El ciberataque: pulsar un botón y desenchufar el mundo

Reconstrucción del ataque que paralizó los sistemas informáticos de más de 170 países. El próximo podría causar el caos a escala global

Juan Diego Quesada
Rosa Jiménez Cano
Madrid / San Francisco
Ese viernes, Luis llegó muy temprano a la oficina. Dejaría unas cuantas tareas rutinarias finiquitadas y en unas horas estaría en Barajas tomando un vuelo a Mallorca. Su novia había comprado con mucha antelación los billetes y había reservado habitación en un hotel de cuatro estrellas. Todo estaba preparado, sería un fin de semana romántico con escapadas a calas ocultas y paseos en bicicleta. Sobre las diez, cuando apenas le faltaban unas horas para que se marchara y dejara atrás el calor de Madrid, algo empezó a salirse de control. Lo comprendió de inmediato. Las próximas 72 horas no iba a pasarlas frente al mar, como imaginaba, sino delante de un ordenador, encerrado entre cuatro paredes. El jefe de informáticos del servicio secreto español debe enfrentar una crisis mundial.


A esas horas, un virus de tipo ransomware (cibersecuestro) había infectado a 300.000 computadoras alrededor del mundo. La pantalla del usuario se fundía a negro y a los pocos segundos aparecía un mensaje en el que se le anunciaban que sus documentos habían sido encriptados (cifrados). En una breve explicación, disponible en 30 idiomas, se detallaba que si quería recuperarlos tenía que hacer un pago de 300 dólares a un número de cuenta en bitcoins, una moneda virtual difícil de rastrear. En la parte izquierda de la pantalla aparecían dos cronómetros, uno con el tiempo que tenía para realizar el pago y otro con el momento exacto en el que sus archivos serían destruidos. Más abajo, un teléfono de contacto. A menudo los hackers utilizan centros de atención telefónica para solventar cualquier duda del afectado e incluso para negociar una rebaja del precio, como los cárteles mexicanos hacen con los familiares de sus secuestrados.

El virus, bautizado WannaCry por sus creadores, se expandió el viernes 12 de mayo con una velocidad y una profusión pocas veces vista. Los atacantes, según los expertos, utilizaron unas herramientas robadas en agosto del año pasado a la NSA, la agencia de inteligencia norteamericana, difundidas luego por Wikileaks. Este tipo de agresiones se suelen lanzar por correo electrónico, por lo que se necesita que el usuario caiga la trampa y haga clic en un enlace; pero en este caso el virus penetraba por conexiones y puertos abiertos donde se comparten ficheros. Un ataque ideal para golpear a redes de ordenadores conectados entre sí, como empresas y oficinas gubernamentales.

El hacker argentino César Cerrudo explica que la digitalización hace que la sociedad progrese pero a la vez nos hace más vulnerables. Y el próximo, como mostró este ciberataque, podría afectar a cualquier sistema: Gobiernos, empresas, hospitales, sistemas de justicia. Cualquier dispositivo conectado a Internet corre el riesgo de ser asaltado. Estaríamos ante un futuro con tintes apocalípticos. El propio Cerrudo y un compañero demostraron hace poco que podían controlar robots, que en unos años formaran parte de nuestra vida como los móviles o las tablets. “En la siguiente generación los asistentes personales como Siri tendrán cuerpo y podrán moverse. Imagínate poder controlarlos desde fuera”, reflexiona en voz alta.

La primera llamada de un afectado que recibe en el Centro Criptológico Nacional español, un organismo adscrito al Centro Nacional de Inteligencia (CNI), fue del departamento de seguridad corporativa de Telefónica. En la misma situación están compañías automovilísticas, bancos y ministerios de medio mundo, aunque la mayoría lo oculta. Son las 10.30. Luis, que en ese momento ya ha llamado a su pareja diciéndole que se frustra el viaje, pide una copia del virus para que puedan analizarlo. Al recibirlo y ejecutarlo en una de sus máquinas, comprueba que se trata de un malware común, sin un desarrollo muy complejo. Lo novedoso es su indetectabilidad, opaco para el 60% de los antivirus. Poco después, desde Londres se ponen en contacto con ellos para preguntarles si saben lo que está ocurriendo. Los informáticos españoles les envían de inmediato una copia de WannaCry.

Ante una crisis de este tipo no existe el Brexit. El ciberataque afecta al servicio nacional de Salud (NHS, por sus siglas en inglés), con repercusión directa en 16 hospitales y centros de salud. La primera ministra, Theresa May, asegura que no hay indicios de que la información de los pacientes haya sido “comprometida”, y es cierto.

El virus no roba datos, los encripta y con el paso del tiempo los destruye. Sabina Moreno, de 33 años, acude en metro a su cita en el hospital Mile End, que pertenece al Royal London. Desde hace cuatro años sufre unos dolores terribles de espalda y cuello debido a las horas que ha pasado trabajando frente a un ordenador en mala posición. A eso hay que sumarle el estrés de ser madre y dueña y única trabajadora de su empresa de venta de bañadores para bebés. Al llegar, se encuentra al recepcionista sepultado en un mar de papeles. Son las citas de los pacientes, imprimidas y anotadas a mano. En la sesión la fisioterapeuta le dice que no puede acceder al historial ni al resultado de las pruebas que se había hecho la semana pasada. El sistema ha retrocedido un par de décadas.

WannaCry ha tenido más víctimas de las declaradas. Muchas firmas prefieren ocultar el bochorno de quedar expuestas a merced de los atacantes que pasar por el escarnio de ser vulnerables por no ejecutar un sencillo y rutinario parche de Windows. La aseguradora de riesgos digitales estima el coste potencial del ataque en 4.000 millones de dólares. Una cifra notable si se tiene en cuenta que en todo 2016 valoró en 1.500 millones de dólares las pérdidas generadas por ataques.
Marcus Hutchis, el británico de 22 años que consiguió aplacar a WannaCry
Marcus Hutchis, el británico de 22 años que consiguió aplacar a WannaCry AP

Sin embargo, siguiendo las tres cuentas abiertas para recibir el dinero del rescate, lo recaudado apenas supera los 100.000 dólares. “Con el revuelo que se ha creado va a ser difícil que cobren. Les caerían encima policías y servicios secretos de todos lados”, añade Eusebio Nieva, director de Check Point en España y Portugal. La desproporción entre los daños causados y la cantidad recaudada por los hackers invita a dos reflexiones. Primera, que puede que no sea grandes profesionales o que, si se confirma la tesis de que el ataque está impulsado por Corea del Norte, como creen muchos forenses digitales ya que tiene similitudes con el pirateo a Sony, el fin último del ataque no era lucrativo. ¿En realidad querían probar su potencia de tiro?

En otro punto de Inglaterra, en el condado de Devon, a un chico de 22 años se le enciende una bombilla. Marcus Hutchins encuentra un dominio oculto en el virus, lo compra por 10 dólares y logra apagarlo creando un interruptor. Bingo. Funciona. El truco de Hutchins libera a miles de ordenadores de la infección. Mientras tanto, los informáticos españoles analizan el bicho, como comienzan a llamarle con familiaridad. Luis está convencido de que no ha sido diseñado para ganar dinero, es poco sofisticado en ese sentido. Con su equipo, hace ingeniería inversa, es decir, descubrir cómo funciona.

Se crea un gabinete de crisis improvisado. Luis y sus muchachos van en vaqueros y llevan camisetas negras con lemas de juegos de rol y competiciones de hackers. Los jefes, miembros de la Administración, en traje y corbata. Juntos encuentran otra forma de engañar al virus. Estos suelen traer un Mutex, un dispositivo que avisa al propio virus malware de que ya está ejecutado en un ordenador y no lo haga dos veces para no interferir. Activando el Mutex en una máquina sin infectar consiguen que el malware se dé media y vuelta no vuelva. Es una solución momentánea, socorrida. “Pero sucia, puede crear problemas”, reflexiona Luis.

En un edificio del barrio de Chamberí hay una casa sin luz. Es la de José María, el único de su bloque que está a oscuras. Llama a su hija para que hable con la compañía y lo arreglen lo antes posible. La mujer llama y se encuentra a una teleoperadora nerviosa y desbordada. Le toma los datos a mano y le dice que en algún momento irán a solucionarlo pero que ahora mismo no puede hacer nada. “No podemos usar los ordenadores y esto de mandar físicamente a alguien no se hace desde hace muchos años”, le cuenta al otro lado del teléfono. Mandar a un técnico, como ocurría hace bien poco, parece ahora antediluviano.

La solución de urgencia se perfecciona en Madrid 24 horas después, al margen del parche de Microsoft. El equipo del CCN cuelga una nueva versión perfeccionada del programa, algo muy sencillo, que no tiene más de 60 líneas de código. En los próximos días será descargado 50.000 veces. Tras escanear todas las Ip de España, todavía ven que hay más de 2.000 ordenadores en riesgo, pero poco más se puede hacer. Los informáticos, de todos modos, también crean soluciones a medida. Hay empresas españolas con sistemas operativos tan antiguos, como Windows 2000, que no pueden hacer nada para retomar su producción. Luis busca una versión en farsi de 1997, la prehistoria tecnológica. En los foros de Internet hay quien empiezan a alertar de que instalar ese parche supondrá abrir de par en par tu privacidad al servicio secreto. En esos círculos donde abunda la sospecha no son muy populares. Luis los lee y se rie. El trabajo está hecho.

Entradas populares