Cómo una herramienta secreta creada por Estados Unidos se convierte en una destructiva arma ‘online’

El secuestro del sistema público de Baltimore es la última prueba del uso criminal de recursos desarrollados por Gobiernos

Jordi Pérez Colomé
El País
El 7 de mayo, parte de los ordenadores de la administración de la ciudad de Baltimore (EEUU) se bloquearon. Un hacker o grupo de hackers había encriptado archivos del sistema y pedía 13 bitcoins para liberarlos. El precio de las bitcoins varía bastante: ahora, son 92.467 euros.


El ataque bloqueó, entre otras cosas, los corres electrónico municipales, una base de datos de multas de aparcamiento, un sistema usado para pagar recibos de agua y el sistema de venta de casas. El plazo para pagar el chantaje se ha ido alargando hasta ahora, un mes después del ataque. "No hablaremos más, todo lo que queremos es ¡DINERO! ¡Rápido!", decía la nota que apareció en algunas pantallas. Baltimore ha anunciado que ha recuperado algunos sistemas y que el coste final para la ciudad rondará los 18 millones de dólares.

El caso de Baltimore habría quedado como un ejemplo más si no fuera por un detalle que reveló el New York Times y aún sigue en debate en la comunidad de ciberseguridad: para que el virus que bloqueó los ordenadores corriera más rápido, se usó presuntamente una herramienta llamada EternalBlue que había creado la estadounidense NSA (Agencia de Seguridad Nacional, en inglés) alrededor de 2012.

EternalBlue había servido al gobierno de Estados Unidos para aprovechar un fallo desconocido en el software de Windows e infiltrarse sin ser descubierto en cualquier ordenador con ese sistema operativo. "Era un Santo Grial", dice Sergio de los Santos, director de innovación y laboratorio en ElevenPaths, unidad de ciberseguridad de Telefónica Digital. "No requería intervención por parte del usuario, podía pasar desapercibido y funcionaba en cualquier Windows moderno", añade.

EternalBlue había servido al gobierno de EEUU para aprovechar un fallo desconocido en el software de Windows e infiltrarse

Los virus informáticos como el de Baltimore se llaman ransomware o de "recompensa" y son más comunes de lo que parece. En España hubo 54 ataques contra infraestructuras críticas de la administración en 2018, según datos del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). También hubo dos contra infraestructuras críticas en el sector privado. El CNPIC no revela los nombres de las empresas y organismos afectados.

Las 56 "infraestructuras críticas" que se atacaron con ransomware son, según la ley, "infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales". Los casos en los últimos años, según el CNPIC, no crecen porque dependen sobre todo de qué tipo de ransomware se pone de moda y funciona mejor.

El código usado en Baltimore se llama Robinhood, pero hay censados más de 700 por todo el mundo. Van por rachas o modas: ahora acaba de cerrar uno, GandCrab, que presumía de cobrar comisiones de las recompensas que obtenían sus "usuarios". Dicen que se han pagado 2.000 millones de dólares gracias a su virus.
La mayor filtración de la historia

En España hubo 54 ataques contra infraestructuras críticas de la administración en 2018

La historia de EternalBlue va mucho más allá de la informática. En 2017 un grupo llamado Shadow Brokers publicó online unas herramientas, entre ellas EternalBlue. De repente había al alcance de cualquier gobierno o banda criminal una de las mejores armas del arsenal estadounidense. Era como si hubiera un escuadrón de F-35 tirados en un aeropuerto cualquiera disponibles para quien supiera pilotarlos. La gran pregunta es cómo habían llegado allí.

El FBI detuvo en 2016 a Harold T. Martin, empleado subcontratado de la NSA, como Edward Snowden. En su casa encontraron montones de información clasificada, entre ella, las herramientas de hackeo que usaba la NSA para entrar en sistemas enemigos. ¿Alguien ayudó a Martin? ¿Quién siguió hablando por los Shadow Brokers después dela detención de Martin? Hay muchas preguntas sin respuesta. La filtración de Shadow Brokers fue peor que la de Snowden.

Cuando la NSA supo que su herramienta había sido robada, avisó a Microsoft para que parcheara el software. La acción es lógica, pero no deja de ser cínica: la NSA avisó a Microsoft que arreglara un agujero que ellos habían usado durante años. Microsoft lo hizo, pero no todos los sistemas del mundo se actualizaron en seguida.

Era como si hubiera un escuadrón de F-35 tirados en un aeropuerto cualquiera

De aquella filtración surgió el virus WannaCry en mayo de 2017. "WannaCry solo sirvió para provocar caos y para que EternalBlue perdiera todo su valor porque se dio a conocer", dice De los Santos. WannaCry fue un ransomware masivo. Fue como coger un escuadrón de F-35 para atracar bancos al azar: algo absurdo. Los atacantes reunieron "solo" unos 140.000 dólares de cerca de 400 ordenadores que pagaron.

El Departamento de Justicia de Estados Unidos imputó al programador norcoreano Park Jin Hyok por WannaCry. El origen por tanto está establecido. Aquel virus alcanzó unos 300.000 ordenadores, entre ellos varios hospitales públicos en Reino Unido, Renault, Telefónica, FedEx o los ferrocarriles alemanes.

Un mes después de WannaCry, llegó NotPetya. A través de los servidores de una empresa ucraniana que servía para hacer declaraciones de renta, NotPetya corrió y encriptó ordenadores de toda Ucrania y de multinacionales que tenían servidores allí. A Maersk, empresa de transporte marítimo, le afectó a 45.000 ordenadores de su red. Para volver a restablecer el sistema tuvieron que recurrir a un disco duro en Ghana que se había desconectado de la red por una caída eléctrica un rato antes de que NotPetya destrozara todo el sistema. A la farmacéutica Merck le costó 870 millones en reparaciones, entre muchas otras. El principal sospechoso en este caso es Rusia.

Hasta ese momento, el ransomware había dependido sobre todo de la intervención incauta de usuarios: había que clicar por ejemplo en un mensaje falso. Pero gracias a la combinación de EternalBlue con otros, el ransomware reventaba ordenadores en cadena sin ninguna intervención.
¿Por qué vuelve ahora?

Todo eso fue en 2017. ¿Por qué vuelve a estar de actualidad? Porque ha vuelto a casa. La sede de la NSA está junto a Baltimore. Es como si armas fabricadas solo en Estados Unidos se usaran para atacar el país desde fuera. El uso preciso de EternalBlue en Baltimore está en discusión, pero la falta de precaución de la NSA, o de cualquier gobierno, con estas herramientas es un riesgo enorme.

Ahora una gran arma de la NSA está en manos de cualquiera: "Una vez esas herramientas están ahí fuera, pueden caer en manos de quien sea, incluso de unos niños", dice Ross Anderson, profesor de la Universidad de Cambridge. Dos años después ya no es sofisticada porque se han actualizado muchos sistemas, pero siempre habrá huecos.

¿Por qué las empresas y organismos públicos no actualizaron en seguida sus sistemas?

El único responsable no es de hecho la NSA. Microsoft, al fin y al cabo, había publicado el parche para evitar el asalto de EternalBlue. ¿Por qué las empresas y organismos públicos no actualizaron en seguida sus sistemas? Hay sobre todo dos motivos: uno, hay grandes empresas que necesitan que sus sistemas estén en marcha las 24 horas y detenerlos para actualizarlos requiere de mucho esfuerzo, y dos, hay sistemas que funcionan bien con versiones antiguas y una actualización puede estropear el funcionamiento.

Hay un tercer motivo más difuso: negligencia. Las copias de seguridad, por ejemplo, son un recurso simple para restaurar sistemas si aparece un virus. "Hay una diferencia fundamental entre los equipos de seguridad y sistemas en una empresa", explica Alfredo Reino, consultor en ciberseguridad. "A sistemas les miden por cuánto tiempo funcionan, y si algo se cae algo tienen que levantarlo. Eso entra en conflicto con la seguridad. Una cosa tan fundamental como los permisos, parches y copias de seguridad, les parece secundario. Y puede que lo retrasen o no lo hagan no vaya a ser que se caiga".

Hay escáneres que buscan cuántos ordenadores aún no se han actualizado. Solo en Estados Unidos, hay más de 400.000. En España también hay muchos equipos al descubierto: "En el caso de ciudadanos particulares o empresas pequeñas donde el uso de software sin licencia (y sin actualizaciones oficiales) es más habitual, la incidencia de un ataque de estas características podría afectar todavía a varios miles de equipos", dicen fuentes del CNPIC.

Eso no es claramente lo peor. Lo peor es que Microsoft ha anunciado un nuevo parche este mes de mayo para un agujero que aún no se conocía. Es probable que alguien –¿un gobierno?– lo haya estado usando como arma de espionaje. Es decir, quizá hay por ahí una herramienta para entrar en cientos de miles de máquinas sin actualizar. Las versiones de Windows por las que se cuela son más antiguas que EternalBlue, pero su alcance es aún un misterio.

Entradas populares