprovechado de la falta de actualización del sistema operativo.

¿El dinero no deja un rastro con el que perseguir al hacker?

Sí, se puede rastrear pero los hackers utilizan muchos sistemas para no ser perseguidos. Para empezar, no emplean ninguna moneda corriente. Cobran en bitcoin, una divisa internacional empleada sólo en internet, que hace que sea mucho más difícil perseguir. Además, se mueven por la conocida como deep web, internet profundo en español. Son redes anónimas en las que se mueven muchos tipos de delitos. Es muy complicado llegar a rastrear el flujo de dinero en ese medio.

• Temas
• Microsoft
• Google
• Ciberseguridad
• Ciberataque
• Hackers