La primera ciberguerra mundial

Parecía un ataque informático de delincuentes para chantajear con el control de sus ordenadores a empresas de todo el mundo, pero ha terminado convirtiéndose en una operación iniciada por el grupo Lázarus, vinculado a Corea del Norte, con el objetivo de crear un caos en todo el mundo. Tiempo ha hablado con prestigiosos especialistas en seguridad para elaborar los consejos imprescindibles para hacer frente a futuros ataques de este u otro tipo. Todo el mundo está en alerta.

“No hubo ningún correo electrónico, ni un empleado que abrió un enlace. Se utilizó una vulnerabilidad que usaba la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) de Estados Unidos para espiar a la población, y aunque el parche salió hace varios meses, en grandes empresas es difícil tener todo actualizado sin pasar por pruebas o análisis”. Así resume Omar Benbouazza, un prestigioso experto en seguridad y organizador del congreso de seguridad informática RootedCON, lo que ha pasado con el ataque generalizado a los sistemas informáticos que estos días ha convulsionado a casi todo el mundo, empezando por la propia España. Un ataque que ha pillado por sorpresa a todos los expertos mundiales y que ha desatado la alarma ante la posibilidad de que los ordenadores sean tan vulnerables que mafias o países sean capaces de controlar nuestras vidas.

Todo comenzó en España el viernes 12 de mayo. El director de Seguridad Corporativa de Telefónica y ex alto mando del Centro Nacional de Inteligencia (CNI, el servicio de inteligencia español), Miguel Sánchez, fue informado de un ataque informático y desplegó todos los medios de la compañía para hacerle frente. Lo primero que establecía el protocolo era alertar a los empleados que trabajaban en la sede central para que apagaran los ordenadores de inmediato y evitar así que el virus se extendiera y se hiciera fuerte.

Al mismo tiempo, dieron la alerta al Instituto Nacional de Ciberseguridad (Incibe), que coordina las acciones nacionales de defensa frente a ese tipo de ataques y que informó de la gravedad del mismo, para que adoptaran las medidas pertinentes, a los integrantes del Consejo Nacional de Ciberseguridad: el Centro Criptológico Nacional, dependiente del CNI, que protege a las administraciones públicas; al Ministerio del Interior, que cuida de las infraestructuras críticas (agua, gas, luz...); y al Ministerio de Defensa, que vigila todo los sistemas que afectan a las Fuerzas Armadas.

Otras muchas empresas españolas fueron también atacadas por sorpresa, aunque en una gran parte de los casos, siguiendo la política habitual de silencio, se mantuvieron al margen de las informaciones públicas o negaron que les hubiera afectado. Nadie quería mostrar en abierto que su sistema informático muestra vulnerabilidades.

Lo primero que explican los expertos es que este ataque no tiene nada que ver con las alertas que se están dando para que cualquier usuario de un ordenador no abra el mensaje adjunto que un desconocido nos envía asegurando que es de nuestro máximo interés. Esta agresión masiva, que ha afectado a más de cien países y a miles de empresas, ha podido penetrar las redes de seguridad porque ha explotado una debilidad del sistema operativo Windows.

Una debilidad que descubrió hace tiempo la NSA, que la utilizaba para entrar sin ser descubierta en los ordenadores de miles de personas a las que quería investigar. Nunca notificó a la empresa fabricante Microsoft el agujero que había detectado porque con esa medida habría puesto punto final a la facilidad con la que accedían a tantos ordenadores. Lo que no previó la agencia fue que el grupo de hackers Shadow Brokers les robara información entre la que estaba esa operación y fuera difundida públicamente. Microsoft reaccionó con rapidez y elaboró un parche que distribuyó entre todos sus consumidores para que taparan el agujero por donde podían ser atacados. Parecía que habían evitado la hecatombe. 

GRUPO LÁZARUS

Sin embargo, las empresas no actuaron con la suficiente diligencia. Nada es tan sencillo como puede parecer: introducir un parche exige tiempo y una serie de comprobaciones, que hacen que tarden en activarlo. Los responsables del ataque, según Vicente Díaz, de Kaspersky Lab, fueron el grupo de cibercriminales Lázarus, asociado a Corea del Norte. Un grupo que fue el responsable el año pasado del descomunal robo de 81 millones de dólares (73 millones de euros) del Banco Central de Bangladesh.

Se aprovecharon de que muchas empresas no habían colocado el parche en Windows y que otras siguen utilizando sistemas operativos antiguos en los que los parches no funcionan de la misma forma. En resumen, permitieron que se produjera el caos total.

Estos ataques del tipo ransomware (literalmente “rescate de mercancía”, en inglés), llamados así porque secuestran información para pedir un rescate, no tienen como objetivo robar información y es típico de mafias, no de Estados. En 2016, un millón y medio de empresas y particulares de todo el mundo sufrieron una agresión de este tipo, en el que aparece en la pantalla un mensaje anunciando el secuestro de toda la información almacenada en el aparato y la exigencia de un pago cercano a los 300 dólares (270 euros) para liberar la información. Muchos desembolsan el dinero con la intención de recuperar lo antes posible la información, pero los especialistas calculan en menos de la mitad las veces en que tras esta cesión desaparece el candado. En muchas ocasiones se vuelve a pedir más dinero o no se libera la información.

Inicialmente, los especialistas señalaban que había sido un ataque de algún grupo mafioso para obtener dinero, algo alejado de los habituales ejecutados por Estados, protagonizados normalmente por China o Rusia. Era difícil explicar la razón por la que ambas potencias no buscaban robar información, como en ellas es frecuente –también en el resto de los servicios de inteligencia del mundo–, y trataban de perjudicar a empresas públicas, como en España, a hospitales, como en Reino Unido, a bancos, como en Rusia, o a empresas automovilísticas, como en Francia.

La alarma se había extendido, aunque nadie quisiera reconocerlo. De hecho, en los días siguientes, en numerosas empresas y hospitales españoles en los que se detectó que su sistema podía ser atacado, no se permitió a los trabajadores utilizar los ordenadores hasta haber instalado el parche de Microsoft. Otras empresas aceleraban el cambio de su versión de Windows por otra más actual.

Por otro lado, las investigaciones posteriores de los grandes especialistas en ciberseguridad, que guardan una importante biblioteca histórica con todos los ataques producidos en el mundo y que les permite actuar como un CSI de la criminalidad informática, detectaron que el ataque guardaba similitud con otros lanzados por el grupo Lázarus. Esto cambió totalmente la imagen del ciberataque. Detrás del grupo mafioso podría estar King Jon Un, el tirano que dirige con crueldad el país obsesionado con dotarse de armas nucleares. Lo que podría mostrar la vulnerabilidad del mundo frente a un loco deseoso de acabar con todos.

Si las investigaciones iniciales de Kaspersky Lab, descritas a Tiempo por Vicente Díaz, y otras agencias confluyen en señalar al país norcoreano, sus defensores tradicionales, China y Rusia, también afectados por los ataques, quedarían colocados en una postura internacional incómoda. Porque no es lo mismo el ataque de una mafia que el de un Estado, aunque solo se pueda demostrar que es el patrocinador de un grupo de hackers violentos. A esta hipótesis se suma el hecho, señalado por Omar Benbouazza, de que “los programadores del ransomware fueron capaces de hacer que se autorreprodujera, algo comúnmente denominado como gusano. Esto no se veía desde hace mucho”. Es decir, que el ataque incluía elementos sofisticados que hablan de un interés por crear un caos en 150 países, según Europol.

Cuando un ordenador es secuestrado por ciberdelincuentes, el pago del rescate es solicitado en bitcoins, una moneda virtual a la que los cuerpos de Policía siguen el rastro con muchísima dificultad. El bitcoin no cuenta con el respaldo de ningún Estado y es usado con frecuencia en la web profunda para el pago de productos implicados en actos de delincuencia, aunque también muchos usuarios lo utilizan para sus transacciones legales. Algunos estiman que se mueven anualmente el equivalente a unos dos billones de dólares (1,7 billones de euros) en bitcoins. Sectores policiales sospechan que algunos Estados golfo pueden estar ingresando gran parte de ese dinero. 

INFRAESTRUCTURAS CRÍTICAS

Aunque en estas agresiones el fin sea el dinero, la selección de sus objetivos puede afectar, como es el caso, a las infraestructuras críticas. Se entiende como tales a aquellas que garantizan el normal funcionamiento de una sociedad, sus servicios esenciales. Entre ellas están los hospitales, los bancos y las compañías eléctricas, de gas o de agua.

La informática lo inunda todo, nada funciona sin ella. Por esa razón, en España se aplica un plan para evitar que un ataque informático pueda dejarnos sin luz o impedir que en un hospital no se puedan llevar a cabo las operaciones urgentes. De este tipo de ataques se recibe en España uno al día, y hasta el momento siempre han sido rechazados. Uno de los sistemas más simples para proteger esas infraestructuras es que su funcionamiento esté fuera de la red, por lo que ningún ataque procedente del exterior pueda paralizar su funcionamiento.

La política de concienciación está siendo llevada a cabo por las instituciones del Gobierno, especialmente desde la llegada de Mariano Rajoy al Ejecutivo. Numerosas empresas españolas de todo tipo han acudido en los últimos años al CNI para recibir el expreso ofrecimiento del servicio de inteligencia para colaborar en las ayudas que necesiten y hacerles comprender que hay que invertir en seguridad informática si no quieren que les roben información y les hundan el negocio.

El año pasado se denunciaron en España 115.000 agresiones informáticas a particulares y empresas, un dato grave que adquiere todavía mayor relevancia teniendo en cuenta que duplicaban al de 2015. Según las estadísticas mundiales, solo Estados Unidos y Reino Unido son más objetivo de los hackers que España, aunque la realidad es que la transparencia en nuestro país es mucho mayor que en otros países, que prefieren ocultar esa cifra.

Se sospecha que los miles de ataques anuales proceden en gran medida de Rusia y China. La inmensa mayoría, según fuentes oficiales, son rechazados, aunque algunos de ellos consiguen su objetivo. Una información que las empresas esconden para evitar que se conozca su vulnerabilidad y que sus accionistas entren en pánico.

El nivel de defensa en España es muy bueno. Uno de los grandes aciertos de Jorge Dezcallar siendo director del CNI en los últimos años del Gobierno de José María Aznar fue la creación del Centro Criptológico Nacional, un organismo de defensa que se ha desarrollado de una forma increíble dentro del CNI y que ha dotado al país de unos importantes mecanismos de seguridad. No solo ha creado redes de protección para las comunicaciones más importantes del Estado, sino que ha dotado a la sociedad de los mecanismos necesarios para hacer frente a la ciberdelincuencia. Después entraron el Ministerio del Interior y las Fuerzas Armadas para cerrar el círculo de la seguridad.

El problema, tantas veces denunciado por el actual director del CNI, Félix Sanz, es que los españoles nos relacionamos con Internet y las redes sociales sin ser conscientes de los peligros que conlleva, sin adoptar las necesarias medidas de precaución. Los especialistas esperan que ataques masivos como los vividos recientemente hagan que se cree una conciencia de seguridad. 

NO ABRIR MENSAJES, PERO...

Aunque todos los técnicos en seguridad informática están recordando ahora que no se deben abrir mensajes desconocidos, la realidad es que este ataque del que hablamos no ha tenido nada que ver con ese fallo de seguridad, sino con el parche no instalado en los programas. No obstante, los mensajes son la principal vía de penetración de los virus.

Hace un par de años, el CNI detectó que diversos teléfonos y ordenadores de altos cargos del Estado estaban recibiendo correos que incluían documentos adjuntos que al abrirlos infectaban el aparato y tomaban posesión de ellos. Sospecharon que procedían de Rusia, por lo que llevaron a cabo una intensa campaña para explicar a los responsables de los ministerios que había muchos países interesados en robarles información y que la manera más fácil que tenían era infectar sus dispositivos móviles. Aún más, les explicaron que debían concienciar a sus subordinados de la necesidad de que actuaran con suma precaución, porque bastaba que uno solo cometiera una imprudencia para que toda la red del departamento quedara infectada y el enemigo pudiera navegar a su antojo robando lo que quería.

Algo que quedó demostrado en las recientes campañas electorales de Estados Unidos y Francia, en las que Hillary Clinton y Emmanuel Macron sufrieron el pirateo de la información secreta de campaña que almacenaban. En ambos casos se desconoce la vía de penetración en sus ordenadores, aunque hay la certeza de que un empleado descuidado o un topo facilitaron la vía de ingreso.

Hace unos años, una central nuclear iraní fue infectada por un virus llamado Stuxnet, creado por la CIA estadounidense y el Mossad israelí, que primero robó toda la información que pudo y después provocó un accidente que inutilizó la producción de uranio durante varios meses. La forma que tuvieran de hacerlo llegar a las tripas del sistema informático fue un colaborador del Mossad que lo introdujo gracias a un pendrive.

España no se queda a la zaga en la fabricación de estos virus que atacan ordenadores. Según las compañías de seguridad informática, el virus Careto, que vivió durante años en ordenadores de Suiza, Gibraltar o Marruecos, fue fabricado en España, lógicamente por el servicio de inteligencia.

Una imagen de la estación central de Fránc-fort, con sus paneles informativos apagados, durante el ciberataque. Foto: Gernot Hensel/Efe

Ocho consejos para evitar un ataque

TIEMPO ha hablado con tres de los máximos especialistas españoles en ciberseguridad para pedirles las medidas que debe adoptar cualquier usuario para hacer frente a las amenazas de los ransomware y de cualquier otro virus con que alguien desee infectar el ordenador. Los tres –Luis Enrique Corredera, fundador y co-CEO de Flag Solutions; Vicente Díaz, de Kaspersky Lab; y Omar Benbouazza, fundador de RootedCON– coinciden en los puntos principales.

•  Lo primero es mantenerse al día de las actualizaciones del software (Windows, Office...), porque los atacantes usan problemas de seguridad que muchas veces han sido ya parcheados por los fabricantes. Está demostrado que los usuarios a veces tardan días, semanas o meses en ejecutarlos, tiempo que dan a los piratas para atacarles.
•  Hay que usar un buen antivirus y mantenerlo actualizado. “Sabemos que los antivirus no son perfectos –dice Luis Enrique Corredera–, y que muchas veces no detectan las nuevas amenazas cuando aún son desconocidas. Sin embargo, nos protegerán de todas aquellas que ya han sido identificadas, que son muchas”.
•  Se debe utilizar un firewall –programa informático que controla el acceso de una computadora a la red y de elementos de la red a la computadora, por motivos de seguridad– personal y configurarlo de la forma más restrictiva posible. El firewall limitará la propagación de infecciones por la red. Sin él, un ordenador conectado a la red de una cafetería o un hotel podría haber sido infectado.
•  Los tres especialistas coinciden en que es básico no abrir correos electrónicos procedentes de desconocidos, pero tampoco –como matiza Corredera– aquellos que aun viniendo de conocidos parezcan no confiables, contengan archivos adjuntos extraños, por verosímiles que puedan parecer las situaciones que describen en el e-mail. Esta es la forma clásica de propagar infecciones. Además, es conveniente no navegar ni descargar contenido de webs de dudosa confianza o reputación.

•  Es muy importante llevar a cabo una práctica que es poco frecuente en España, sobre todo por particulares: disponer de copias de seguridad actualizadas de nuestra información, en discos externos habitualmente desconectados, o en servicio en la nube. Hacer esto es elemental para garantizar la recuperación de la información y limitar al máximo la pérdida de datos.
•  Ante un comportamiento anormal del ordenador o del teléfono (funciona con demasiada lentitud, se cierran inesperadamente las aplicaciones, hay un excesivo consumo de batería o se calienta) hay que acudir a un servicio técnico profesional. Cuando las cosas se ponen feas, lo mejor es ponerse en manos de profesionales.
•  Aunque parezca que ya pasó el tiempo en el que todo el mundo metía en sus ordenadores programas que le habían pasado –piratas– y funcionaban perfectamente, los especialistas recomiendan utilizar únicamente software original y con licencia.
•  Un consejo en el que se está poniendo mucho énfasis últimamente es que si se es objeto de un ataque de Ransomware, nunca se debe pagar el rescate exigido. Muchos aducen que es la mejor forma de evitar estos ataques, porque si nadie paga, los delincuentes no lo utilizarán. Pero la razón más poderosa es que la experiencia demuestra que aunque se pague no hay garantías de devolución de la información sin que aumente la petición de dinero.

Rüdiger Trost

Experto de la empresa de seguridad informática F-Secure

Andrei Sokolo

“El ciberataque se repetirá antes o después”

Gracias a que por casualidad se encontró una especie de freno de emergencia del virus, este se paró el viernes. ¿Significa que ya ha pasado?

Es una ayuda a corto plazo. Pienso que antes o después habrá una nueva ola de este tipo de ataque, porque se ha demostrado que funciona muy bien a través de un agujero de seguridad de Windows relativamente antiguo.

¿Por qué es especial este malware?

La propagación automática de un ordenador a otro existe desde hace tiempo, pero es la primera vez que lo observamos con un ransomware, que exige un rescate por liberar la información.

¿Qué deben hacer los consumidores?

Bajarse la actualización de Windows que cierra el agujero de seguridad. Y usar un antivirus actualizado. Además, contar con un cortafuegos tanto hacia el exterior como en la red interna. 

¿Qué opina sobre la cuestión de si hay que pagar o no?

Las autoridades de seguridad informática y la Policía recomiendan no pagar. Pero cuando no hay más opciones para acceder a los archivos y se trata de datos clave para una empresa, entonces no hay más remedio que pagar. 

¿Y los criminales cumplen su palabra?

El modelo de negocio se basa en que pagas y recuperas tus datos. Pero eso no borra el troyano, que sigue ahí. Y uno puede contar con que reaparecerá más adelante y pedirá más dinero. 

¿Cree que ahora empresas y consumidores actualizarán más a conciencia sus sistemas?

Seguro se aprenderá de esto, pero quien no lo haya entendido hasta ahora, tampoco lo hará con este ataque. [DPA]