Crear un arma cibernética es jugar a una lotería en la que existen un gran número de boletos para que esta termine descontrolada. Ha ocurrido con Pegasus, supuestamente diseñado para combatir el crimen organizado y el terrorismo pero usado para atacar a activistas, abogados, periodistas y políticos de todo el mundo. El escándalo con el software de espionaje israelí sigue la línea de lo ocurrido con otras ciberarmas, como la que causó una de las infecciones informáticas más masivas hasta la fecha, nacida en los laboratorios de la NSA estadounidense.

Todo empezó el 12 de mayo de 2017. Muchos especialistas no lo vieron llegar porque, simplemente, no creían que algo así fuera factible. Uno de los primeros focos fue Telefónica, cuyos ordenadores quedaron encerrados tras la pantalla roja que estaba a punto de dar la vuelta al mundo. Luego cayó el sistema británico de salud. Luego la red ferroviaria alemana.

Les siguió FedEx, el Ministerio del Interior ruso y unos 300.000 sistemas informáticos de 150 países entre los que había instituciones, hospitales, empresas y ordenadores personales. La cifra exacta nunca se sabrá porque muchas compañías y gobiernos ocultaron que habían resultado afectados. Lo único que quedó claro es que había llegado WannaCry.

La infección estuvo cuatro días descontrolada y causó unos 3.000 millones de euros en daños. WannaCry era un gusano que podía saltar de un sistema a otro atacando un punto débil de Windows sin que el usuario tuviera que hacer nada para darle acceso. Cuando penetraba, cifraba los archivos de la víctima, impidiéndole realizar cualquier operación. A cambio de liberarlos exigía un rescate de 300 dólares en Bitcoin (que después subió a 600).

El método del ataque de WannaCry era sofisticado, pero la ejecución de este no lo era tanto. El motivo es que tenían autores diferentes. Esa forma de explotar Windows ('exploit') que utilizó WannaCry se subastaba en la red al mejor postor desde hacía meses y Microsoft la había cerrado dos meses antes de que se produjera la infección. “Los 'exploits' de WannaCry utilizados en el ataque fueron robados a la Agencia de Seguridad Nacional (NSA) de Estados Unidos”, denunció Brad Smith, presidente de Microsoft. “Fue como si al ejército estadounidense le robaran sus misiles Tomahawk”.

Los 'exploits' fueron robados a la NSA. Fue como si al ejército estadounidense le robaran sus misiles Tomahawk

Brad Smith — presidente de Microsoft

La NSA había creado una serie de arietes para explotar vulnerabilidades en los servicios digitales más conocidos y poder colarse en cualquier sistema informático. La agencia de inteligencia estadounidense los almacenaba (o almacena), algunos de ellos terminaron subastados en la red y la suerte para miles de empresas y usuarios estuvo echada. Alguien compró el exploit, diseñó un gusano para explotarlo y causó una infección mundial. EEUU y Reino Unido señalaron a Corea del Norte como responsable del diseño final de WannaCry.

“Este ataque es un ejemplo más de por qué la acumulación de vulnerabilidades por parte de los gobiernos es un problema”, denunciaba Smith: “Deben adoptar un enfoque diferente y atenerse en el ciberespacio a las mismas normas que se aplican a las armas en el mundo físico”. “En repetidas ocasiones, los 'exploits' en manos de los gobiernos se han filtrado al dominio público y han causado daños generalizados”, insistía.

Gran parte de los sistemas afectados fueron irrecuperables. El motivo es que, aunque los cibercriminales tras WannaCry exigían un rescate, no tenían un método fiable para saber de qué contagiado venía el pago y por tanto, no sabían qué sistema tenían que habilitar.

A pesar de ello, la afectación mundial no fue todo lo grave que pudo ser gracias a un héroe inesperado, un joven que entonces contaba con 22 años y vivía con sus padres en el Reino Unido. Este descubrió que WannaCry intentaba comunicarse constantemente con un dominio web que no existía pero cuyo nombre estaba escrito en el código. El joven registró el dominio por 10 dólares y dio por accidente con un sistema de desactivación del gusano. Era una especie de “apagado de emergencia” que los autores habían dejado programado, no está claro si como una forma de detener a WannaCry cuando decidieran hacerlo o como un puzle para los expertos en ciberseguridad.

Una infección mundial que cambió para siempre la ciberseguridad

WannaCry dejó un gran número de lecciones, además del peligro que suponen las ciberarmas y el riesgo de que terminen atacando indiscriminadamente. La primera fue el potencial cibercriminal de los ataques de 'ransomware' (del inglés ransom, rescate), que pasaron a ser explotados de forma masiva a partir de entonces. Otra, la utilidad que las criptomonedas iban a tener a partir de entonces para esos negocios oscuros.

El evento también fue una experiencia práctica sin igual para el lado de los ciberprotectores. La vulnerabilidad que WannaCry utilizaba para atacar Windows había sido parcheado por Microsoft dos meses antes: si los sistemas se hubieran mantenido actualizados, su impacto habría sido mínimo.

Con WannaCry se vio que había situaciones en las que algo muy potente podía afectar a cualquier empresa de cualquier tamaño, a cualquier administración, a cualquier persona

Marta Beltrán — directora del grado de Ingeniería de Ciberseguridad de la URJC

“Entonces seguía muy extendido el pensamiento de que, si no eras una empresa importante, nadie te iba a querer atacar. Con WannaCry se vio que había situaciones en las que algo muy potente podía afectar a cualquier empresa de cualquier tamaño, a cualquier administración, a cualquier persona individual. Y que podía ser algo que te tocara por mala suerte, completamente indiscriminado”, explica Marta Beltrán, directora del grado de Ingeniería de Ciberseguridad de la Universidad Rey Juan Carlos.

Los buenos mejoran, los malos también

El método de ataque, salido desde los laboratorios de la NSA e imparable sin la actualización, también mostró que había situaciones en las que, simplemente, no sería posible impedir que un ataque penetrara en los sistemas. “Hubo un cambio de concepción de la seguridad, porque hasta ese momento se invertía casi todo en la prevención. Pero a la hora de la verdad la gente no supo si tenía que apagar los ordenadores, si tenía que avisar a alguien, los equipos de respuesta no estaban coordinados... de ahí que al principio se extendiera y afectara tanto a muchas empresas. A partir de entonces se empezó a trabajar también en la capacidad de reacción”, continúa la experta.

Los cibercriminales también han mejorado sus métodos. Ya no les pasa lo de no saber muy bien quién les paga y para qué. De hecho, los ataques de ransomware han evolucionado hacia las extorsiones de doble o incluso de triple vuelta. Ahora, cuando comprometen a una organización, lo más seguro es que exijan varios pagos: uno por liberar los archivos y otro por no filtrar la información confidencial a la que han tenido acceso.

La reacción del Gobierno de Mariano Rajoy a la infección WannaCry fue anunciar la creación de un centro de ciberseguridad que pudiera coordinar todas las herramientas de protección con las que cuenta la administración pública. El anuncio de ese mismo centro se ha repetido desde entonces en todas las crisis de ciberseguridad y no se pondrá en marcha hasta, al menos, 2023.

España cuenta con una lista de infraestructuras críticas para el funcionamiento del Estado. Centrales eléctricas, vías de comunicación, redes de telecomunicaciones o industrias esenciales que reciben una protección especial tanto física como digital por parte de las fuerzas de seguridad. Aunque la lista en sí es secreta, es público que incluye infraestructuras de 12 sectores diferentes. Uno de ellos es la sanidad, con centros cuya integridad es vital para que España supere la pandemia de coronavirus.

La Policía ha alertado a los profesionales sanitarios de que deben estar más atentos que nunca ante posibles ciberataques, tras detectar una campaña “muy peligrosa” de ransomware (un virus informático que bloquea los sistemas informáticos de la víctima y pide un rescate a cambio de la clave para liberarlos) que apuntaba directamente a los centros sanitarios. El aviso recordó automáticamente a la infección Wannacry, que en 2017 por las “consecuencias devastadoras” que podría tener un ataque así durante la pandemia.

Desde de la Oficina de Coordinación Cibernética (OCC), el órgano del Ministerio del Interior que coordina la defensa de las infraestructura críticas españolas, aseguran que “muy difícil que algo así vuelva a pasar”. “El ransomware de hace dos años nos pilló un poco desprevenidos, porque era un tipo de ataque nuevo y no se sabía cómo evitar que nos hiciera daño. Ahora sí lo sabemos y tenemos muchas medidas de seguridad para evitarlo”, dice en entrevista con eldiario.es Alberto Francoso, responsable de la OCC, integrada en el Centro Nacional de Protección de Infraestructuras Críticas.

El ataque fue detectado porque un sanitario clicó donde no debía: le habían lanzado un señuelo que era parte de un ciberataque. Es algo habitual, puesto que “en los últimos años ha habido muchos ataques de ransomware que se han cebado con los sistemas sanitarios”, continúa el experto. Pero si esa ofensiva no provocó un colapso de centros sanitarios fue precisamente por esas nuevas salvaguardas, basadas “en la segmentación de los sistemas”: “Ahora un ciberataque de ransomware no podría extenderse al resto del sistema, sólo afectaría a una parte, que sería la que habría que reponer. No perturbaría el funcionamiento general”, recalca Francoso.

Primero detectar, después contener

“La tipología es muy amplia, pero en principio hay dos maneras de detectarlo”, adelanta Francoso, que se calzó en 1987 el uniforme de policía raso, se especializó en la interceptación de información en 2004 y en 2010 pasó a defender los sistemas de comunicación de la Policía de intrusiones no deseadas. Una de esas maneras, explica, es que los detecte “una de las sondas” que los CERT (siglas en inglés de Equipo de Respuesta ante Emergencias Informáticas) tienen en las diferentes infraestructuras críticas. La otra es que sea su propio equipo de seguridad el que detecte que algo va mal y avise al Ministerio.

“Los sistemas de protección que tenemos actualmente son sistemas inteligentes capaces de aprender el comportamiento normal de un sistema informático”, detalla. Estas herramientas pueden tardar un mes en asimilar todos los patrones de funcionamiento de un sistema. Una vez hecho eso, localizan cualquier comportamiento anormal. “Todo lo que se salga de ese patrón se detecta. Un ejemplo sencillo: si por la noche no trabaja nadie, no puede haber salida de información. Puede haber entrada, pero nunca salida. Si se detectara que a las tres de la mañana hay un volumen de salida de 300 megas, saltarían las alarmas y nos pondríamos a trabajar”, continúa. Se cortaría la comunicación y se investigaría qué ocurre.

Los miembros de los CERT son la primera fuerza de choque contra los cibercriminales, pero en la OCC, compuesta por policías y guardias civiles al 50%, hay diferentes roles, al igual que en las fuerzas de seguridad del mundo físico. Los analistas serían los agentes de calle, que “patrullan” la red para intentar detectar amenazas que puedan afectar a los servicios esenciales que proveen las infraestructuras críticas. Se les denomina “sección de prospectiva”. También hay un equipo de análisis forense, la sección de I+D, cuyos miembros “se encargan de conocer, casi al nivel de bit, el funcionamiento de los sistemas, sobre todo industriales”, expone Francoso. Es el equipo que analiza por dónde pudo entrar el ciberdelincuente y por qué había un agujero por el que colarse.

“A la hora de responder, el primer paso es contenerlo, evitar que se propague. Luego, en función del ataque se actúa de diferentes maneras o se pide ayuda a otros CERTS”, explica Francoso. La OCC coordina los esfuerzos de diferentes organismos: los principales son el Instituto Nacional de Ciberseguridad (Incibe), responsable del sector privado; y el Centro Criptológico Nacional (CCN), que se encarga de las infraestructuras críticas del sector público. Además, también están los militares con el Mando Conjunto de Ciberdefensa y todos los equipos de ciberseguridad de las grandes empresas. “La comunicación es vital”, adelanta.

España, séptimo país más ciberseguro

España ocupó el séptimo puesto del Global Cybersecurity Index del 2018, elaborado por la Unión Internacional de Telecomunicaciones (UIT), un organismo de la ONU. Es una subida de 12 puestos respecto al análisis del año anterior. Para 2019 Francoso cree que España podría subir incluso un par de puestos más.

“Muchos países europeos están implantando procedimientos siguiendo el modelo español”, presume. El experto señala la colaboración público-privada y el hecho de que España se adelantara unos años al resto de países europeos en el lanzamiento de su estrategia de ciberdefensa como las claves de esta posición de relevancia. “Tenemos mucho talento en ciberseguridad, tanto para lo bueno como para lo malo”, ríe.

Uno de los últimos éxitos de la OCC, desvela su responsable, fue la Cumbre del Clima de la ONU que se celebró en diciembre en Madrid. Su ciberprotección se le encargó a la OCC “de una semana para otra”. “Estábamos en el foco y todo el mundo sabía que haber conseguido romper los sistemas hubiera sido una muy buena propaganda para el grupo que lo consiguiera. Afortunadamente superamos el reto y la ciberseguridad pasó desapercibida”. Algo similar intentan ahora: que España pueda centrarse por combatir el virus que provoca la COVID-19 y no tenga que preocuparse por los informáticos.

La Cadena SER, entre otras empresas, está siendo atacada por un virus informático de tipo ransomware. Las emisiones de radio locales y regionales han sido interrumpidas y cuatro días después, la actividad rutinaria de la redacción sigue muy trastocada, con dificultades para hacer conexiones en directo e incluso reproducir sonido desde su sistema digital de redacción y edición de contenidos. La radio, de pronto, ha vuelto a ser mucho más analógica.

¿Qué ha pasado?

El lunes, la SER confirmaba a través de un comunicado en su página web que había sido víctima de un ciberataque. Fue el equipo de madrugada el que, a eso de las 2 de la mañana, descubrió que algunos ordenadores mostraban un código de error en sus pantallas. “Al principio pensaron que se trataba de una caída pero ya pintaba feo. A las 8 de la mañana se dio la orden de desactivar todos los equipos”, explican a este diario fuentes de la Cadena SER. Poco se sabe sobre el virus a excepción de que parece programado originalmente en Rusia, según cuenta El País. “Es un virus superpotente y ni comparable al que atacó Telefónica en 2016”, cuentan las mismas fuentes a eldiario.es.

El ataque sufrido por la emisora de radio es un ransomware, un tipo de virus que cifra los archivos del ordenador, bloqueándolos, y que pide después un rescate para liberarlos. Es un chantaje: si no pagas, te quedas sin el funcionamiento informático de tu empresa y sin los datos que puedan tener los servidores. La Cadena SER no fue la única afectada: en nuestro país, la consultora multinacional Everis también fue uno de los objetivos. Aunque a comienzos de la semana se especuló con que otras consultoras como Accenture y KPMG habían sido infectadas, ambas compañías lo desmintieron posteriormente.

¿Cómo se activa el virus?

Un ransomware puede infectar al equipo por tres vías diferentes. La más común es a través del correo: como ya ocurrió en el caso de WannaCry en 2017, los ciberatacantes lanzan campañas de phising a través del correo electrónico en las que adjuntan archivos infectados esperando que algún trabajador despistado pinche en ellos. Cuando eso ocurre, y como todos los equipos están conectados a la misma red de trabajo, el ransomware se contagia rápidamente y en cuestión de segundos por todos los ordenadores.

“El virus puede estar hibernando en el ordenador y llegar un momento en el que, por lo que sea, se activa: los hackers están pendientes de lo que tú estás haciendo y cuando encuentran el agujero, entran”, señalan fuentes de la Cadena SER a este medio. El correo no es la única vía de entrada, ya que el malware también puede estar esperando en una página web no segura e incluso en archivos descargables. La experiencia nos ha enseñado que ni la tienda oficial de Google ni la de Apple son 100% efectivas detectando y eliminando las apps que contienen estos 'gusanos'.

¿Por qué se habla de “secuestro”?

No por nada el ransomware se sitúa como la primera amenaza a nivel mundial: llevar a cabo los ataques no cuesta mucho dinero, con pocos medios se consigue una gran difusión y hay mucho por ganar. La característica principal de este tipo de malware es su capacidad de cifrar los archivos del disco duro del ordenador y dejarlos inservibles. Tras infectar el equipo de la víctima, el troyano se destruye y solo deja un aviso en pantalla indicando la dirección del monedero bitcoin al que hay que remitir el pago con una cuenta atrás. Si esta llega a su fin, el virus borra todo lo que cifró, por eso los ciberatacantes hacen hincapié en que es mejor pagar antes de que llegue a 0. Sin embargo, los expertos en ciberseguridad recomiendan no desembolsar ni un céntimo por los datos y denunciar el incidente ante las autoridades: nadie puede tener la certeza de que la persona al otro lado devolverá la información intacta.

Los ciberatacantes prefieren cobrar en bitcoin porque es muy difícil rastrear el origen y el destino del dinero. Este completo artículo de J.M Costa ya explicó cómo funciona un ransomware hace tres años, cuando este tipo de amenaza apenas se conocía en nuestro país.

¿Es la primera vez que pasa?

No. En realidad, este tipo de ataques son los más comunes y también los más dirigidos contra empresas. Solo en 2016, el INCIBE (Instituto Nacional de Ciberseguridad) gestionó más de 2.000 incidentes similares. A pesar de ello, poca gente en nuestro país sabía lo que era un ransomware hasta que en mayo del 2017 WannaCry infectó a cientos de empresas de más de 179 países diferentes. En España, Telefónica fue la compañía más afectada aunque WannaCry tocó de refilón a otras como Movistar, Vodafone, Iberdrola e incluso Gas Natural. Pedía un rescate de 300 euros en bitcoin y daba una semana para pagar antes de perder todos los archivos.

¿Cómo prevenirlo?

No hay ningún método infalible para protegernos ante un ataque así. En general, mantener los equipos actualizados con las últimas versiones de cada programa suele ser una medida efectiva. También lo es tener copias de seguridad de los archivos para que en caso de sufrir un ataque así, la información pueda ser recuperada sin tener que ceder al chantaje. En el caso de la Cadena SER, el archivo histórico permanece sano y salvo precisamente porque estaba guardado en una copia de seguridad. Además, fuentes de la emisora señalan que “el sistema de emisión nunca funcionó en una red abierta: no es vulnerable, ya que son ordenadores que no están conectados a nada”.

En último lugar, los empleados de las compañías juegan un papel importante a la hora de infectar y transmitir las amenazas: el factor humano sigue siendo clave, por eso es necesario formar al personal para que identifiquen cuándo un archivo o un correo puede ser sospechoso de contener un virus.

Maya Horowitz reconoce que nunca le interesaron los ordenadores hasta que hizo el servicio militar, obligatorio en Israel para todos los jóvenes al cumplir los 18 años. Una vez allí recayó en Inteligencia, el lugar que le despertaría la pasión, oculta hasta entonces, por la ciberseguridad.

eldiario.es tuvo la ocasión de entrevistar a Horowitz en Viena, en el marco del CPX360. La directora de Investigación, Inteligencia y Amenazas de Check Point recuerda cómo fue su peor día en la empresa desde que está al mando del departamento y lo que supone ser mujer en un mundo, el de la ciberseguridad, copado en su mayoría por hombres.

¿De qué manera ha cambiado el mundo desde el ataque de WannaCry?el ataque de WannaCry

Ojalá pudiera decir que ha cambiado. Quiero decir, pensarás que hay más conciencia ahora que entonces, más organizaciones y consumidores que ahora usan soluciones de seguridad, pero realmente no creo que ese sea el caso. Se necesita más que eso para convencer a la gente de que necesitan estar seguros. El cambio vino desde el lado de los atacantes, que a los pocos meses después de WannaCry, el ransomware aún era conocido en las noticias. Hoy en día hay cada vez menos ataques de este tipo.

El ransomware tiene objetivos muy bien dirigidos. Así que la cosa ya no va de grandes ciberataques, sino de elegir cómo localizar organizaciones específicas que tendrán la motivación para pagarte. También de encontrar formas de llegar a sus activos, como centros de datos y servidores de recuperación, cifrándolos para aumentar las posibilidades de que realmente paguen el rescate.

¿Cómo vivió ese día?

Fue realmente malo porque uno de mis empleados se casaba ese día por la tarde. Era viernes, que en Israel es un día libre, y algunos de nosotros queríamos ir a su boda y bebimos antes... Llegué casa y me tiré en el sofá. Al poco rato empecé a escuchar mi teléfono sonando, luego un mensaje, luego otro, y otro y otro. No me sentía bien como para contestar. Después me vuelven a llamar y ya veo que la gente está hablando sobre un ciberataque y pienso... “No me puedo creer que tenga que ponerme a trabajar ahora”.

Por suerte para nosotros lo primero que hacemos en estos casos es comprobar si nuestros productos lo bloquean. Y lo hicieron, porque los atacantes utilizaron la vulnerabilidad SMB que ya estaba publicada. Ya habíamos añadido firmas IPS y teníamos un producto antiransomware que encuentra el virus sin conocer su comportamiento, así que lo bloqueamos. No pudimos ni respirar. Después ya tuvimos tiempo para hacer las cosas más divertidas, que son investigar y tratar de buscar cosas interesantes al respecto. Encontramos uno de los botones de apagado y fuimos los primeros en saber que, aunque pagases el rescate, no te devolverían los archivos. 

¿Cree que los atacantes sabían lo que conseguirían o que hasta ellos mismos se sorprendieron del alcance que tuvo el ransomware?ransomware

Ellos sabían que sería como ocurrió. En tres días, 300.000 máquinas infectadas y 150.000 dólares de beneficio total. Hoy en día, esta es la cantidad de dinero que recibes por una víctima. Atacan los sitios de la red que a las compañías les duele y a las organizaciones que tienen dinero y que estarán dispuestas a pagar, como los hospitales. 

En la serie Mr. Robot, Elliot Alderson es un analista que trabaja para una compañía de tecnología. Un día le contactan unos hackers para llevar a cabo un ataque masivo que termine con el capitalismo en todo el mundo. ¿Hay gente que piensa así? ¿Existe un ideal romántico detrás de algunos ciberataques?Mr. Robot

Sí, por supuesto. Entre el 90 y el 95% de los ciberataques que se producen en el mundo son por dinero. El cibercrimen existe y también los hackers que solo piensan en nuevas formas de conseguir dinero, pero el otro 5% lo integran personas que realmente tienen un objetivo u otro enfoque que pasa simplemente por divertirse, sobre todo para generar cambios. Eso es hacktivismo.

En Israel, una vez al año, recibimos ciberataques anónimos contra organizaciones para intentar tumbarlas que nunca tienen éxito. Esa es la motivación. Así que ya sea para hackear un sistema de votación o simplemente para crear el caos, o sea por algo relacionado con el socialismo, como Robin Hood robando a los ricos... Existe. Pero no es algo muy representativo.

¿Los criptomineros forman parte del 95 o del 5%?

Creo que vas desde el 20 al 95% porque es una forma fácil de conseguir dinero. Dudo que muchas de estas personas den luego el dinero a los pobres. Es por su propio ego. No es un ransomware, no es ingeniería bancaria... es criptominado. Pero es la misma idea, sólo que tal vez ejecutada de una manera más sencilla y con una forma más fácil de ganar dinero.

¿Qué opina del minado de bitcoin u otras criptomonedas?

Es una forma de conseguir dinero. Y tal vez no lo ganen tanto de atacar ordenadores y dispositivos móviles, que lo hacen y estas fueron las primeras generaciones de ataques usando el criptominado. Pero cuando se trasladan a servidores que tienen más potencia de cálculo y luego a entornos de la nube que tienen una potencia de computación casi ilimitada, entonces es una gran manera de ganar dinero. Así que sí, funciona. Y mientras, algunos piensan: “Bien, en este tipo de minería sólo están usando tu poder de computación. Eso mola”, pero cuesta dinero. Es una forma eficiente de obtener dinero explotando a otros.

¿Cómo es ser mujer en el ámbito de la ciberseguridad?

Es bueno y es malo. Es bueno en estas conferencias porque no hay colas en los baños... Hablando en serio: al ser menos mujeres nuestra voz se escucha como si fuéramos únicas y eso es algo que podemos usar para dar un golpe en la mesa. Siempre hay hombres a los que no les gusta. Me veo en sitios, como en una reunión con 20 hombres y para algunos es difícil. Algunos no son muy tolerantes a veces y es un poco chauvinista, pero no sucede mucho.

Creo que las mujeres hablamos un idioma diferente. Quiero decir, en las reuniones con muchos hombres, ellos sólo quieren que se escuche su voz. Siento que cuando hay una mujer en la sala, a veces solo hablan cuando tienen algo inteligente que decir, la gente se queda callada y escucha y esa es una cualidad importante que creo que las mujeres aportan más que los hombres. Pero sí, normalmente no siento la diferencia y ni siquiera me doy cuenta de que estoy con hombres en la habitación porque estoy acostumbrada. Soy así desde que tenía 18 años y entré al ejército.

¿Por qué cree que hay menos mujeres que hombres que estudian carreras relacionadas con la ciencia y las matemáticas?

Es una buena pregunta de la que nadie sabe la respuesta, y es más bien algo social. Puedes verlo desde la escuela primaria: en matemáticas, por ejemplo, las niñas suelen ser mejores que los niños. Pero después se les enseña que las mujeres son menos buenas y empiezan a ser menos buenas. Entonces, las mujeres piensan que no es un trabajo para mujeres y simplemente no se aplican. No van a aprender informática porque les dicen que es para hombres y las mujeres no son buenas en eso, que no es un trabajo para mujeres...

Quizá porque también faltan referentes femeninos en este campo.

No hay suficientes modelos a seguir. Por ejemplo, me entrevistan para la televisión y la gente, como los entrevistadores, siempre dicen que están buscando mujeres. Hay chicas en la industria pero que no están dispuestas a venir, a hablar, a ser entrevistadas y fotografiadas. Así que no solo hay menos mujeres, sino que también hay menos mujeres que están dispuestas a estar en primera línea. Mañana hablaré ante 4.000 personas, pero también procuro dar charlas a niñas de ocho años sólo para que, desde que son jóvenes, vean que esto es una opción aunque tal vez no quieran elegirla. Sigue existiendo una brecha en el entendimiento, es una brecha social.

Gil Shwed (Jerusalén, 1968) es el fundador y actual CEO de la empresa de ciberseguridad Checkpoint. Con 13 años ya programaba y con solo 15 comenzó la carrera de Ciencias de la Computación. Muchos lo consideran el padre del cortafuegos moderno, que a día de hoy utilizan millones de dispositivos en todo el mundo.

eldiario.es compartió 20 minutos con Shwed en Viena (Austria). Su empresa está de enhorabuena: el año pasado cumplió 25 años liderando el sector de la ciberseguridad, y este ha celebrado el CPX 360, un encuentro anual que la compañía mantiene con las principales firmas y empresas del sector. En una fría sala del Palacio de Congresos de Viena, Shwed, una persona poco acostumbrada al trato con los medios, habla sobre el papel de los gobiernos en la gestión de las ciberamenazas, los últimos malwares y el paso del tiempo.

Aunque la pregunta pueda parecer muy obvia, ¿por qué es necesario que los dispositivos electrónicos incorporen medidas de seguridad?

Cada pieza de tecnología con la que contamos es susceptible de recibir ataques: la estructura es muy sofisticada y hay bugs en todos los softwares. Los hackers están encontrando formas muy creativas de penetrar en lo que sea que tengamos ahora. Tú puedes decir... “No me importa si alguien entra en mi ordenador”, y no tiene por qué ser tu ordenador, puede ser la bombilla de esta sala. Antes o después se conectará a Internet y tú pensarás... “¿Por qué debería importarte lo que ocurra con ella?”. Esto es interesante porque cada lugar por el que te conectas puede ser un punto de entrada para el resto de tu vida o para el resto de tu infraestructura, dependiendo de si eres una persona o si es una empresa.

Y cada uno de estos vectores de ataque te puede causar un problema: desde robar tus datos para destruir tus dispositivos hasta destrozarte la vida. La combinación de ellos o el daño potencial es casi ilimitado este año. Solo con tu imaginación, puedes hacerte a la idea de la cantidad de cosas creativas que la gente puede hacer.

Este daño potencial del que habla, ¿es culpa del crecimiento del Internet de las Cosas?

La alerta es alta. La pregunta “¿Cómo afrontamos el Internet de las Cosas?” está en el aire. Solo muy pocos saben ahora mismo qué hacer o tienen las herramientas necesarias para gestionarlo. Así que es un poco como todo esto que pensamos todos de... “Vale, es un problemón, pero ¿qué hago con ello?”.

Cada día vemos nuevos tipos de ataque y nuevos malwares cada vez más sofisticados, pero los gobiernos parece que son incapaces de luchar contra esto. ¿Cómo aumentaría la eficiencia de los Estados para luchar contra las ciberamenazas? malwares

Primero: ahora mismo, la situación en el mundo es que cada empresa y cada individuo necesita defenderse por sí mismo. En realidad, los gobiernos no pueden protegernos. En ambos casos, el mundo sigue funcionando; lo cual, por cierto, no es necesariamente algo malo. En términos de defensa, nos gustaría estar protegidos, eso es seguro. Pero el hecho de que Internet sea una red abierta y que todos podamos innovar y hacer lo que queramos es una sensación bonita.

Mira, vamos a poner un ejemplo con el transporte. El transporte está controlado por el Gobierno. No se puede construir una nueva carretera o pilotar un nuevo tipo de avión solo porque seas un innovador. Y vemos que estamos atascados con las infraestructuras y la innovación, que no es que vaya muy rápido. Así que, en general, Internet es una de las cosas buenas de la tecnología; y en particular, que Internet no esté controlado por ningún gobierno favorece a la innovación de forma ilimitada. Creo que este ejemplo también se presta al ámbito de la ciberseguridad. Tenemos que defendernos nosotros mismos, pero también al resto: a las empresas, a los funcionarios del gobierno... Ahora bien, ¿qué tenemos que hacer? Creo que contamos con una arquitectura que puede contribuir en gran medida a la protección del mundo cuando todas las empresas se protegen a sí mismas de forma multivectorial contra todos los tipos de ataques conocidos y desconocidos y lo aplican a toda la infraestructura.

¿Esa arquitectura pasa por un sistema mixto de defensa entre empresas y gobierno? ¿Solo desde las empresas? ¿Solo desde el gobierno...?

Las leyes y los gobiernos se mueven mucho más lento que la tecnología. Así que si confiamos en ellos, por cierto, es como si quisiéramos instituir el mínimo común denominador y no el máximo. El gobierno no puede decir que la solución que se necesita es la mejor si en realidad es la básica, la que todo el mundo puede permitirse. Eso, por lo general, no es lo que nos gustaría tener. Normalmente quieres ser mejor que todo el mundo. No veo a nadie que diga: “Quiero ser como el mínimo común denominador” o “Quiero estar en la media”. Todo el mundo quiere ser mejor que la media, así que no me fiaría de nadie que diga: “Mi sueño es dejar que la seguridad sea cosa del Gobierno”. La mayoría de la gente quiere vivir una buena vida y cada uno tiene su propia definición de una buena vida, así que creo que varía.

¿Cuál es el trabajo de los gobiernos a la hora de proteger, en materia de ciberseguridad, a sus ciudadanos?

Mi trabajo como empresa es producir tecnologías que permitan a la gente defenderse. El trabajo de mis clientes, porque vendemos principalmente a empresas, es encontrar el cómo: ¿Qué necesitan hacer para proteger su propia infraestructura? Y el gobierno necesita proteger los activos públicos, pero no están lo suficientemente protegidos hoy en día. Hoy puedes penetrar en la mayoría de los países. El ejemplo que me viene a la mente es el peor: los hospitales de todo el mundo son probablemente el eslabón más débil de la ciberseguridad. Se trata de un entorno muy abierto que utiliza muchos dispositivos diferentes de distintos fabricantes. La mayoría de estos dispositivos son bastante antiguos en términos de software, hacen el trabajo médico, pero desde una perspectiva tecnológica, es fácil penetrar en ellos y la gente lo explotará. En general las infraestructuras, la energía, el agua, las carreteras... También se están convirtiendo cada vez más y más en susceptibles a ciberataques, no están suficientemente protegidas. Y estas son las cosas que el gobierno necesita proteger.

Por sus palabras se deduce que los Estados no pueden abarcarlo todo: no pueden proteger las infraestructuras críticas a la vez que protegen sus sistemas de defensa...

Todo depende de lo que el gobierno controle, pero no suelen controlarlo todo. Se trata de ir sector por sector, diciendo... “Tenemos una iniciativa para asegurar el hospital”, “Tenemos una iniciativa de seguridad para asegurar las infraestructuras...”. ¡Los gobiernos pueden poner en marcha estas iniciativas! Empresas como la nuestra proporcionan soluciones para ello, solo necesitamos determinar cuál es la correcta. Ya trabajamos en soluciones que permitan una solución a gran escala con la que el gobierno pueda ir y decir... “Quiero proteger 10.000 hospitales” o cosas así. Así que hay cosas que son más específicas del gobierno que, digamos, de la mediana empresa. Pero hay tecnologías para hacerlo.

¿Y por qué no las ponen en marcha?

Los gobiernos piensan de una manera tradicional. Por ejemplo, en cuestiones de defensa. Primero reúnen inteligencia: “¿Quién está tratando de atacarme?” “¿Cuál es mi enemigo?” “¿Era él realmente?”. Entonces, si encuentro un riesgo lo suficientemente importante, enviaré a mis soldados, policías, lo que sea para detenerlos. Pero en el ciberespacio nada de esto funciona porque la inteligencia no es lo suficientemente útil como para saber que los atacantes pueden estar en todas partes, que no es un pequeño grupo de enemigos y que la velocidad y el número de personas que tienes no se compara con la velocidad y las personas, sino con el poder del malware. Porque el malware es automático: entra a la velocidad de los ordenadores y la escala también es automática, así que debemos desplegar tecnologías de prevención, que detendrá los ataques. La inteligencia debe traducirse en acciones inmediatas y automáticas. Todo tiene que estar automatizado para centrarse en la prevención y no en la detección.

¿Cómo ha cambiado la tecnología desde que entró al sector de la ciberseguridad hasta ahora?

En primer lugar, el mundo ha cambiado. Pero no nos hacemos a la idea de cuánto lo ha hecho con Internet. Se aplica a la democracia, al comercio, a la tecnología, a la cultura, a la música... Ahora puedes acceder a todas las canciones solo con un click del ratón; antes, solo tenías acceso a los 500 discos que vendía la tienda de discos de tu barrio.

En la ciberseguridad ha sido parecido: cuando entré en Checkpoint nos teníamos que defender de los estudiantes, de alguna universidad. Ahora tenemos que defendernos de los hackers, tenemos que protegerlo todo: cada ordenador, cada dispositivo del IoT [Internet de las Cosas] o cada elemento del mundo que sea susceptible a un ataque. Cuando los ordenadores tenían 640 kilobytes y las aplicaciones 64 no había muchos bugs. Cuando las apps pesan 640 megabytes cuentan con un número ilimitado de vulnerabilidades. Si hace 20 años tenías un problema con algún dispositivo no pasa nada, tu negocio no dependía de ello. En un mundo conectado, cada ataque sobre la red de trabajo puede tirar abajo toda la infraestructura. Ahora los negocios no pueden aceptar órdenes si no están conectados a Internet, las máquinas no pueden funcionar. Así que, si se produce un ataque en Internet o en tu red, toda tu empresa, toda tu compañía puede ser puesta en riesgo, sencillamente.

Ilijana Vavan (Bosnia y Herzegovina) estudió computación en la Universidad de Twente (Países Bajos) y pronto supo que la programación era lo suyo. Pasó por varias multinacionales (Oracle, Microsoft, EGP Group) hasta que aterrizó en Kaspersky. Decidió fusionar sus habilidades comunicativas con los ordenadores hasta que en febrero de este año fue nombrada como directora general europea de Kaspersky Lab. Hablamos con ella una fría mañana de noviembre en el hotel Hyatt de Madrid, mientras bebemos café y charlamos sobre ciberseguridad y amenazas, sin olvidar nunca la perspectiva de género.

A lo largo de su carrera, ¿ha tenido algún episodio en el que haya sentido que se le valoró menos por ser mujer?

Sí. Te daré un par de ejemplos. Cuando estaba trabajando como consultora, llamé a un cliente para concretar unas cosas antes de la primera reunión. Quería preparármela bien y enterarme de cómo ese cliente veía las cosas con nosotros. Así que levanté el teléfono y le llamé. La persona al otro lado me dijo: “Perdona, ¿puedo hablar con el consultor en vez de que con su secretaria?”. Entonces le dije: “Oh sí, espera un segundo”. Le puse en espera y al poco tiempo cogí el teléfono de nuevo y dije: “Hola, soy yo otra vez, soy la consultora”.

Cuando hacía eso, a veces la gente se sentía tan avergonzada... Otras veces simplemente colgaban. Esto es solo un ejemplo, pero tengo tantos en los que la gente te rechaza como experta y no esperan ni que una mujer ocupe ese puesto técnico ni que sea ella la manager...

En la cabeza de la gente está que este es un trabajo típicamente masculino, así que durante mi carrera he tenido que romper todas estas barreras. Luego en Microsoft, cuando estaba en la transición para pasar a ser directora de ventas, fue muy difícil porque mucha gente no entendía que se promocionase a una mujer antes que a un hombre. Así que tuve que ser unas 10 veces mejor en mi trabajo que un hombre para optar a ese puesto. Diría que es difícil para las mujeres llegar a puestos altos.

¿Ha sido testigo o ha sufrido directamente actitudes machistas durante su experiencia laboral?

Sí, claro. Tuve un jefe en Microsoft que una vez me dijo: “¿Por qué trabajas tan duro? ¿Por qué no simplemente das un paso atrás y te relajas? Ahora que eres madre deberías coger un puesto de trabajo a tiempo parcial, no este con tanta responsabilidad y que encima es a jornada completa”. Por aquel entonces yo ya era supervisora. Mi respuesta fue: “Si no estoy equivocada, tú también eres padre, tienes un hijo, así que ¿por qué trabajas en este puesto? ¿Por qué no te echas a un lado para cuidar de tus críos? Y entonces se calló. A día de hoy aún no me ha contestado.

¿Dónde está la diferencia? Él es padre, yo soy madre. Él trabaja, yo también. Todos nos preocupamos de nuestros hijos, todos nos preocupamos de nuestras carreras laborales. Es una decisión personal: si alguien decide quedarse en su casa para cuidar a sus hijos está bien, y si alguien decide seguir su carrera profesional y a la vez ser madre, para mí también está bien. Pero siempre hay gente que te dirá que lo segundo no está bien. Este jefe era de esos. Y le callé, simplemente devolviéndole una imagen de sí mismo.

¿Qué le diría a todas esas personas que piensan como él?

Le diría que cada una de las personas del mundo, sin importar si son hombres o mujeres, deberían tener la libertad de elegir qué quieren hacer con sus vidas. Si una mujer siente que quiere adoptar un rol tradicional (en el sentido del rol que se adoptaba hace años) y ser una madre, ocuparse de la casa etcétera, eso está bien. Pero tiene que ser una elección libre, no una obligación que alguien le haya impuesto. Porque vemos que estas mujeres que son obligadas a ser madres son infelices, y una madre infeliz no puede criar a un hijo feliz. Si una mujer tiene el deseo de trabajar, su marido debería apoyarle porque en ese caso, toda la familia entera será feliz. Si es forzada a seguir un rol tradicional en su casa, incluso aunque quiera trabajar, entonces se convertirá en una persona infeliz y todo el mundo a su alrededor también lo será.

En España, según el Instituto de la Mujer, solo el 15% de las mujeres se decantan por estudios de Ciencia y Tecnología. Si miramos a Europa, solo una de cada tres personas relacionadas con las ciencias es una mujer. ¿Se le ocurre alguna explicación por la que estas cifras son tan bajas?solo el 15% de las mujeres se decantan por estudios de Ciencia y Tecnologíauna de cada tres personas

Sí. Si tú vas a la guardería verás que a las chicas les dan Barbies para jugar y a los chicos, coches o Lego's, juegos de construcciones. Con eso estás dando un mensaje que se queda en el subconsciente de los pequeños, indiferentemente de si son niños o niñas, de que los chicos deben jugar con coches y las chicas con muñecas. Cuando crecen, incluso aunque las niñas sean muy talentosas en terrenos como la ingeniería o las matemáticas, tendrán ese mensaje en el subconsciente de que su rol no es ser ingeniera, sino el de estar para la gente, por decirlo de alguna forma.

Necesitamos empezar a eliminar este prejuicio social desde edades muy tempranas y darle a los niños y niñas la libertad de jugar con los juguetes que les gusten. No influir en que si es una chica debe de vestir de un color, jugar con muñecas, estar con otras chicas... Y si eres un chico debes de jugar al fútbol, jugar con construcciones, etcétera. Porque quizá los chicos prefieran trabajar de cara al público o en ciertos terrenos sociales, o incluso jugar con Barbies. Y quizá a las chicas les gusten las construcciones.

Tenemos que darle a los niños libertad de pensamiento y no ponerles en cajones separados desde que son pequeños, que es precisamente lo que la mayoría de la sociedad hace. Aún siguen poniendo a las niñas tareas “de niña”. Les dan un bebé que cuidar, al que alimentar, las ponen a hacer de madres. Y a los niños se les dan otras cosas más guays porque son chicos. Creo que eso está mal, y que si lo eliminamos desde las guarderías a esa temprana edad, tendremos más chicas que el día de mañana estudiarán ingeniería.

¿Considera que la educación STEM es una buena forma de revertir esto?

Estamos viendo un intento desesperado de muchos gobiernos para atraer a las mujeres a la educación STEM, pero es demasiado tarde. Porque solo crecen con Barbies y muñecas. Echa un vistazo a las revistas de chicas: Comospolitan, Cosmogirl... Todo lo que ves ahí son maquillajes, cómo tener un novio mejor, como lucir perfecta una noche... Está bien estar guapa una noche, pero deberían añadir algo sobre educación, tecnología, como usar los ordenadores, como hacer esto, lo otro. Deberían tener más contenidos de tecnología y cosas así más que de belleza.

En el subconsciente, todas las chicas tienen que han de estar guapas, perfectas para su chico, etcétera: “Esto es en lo que deberías estar interesada”. Pero si no intentas reforzar sus intereses a través de las revistas por la tecnología o desde la guardería y la escuela, fracasarás a la hora de atraer mujeres a campos técnicos como la ingeniería. Yo siempre estuve en minoría mientras estudiaba la carrera.

¿Ha sufrido alguna vez de primera mano el techo de cristal?

Sabes, incluso aunque exista, yo lo ignoro. No creo en limitaciones. Mi mente es libre y simplemente persigo mis sueños, mis metas y no pienso en esto.

Pero sabe que eso existe.

Sí, eso leo en los libros y en las investigaciones. Pero como dije, no creo en limitaciones. Tu mente es un arma muy poderosa, así que si empiezas a pensar en limitaciones, terminas por limitarte a ti mismo. Si no eres consciente de esas limitaciones, entonces no existen. Y por esto es por lo que no voy a pensar en nada de esto, no quiero ni oír hablar de ello.

En el sector de la ciberseguridad, solo el 11% son mujeres. ¿Por qué está tan masculinizado?

Qué puedo decir... Afortunadamente trabajo en una compañía que es un ejemplo. Así que somos en torno a un 30% mujeres trabajando en ciberseguridad, que es una muy buena cifra. Personalmente, cuando hablo con clientes o partners, son la mayoría hombres. Tus números son correctos. Leí que hace dos años esa cifra era del 14%, lo que significa que la tendencia es negativa y definitivamente es una mala noticia para la industria. En mi sector específicamente hay millones de puestos de trabajo y habrá más: los expertos dicen que en 2020 habrá unos seis millones de puestos de trabajo relacionados con la ciberseguridad, porque el sector va hacia el Internet de las Cosas.

Cada compañía habla cada vez más de digitalización, lo que significa más y más que estamos viviendo en un mundo digital, y el mejor ejemplo son los teléfonos móviles. Hacemos todo con ellos: cuando viajo tengo ahí mi tarjeta de embarque, puedo pagar con él... Todo lo están haciendo los dispositivos electrónicos, son nuestra vida hoy por hoy. Cuantos más dispositivos inteligentes tengamos, más necesaria será la ciberseguridad para protegernos. Porque todos los beneficios de la vida moderna desaparecerán si esos dispositivos no están protegidos correctamente. Tenemos que ser muy cuidadosos en el tema de la ciberseguridad y existe una necesidad incipiente de expertos en este campo.

Necesitaremos en esos puestos de trabajo también a mujeres, incluso aunque haya muchos escépticos que la idea de tener a una mujer en ciberseguridad les aterre. Es un empleo de futuro.

Entre septiembre y octubre del año pasado, el gobierno de los EEUU prohibió el uso de productos Kaspersky en todas las instituciones y acusó a la empresa de trabajar para la inteligencia rusa. Según la versión de EEUU, un agente de la NSA se llevó el trabajo a casa (algo que tienen prohibido) y allí le saltó el antivirus Kaspersky, alertando de alguna forma a los hackers rusos, que consiguieron hacerse con información relativa a los métodos de hackeo que usa la NSA, el código que usan y cómo se defienden frente a ataques informáticos. ¿Qué hay de cierto en todo esto?Según la versión de EEUU

El gobierno de EEUU jamás se puso en contacto con nosotros. Así que todo lo que tenemos viene de parte de los periódicos estadounidenses. Intentamos obtener más información, más pruebas de eso que contaban, pero nunca nos las dieron, ni nos dieron feedback. La única conclusión que podemos sacar es que, desde hace un par de años, las relaciones políticas entre EEUU y Rusia han cambiado, hay muchas turbulencias políticas entre los dos países.

Ya sabes que nuestra compañía es originaria de Moscú y solo por eso ya estamos siendo acusados de lo que sea. Creo que somos un tema importante en esta guerra geopolítica y no podemos hacer nada contra eso. Somos una compañía internacional, estamos presentes en varios continentes, tenemos oficinas en 36 países del mundo y empleados de todas las nacionalidades, incluyendo estadounidenses. Tenemos cientos de americanos trabajando para nosotros, cientos de europeos, mucha gente de Asia, África... Oficialmente estamos registrados en Reino Unido: es allí donde pagamos impuestos, así que nadie puede sacar ninguna conclusión de que tengamos conexiones con el gobierno ruso ni con nadie. Todas las acusaciones que nos ha hecho el gobierno estadounidense son malas noticias para nosotros, pero son sus políticas.

¿Diría que esto son fake news?fake news

Sí. Hemos pedido pruebas, pero no hay pruebas. Y sabemos que, por nuestra parte, nunca hicimos nada mal. 

Al día se producen millones de ciberataques a los estados, que normalmente provienen de otros estados. Son muchos los expertos que sostienen que ahora mismo nos encontramos en un escenario de ciberguerra. ¿Está de acuerdo con esta afirmación?

Depende de cómo definas ciberguerra. Hay muchos tipos de ataque, los patrocinados por los estados, los de criminales intentando ganar dinero a base de malwares, como WannaCry el año pasado, Petya... Y también hay espionaje. En los ataques patrocinados, en muchas ocasiones, se trata de una compañía que quiere espiar a su competidor y robar propiedad intelectual.

Para mí la guerra es devastación. Vidas humanas perdidas. Infraestructuras perdidas. Mucho daño. Hasta ahora ha habido muchas pérdidas en el sentido financiero, a nivel reputación, bloqueos... Pero no ha habido un sufrimiento real de la gente, quiero decir, pérdida de vidas humanas. Para mí, la guerra es cuando muere gente. Por eso digo que depende de la definición que creas sobre lo que es una guerra. Para mí, quizá la mejor palabra sea ciberconfrontación.

El ataque a infraestructuras críticas puede desencadenar una guerra.

Sí, exactamente. Eso sería una guerra. Espero que no ocurra, porque si pasa estaremos metidos en un problema.

Donde dije digo, digo Diego. EEUU ahora acusa a Corea del Norte de estar detrás de WannaCry, el ransomware que en mayo de este año causó el caos mundial al infectar millones de dispositivos, bloqueándolos y pidiendo después un rescate en bitcoin por ellos. La administración Trump primero acusó a Marcus Hutchins, un joven británico de 23 años, de estar detrás del ataque. El FBI llegó incluso a detenerle. Ahora, cuatro meses después, la superpotencia se desdice.

El asesor de Seguridad Nacional de la Casa Blanca, Tom Bossert, acusó el lunes en el Wall Steet Journal a Corea del Norte de ser los verdaderos creadores y propagadores de WannaCry. El ataque afectó a empresas y compañías de unos 180 países, bloqueando los equipos y, en muchos casos, dejándolos inservibles.

“El ataque tuvo lugar a nivel internacional y costó millones de dólares. Corea del Norte es directamente responsable”, dijo Bossert. WannaCry afectó a hospitales, bancos, estaciones de tren, aeropuertos y otras infraestructuras clave de todo el mundo. En España, Telefónica se vio seriamente perjudicada por el ransomware.

Asimismo, el alto cargo de la Administración del presidente, Donald Trump, ha aseverado que cualquiera que haya dañado a Estados Unidos sufrirá las consecuencias. Según ha destacado Bossert en el artículo de opinión publicado por el WSJ, él seguirá tratando de ejercer la “mayor presión” posible sobre Pyongyang en el marco de la creciente tensión en la península de Corea.

“No hacemos esta acusación a la ligera. Está basada en pruebas. Y tampoco estamos solos en nuestros hallazgos”, ha dicho Bossert. “Otros gobiernos y empresas privadas están de acuerdo. El Reino Unido atribuye el ataque a Corea del Norte, y Microsoft rastreó el ataque hasta afiliados cibernéticos del gobierno de Corea del Norte”.

Corea del Norte, portándose mal “mucho tiempo”

Bossert considera que Corea del Norte ha actuado “especialmente mal durante mucho tiempo, por más de una década, y su comportamiento malicioso se produce cada vez de forma más flagrante”. El asesor de Seguridad Nacional de Trump también cree que su país está construyendo “un Internet más seguro”.

En las próximas horas, la Casa Blanca enviará una comunicado oficial a los medios de comunicación confirmando las acusaciones que Bossert lanzaba ayer en el diario estadounidense. Además, el alto cargo recuerda que este año ordenaron desinstalar el antivirus Kaspersky de todos los ordenadores del Gobierno, en relación a la fuga de información que la NSA sufrió en octubre de este año.

Los ataques cibernéticos llevados a cabo mediante malwares como WannaCry y NotPetya han provocado un aumento del gasto de las empresas en seguridad informática a nivel global. Dicho gasto alcanzará los 96.296 millones de dólares (81.754 millones de euros) en 2018, lo que supone un 8% más que los 89.133 millones de dólares (75.633 millones de euros) gastados a lo largo de 2017, según las previsiones de la consultora tecnológica Gartner.

El mapa que acompaña esta información muestra en tiempo real los ataques informáticos que se suceden a lo largo del planeta. Es una guerra mundial en Internet. Una verdadera amenaza. “El futuro no se prevé especialmente bueno. La tecnología crece tan rápido que lamentablemente la seguridad va muchísimo más lenta”, explica Alfonso Ramírez Patiño, responsable de la compañía rusa Kaspersky para España, Portugal, Andorra y Gibraltar y que ha participado este miércoles en Bilbao en unas jornadas sobre cibercrimen y seguridad informática organizadas por el Sindicato Unificado de Policía (SUP).

El cibercrimen, en su sentido amplio, puede referirse desde delitos comunes cometidos mediante aparatos electrónicos -una injuria hecha desde la aplicación de Twitter en el móvil- hasta las sofisticadas tramas organizadas que pueden poner en jaque -si no lo están haciendo ya- la seguridad mundial. El alcance de un ataque es enorme. “Si se produce un ataque, a una empresa le roban información para pedirle dinero o por espionaje industrial, pero en una infraestructura crítica el objetivo no es ya la información. Hablamos de la apertura de la compuerta de una presa, de alterar los semáforos, los trenes o los aviones o de un estadio de fútbol con 50.000 personas a oscuras. Imagínate el destrozo”, explica Ramírez Patiño en una entrevista con eldiarionorte.es

A pesar de que éste es un mundo hiperconectado, en la era de Internet en la que hasta la nevera recibe y envía datos a la Red, este experto entiende que “lamentablemente” la sociedad, las compañías y los Gobiernos apenas reaccionan cuando ocurren ataques masivos, como el Wannacry de hace unos meses que secuestró 200.000 equipos en más de un centenar de países. “Wannacry ha valido a nivel de concienciación para que la gente pueda entender el alcance de este tipo de ataques. Realmente la inversión en seguridad en muchas empresas ha subido desde entonces”, comenta el ejecutivo de Kaspersky, que tiene 53 expertos informáticos a su cargo.

“Este tipo de ataques, aunque no de forma tan masiva, llevan tres o cuatro años sin parar. Las pequeñas empresas lo llevan sufriendo desde hace tiempo”, abunda. La policía María Riesco, inspectora de la brigada central de Seguridad Informática, ha explicado durante el seminario la enorme dificultad de investigar estas intrusiones. En primer lugar, por el desconocimiento generalizado sobre la materia. En segundo lugar, porque las cantidades requeridas para 'liberar' la información del ordenador infectado son pequeñas, lo que hace que muchos afectados paguen. Y, en tercer lugar, porque son ataques globales y que además pueden realizarse desde equipos 'zombis' controlados remotamente: la Justicia tiene fronteras que no tiene la Red. En el caso del Wannacry, investigado conjuntamente por especialistas de la Policía Nacional y de la Guardia Civil, apenas se han registrado cuatro denuncias de empresas a pesar de la magnitud de la operación, que incluso forzó a las Administraciones públicas a apagar sus equipos.

“A nivel mundial, los criminales van tan rápido y han encontrado una brecha tan lucrativa que se pueden permitir invertir cantidades ingentes de dinero para realizar sus próximos ataques. Nos ha pillado a todo el mundo con el pie cambiado: todos los Gobiernos están empezando a dedicar ahora muchos mas recursos [a ciberseguridad] y sobre todo están haciendo una labor muy importante para formarse contra este tipo de amenazas que en el pasado no existían”, abunda Ramírez Patiño.

Sin embargo, el peligro no son sólo los cibercriminales, sino la propia competencia “en momentos puntuales en los que el nivel de facturación es muy alto”. “El dueño de Amazon es el más rico del mundo después del 'Black Friday'. Imaginemos qué habría pasado si alguien hubiera tirado la página de Amazon”, plantea. En el sector de la pornografía ha habido ataques muy duros entre compañías rivales. Y, en Gibraltar, una de las áreas bajo su responsabilidad, el lucrativo negocio de las apuestas deportivas residenciado en servidores bajo el Peñón también ha sido objeto de lo que se llaman ataques de “denegación del servicio”, consistentes en colapsar los accesos a una 'web' hasta bloquearla.

Kaspersky es una empresa de bandera rusa y es una de las mayores del mundo en el sector. En Estados Unidos la Administración la ha vetado en sus equipos. ¿Cómo analiza entonces una situación mundial en la que Rusia aparece como un agente activo en este ámbito? “Estamos viviendo un momento especialmente convulso a nivel geopolítico y la central la tenemos en Rusia. Pero ni en España son todos toreros, ni en Rusia son todos criminales”, zanja Ramírez Patiño, que destaca la “colaboración” de su compañía en tareas ciberseguridad con Interpol y Europol -que ha permitido incluso crear una 'web' de apoyo gratuito a empresas atacadas con 'ramsomware' como el Wannacry- y la apuesta por la “formación” de cuerpos policiales como Scontland Yard en Londres o la propia Policía Nacional merced a su convenio con el SUP. Todos los expertos coinciden en aclarar que ser 'hacker' no significa ser un criminal: “Los que tienen fines malévolos son 'crackers'”.

Marcus Hutchins pasó el control de seguridad y se sentó a esperar en la terminal del aeropuerto Mc Carran de Las Vegas (EEUU). Eran cerca de las cuatro de la tarde del miércoles. El embarque del vuelo VS44 de Virgin Atlantic con destino Londres aún no había empezado. Al poco tiempo apareció el FBI y se lo llevó. “Fue escoltado fuera del aeropuerto y nunca tomó su vuelo”, cuenta un amigo de Hutchins, que también trabaja en el ámbito de la ciberseguridad, a The Telegraph.

El joven británico, de 23 años y residente en el Reino Unido, llevaba en Las Vegas varias semanas. Se había dejado ver por la Defcon y el Black Hat, dos de los congresos de hacking más importantes del mundo. EEUU es un lugar hostil para los hackers y casos como el de Edward Snowden, Chelsea Manning o Reality Winner, entre otros, no han ayudado a relajar la presión sobre ellos.

A excepción del FBI, el resto de los mortales supimos el jueves que Hutchins había sido detenido. La denuncia, que puede verse en este link, interpone seis cargos contra él y otra persona no identificada. Si finalmente fueran hallados culpables, se enfrentarían a 40 años de cárcel en suelo estadounidense. Pero vayamos por partes.

¿Quién es Marcus Hutchins?

Tiene 23 años y vive con sus padres en el condado de Devon, al suroeste del Reino Unido. Según se desprende de algunos de sus tuits, le gusta el surf, los videojuegos, jugar a Pokemon Go y comer pizza. Tiene un hermano pequeño y le encantan los ordenadores.

Su gusto por la informática comenzó en el colegio. Aunque no le gustaba estudiar, los ordenadores sí. En una ocasión fue expulsado de la escuela al saltarse el filtro parental para acceder a juegos y contenidos bloqueados. Fue así como abrió el blog Malwaretech (nombre que el FBI considera como uno de sus alias) en el que trata diversas cuestiones relacionadas la ciberseguridad.

Después de WannaCry, en mayo, se convirtió en el “héroe anónimo” que salvó al mundo del desastre. Esto llamó la atención de Kryptos Logic, una compañía de Los Ángeles dedicada a la ciberseguridad, que terminó contratándolo.

¿Por qué es conocido?

22 de mayo de 2017. Un ransomware bloquea ordenadores en 200 países pidiendo un rescate a cambio para liberarlos. Se llama WannaCry y su modus operandi se basa en cifrar el disco duro y los archivos contenidos en él para después exigir a la víctima el pago de 300 dólares en bitcoin. Limpio, rápido, sencillo.

Hutchins se hizo famoso de la noche a la mañana al descubrir un kill switch (algo así como un botón rojo) para detener la propagación del virus. Se dio cuenta de que WannaCry enviaba peticiones a una URL no activa que estaba incluida en el código del virus. Compró el dominio por unos 10 euros y lo desactivó.

Al anunciar en Twitter que había detenido a WannaCry, pasó de tener unos pocos seguidores a más de 50.000. También recibió 10.000 dólares de HackerOne, una compañía de ciberseguridad como recompensa por el trabajo. Finalmente donó el dinero a varias ONGs. Ahora mismo, Hutchins tiene más de 100.000 seguidores en Twitter.

¿De qué se le acusa?

La denuncia interpone seis cargos contra Hutchins y otra persona más no identificada. Básicamente, está acusado de fabricar, distribuir y vender en “foros de Internet” el troyano Kronos entre 2014 y 2015.

Según la denuncia, Hutchins y la otra persona desarrollaron su actividad entre julio del 2014 y julio del 2015. Para el FBI, el joven “creó el malware Kronos”. También está acusado de difundir cómo funcionaba a través de un vídeo en YouTube titulado “Kronos Banking Trojan”. El original ha sido borrado pero se han ido subiendo nuevas versiones.

La denuncia también recoge que en agosto de 2014 la otra persona “vendió el troyano en Internet por 3.000 dólares”, que en febrero del 2015 Hutchins y su compañero “actualizaron el malware”, que en abril de ese mismo año lo pusieron en AlphaBay (un mercado de la Deep web cerrado hace poco) y que en junio y julio del 2015 ganaron otros 2.000 dólares más en criptomoneda por la venta del virus e intentaron cifrarlo.

En julio de 2014, Hutchins pedía en Twitter muestras de Kronos. Con su pasado como investigador en el ámbito de la ciberseguridad y su perfil autodidacta, podemos pensar que lo hacía para analizar el código del malware; aunque de momento no se conocen cuáles fueron sus intenciones.

¿Qué es Kronos?

Kronos es un troyano similar a WannaCry que afectó sobre todo a bancos en el año 2014 y resurgió en 2016. Funcionaba robando las credenciales de las víctimas cuando accedían a su banco en Internet, almacenándolas, gracias a que se hacía pasar por un sitio legítimo. Se les llama troyanos porque actúan como un caballo de Troya, entran camuflados en programas 

Se distribuye en archivos adjuntos a través del correo electrónico, sobre todo en ejecutables. Una vez instalado, el atacante remoto es capaz de tomar el control del ordenador y acceder a los formularios y los frameworks de los navegadores desde donde la víctima haya insertado sus contraseñas.

En 2014 llamó la atención de los expertos en ciberseguridad ya que se podía comprar por 7.000 dólares en algunos foros rusos de la Deep web. Hutchins fue uno de esos expertos que se interesó por el virus, por eso su anuncio en Twitter pidiendo muestras de Kronos.

¿Qué va a pasar ahora?

Si Hutchins y la otra persona son hallados culpables de todos los cargos, se enfrentan a 40 años de cárcel. De momento, la Electronic Frontier Foundation (EFF) ya ha mostrado interés en defender su caso. Orin Kerr, un reputado abogado estadounidense, muestra sus dudas en The Washington Post sobre que los cargos contra el joven de 23 años prosperen.

“La acusación está un poco en los huesos y no tenemos todos los hechos, ni si quiera lo que el Gobierno piensa que son los hechos. Así que, aunque no podemos decir que esta acusación es desmesurada claramente, podemos afirmar que el Gobierno la está llevando al extremo de alguna manera y puede o no tener los datos que necesita para construir el caso. Como siempre, tendremos que estar atentos”, dice Kerr.

Es reseñable el hecho de que su detención se haya producido en el mismo día en el que los tres monederos de bitcoin que dispusieron los hackers de WannaCry para pagar hayan empezado a vaciarse. De momento, los responsable del ataque ya han retirado más de 100.000 dólares. Sin embargo, según el Gobierno estadounidense, la detención de Hutchins y Wannacry no están conectadas.

Marcus Hutchins, el joven de 22 años que logró frenar el ciberataque mundial con WannaCry, ha sido detenido este miércoles en EEUU tras participar en la Def Con, el encuentro de hackers que se celebra anualmente en Las Vegas.

Según informa la CNN citando a fuentes del Departamento de Justicia de EEUU, Hutchins habría sido detenido “por su papel en la creación del troyano bancario Kronos”. Está acusado de crear y distribuir online el malware y los cargos que se le imputan ocurrieron supuestamente entre julio de 2014 y julio de 2015.

El troyano Kronos es un malware que tras infectar los equipos robar las credenciales de acceso a servicios de banca en línea. Se llegó a poner en venta online por un precio de 7.000 dólares.

Hutchins, conocido en la red como MalwareTech, se hizo mundialmente famoso tras los ciberataques con WannaCry, un ransomware que infectó a miles de empresas en varios países, incluido España. El malware secuestra los archivos de los equipos y pide un rescate en bitcoins. El joven, descubrió que simplemente registrando un dominio que aparecía en el código del malware se podía parar la infección.

El investigador en la firma de ciberseguridad Kryptos Logic habría sido arrestado, según un amigo suyo citado por Motherboard, tras asistir a las ferias Def Con y Black Hat, encuentros de hackers que se celebran en Las Vegas.

Según este allegado, Hutchins estuvo el jueves en el Centro de Detención Henderson, en Nevada. Después fue trasladado a otras instalaciones sin determinar.

“Todavía no sabemos por qué Marcus ha sido arrestado y no tenemos idea de dónde ha sido llevado, por lo que estamos extremadamente preocupados por su estado”, ha asegurado la fuente al medio estadounidense. Motherboard, que ha adelantado la noticia de la detención, ha intentado recabar más información del FBI sin, por el momento, obtener respuesta.

El Ayuntamiento de Colmenar Viejo ha sufrido este miércoles un ciberataque con el virus WannaCry. El jueves, un día después, la mayoría de equipos siguen bloqueados. “Se ha ido todo el mundo a casa”, explica un trabajador a eldiario.es, que añade: “los informáticos se han ido a comer pero no sé si volverán”.

Desde el gabinete de prensa del Ayuntamiento confirman el ataque: “Apagamos automáticamente todos los ordenadores. Esto corre como la pólvora”. WannaCry ha secuestrado los equipos del consistorio, que ahora mismo se encuentran intentando ser restablecidos por los propios informáticos del Ayuntamiento. También ha llegado “un equipo de expertos para apoyarlos”.

“Ayer a las 6 de la mañana lanzaron un ataque contra el servidor del Ayuntamiento. A las 9:15, los informáticos se dieron cuenta de que había una actividad anormal en los servidores porque estaban encriptándose expedientes. Y en esas estamos”, explica Jorge García Díaz, alcalde de Colmenar Viejo, a eldiario.es.

“Estamos revisando todos los equipos para intentar detectar por dónde entró el ataque y restablecer todos los documentos que se han dañado con las copias de seguridad”, continúa Díaz. El alcalde prevé que los sistemas vuelvan a funcionar entre este viernes y el lunes de la semana que viene.

El ataque se ha dirigido contra el servidor central de Ayuntamiento, que administra y “presta el servicio de Internet al resto de edificios”. WannaCry solo afecta a los equipos que tengan Windows como sistema operativo. En marzo, Microsoft sacó un parche para arreglar el fallo de seguridad pero dos meses después pudimos comprobar que pocas empresas lo habían implementado. El ransomware afectó a empresas y organizaciones de casi 200 países.

“Los sistemas de seguridad se revisan constantemente y este servidor está en constante actualización de antivirus”, dice Díaz. Tres meses después de hacer el agosto, WannaCry vuelve a golpear en nuestro país. “El servidor, parcheado está. Estamos mirando a ver qué ha podido ser: si un fallo nuestro o de la empresa que da soporte al gestor documental”.

Según explica Díaz, el consistorio trabaja con una empresa que hace los registros de casas, padrones, etcétera. “Nosotros no trabajamos con la plataforma de facturas electrónicas del ministerio. Casi todos los ayuntamiento tenemos una propia”. El alcalde de Colmenar Viejo se muestra convencido de que WannaCry posiblemente “solo haya afectado a los documentos que se generaron ayer de 9 a 9:15”.

El municipio madrileño, además de contar con un servicio informático propio, también tiene otro externo “con la empresa que tenemos contratado todo el tema de la gestión de la administración electrónica, que es donde creemos que puede estar el fallo”, explica Díaz. Según el alcalde, esta empresa de gestión también está presente “en casi todos los ayuntamientos”.

“Todas las gestiones que se hacen telemáticamente a través de la sede electrónica del Ayuntamiento quedaron interrumpidas inmediatamente”, dice el consistorio madrileño. El servidor central al que se conectan todos los departamentos y servicios del Ayuntamiento también está infectado: “Deportes, bibliotecas, casa de la juventud... Todas las dependencias municipales”.

El consistorio, que asegura estar “trabajando de noche y de día para que esto se solucione cuanto antes”, ha optado por hacer las gestiones de forma manual: “Por ejemplo, si alguien quisiera hacer un certificado de empadronamiento, se le pone un sello en el registro y en el momento en que se pueda acceder al sistema informático se empieza la tramitación como habitualmente se hace”.

¿Qué es y cómo actúa WannaCry?

WannaCry saltó a la primera escena mundial el pasado mayo, cuando atacó a empresas y organizaciones de más de 200 países. En nuestro país, Telefónica vio como sus ordenadores quedaban bloqueados por el ransomware. En el Reino Unido, los hospitales de la seguridad social británica (NHS Trust) también fueron atacados.

El virus, que solo afecta a los sistemas operativos Windows, hace uso de una vulnerabilidad de ejecución de comandos remota a través del protocolo SMB (Server Message Block - Servidor de bloque de mensajes).

WannaCry se distribuye por correo. Al infectar un equipo, el ransomware escanea el resto de equipos de la red a los que está conectado el ordenador, propagando la infección. Se aprovecha de una vulnerabilidad de Windows, desde el 7 hasta el 10, pasando por Vista, XP, RT y Server (2008, 2012 y 2016).

Entra a través de los puertos 137, 138 UDP y 139, 445 TCP. Son los que utiliza el protocolo SMB, que sirve para compartir archivos, equipos, impresoras y demás dispositivos en una red de área local (LAN). Este tipo de redes son las que usan todas las empresas para trabajar internamente.

Este ataque llega un día después de que los ciberatacantes hayan comenzado a retirar el dinero recaudado de los rescates. Hasta ahora han sacado más de 26.000 dólares. Sus tres monederos albergaban un total de 142.361 dólares hasta el miércoles, según la cuenta de Twitter actual_ransom, dedicada a seguir los movimientos de entrada y salida de dinero de WannaCry.

El último ciberataque empezó en Ucrania, pero pronto se extendió por todo el mundo. El pasado 22 de junio, MeDoc fue infectada. Se trata de una compañía con sede en la exrepública soviética que se dedica a fabricar software de contabilidad para otras empresas. Aunque según la firma de ciberseguridad rusa Kaspersky el 60% de las infecciones se han producido allí, Petya/NotPetya suma más de 2.000 organizaciones e incontables equipos informáticos Windows afectados, que buscan a estas horas una solución para restablecer sus discos duros. Pero pagar no es una opción.

Petya/NotPetya no ha secuestrado nada. El falso ransomware mostraba un mensaje similar al que usó WannaCry el mes pasado por el que la víctima debía ingresar 300 dólares en bitcoin para liberar el equipo. Con una teórica llave de descifrado provista por los ciberatacantes tras el pago, el ordenador debería volver a la normalidad. Pero Kaspersky confirma que no, que Petya/NotPetya no es un ransomware, sino un wiper; y que, a pesar de pagar, nuestro disco duro seguirá inservible tras hacerlo. Paralelamente a la investigación de la empresa rusa, Comae, otra compañía especializada en ciberseguridad, ha llegado a la misma conclusión.

“Lo que hace un wiper es borrar los archivos sin que tengas la posibilidad de recuperarlos. Lo hace 'de forma segura', que se llama”, explica a eldiario.es Vicente Díaz, analista de Kaspersky. Borrar algo de forma segura significa sobreescribir con nueva información el disco duro, haciendo imposible recuperar lo que existía antes. “Ya hemos visto ataques de wipers en el pasado: por ejemplo, contra Saudi Aramco y otras grandes empresas petroleras. En este caso, lo que está haciendo es incapacitarte para acceder a tus archivos, y más cuando el código no tiene ni siquiera la capacidad de ser descifrado”, continúa.

No quiere dinero, sino destruirlo todo

A diferencia de WannaCry, que consiguió infectar millones de equipos en muy poco tiempo, Petya/NotPetya no fue diseñado para propagarse con la misma rapidez. “Una vez que está dentro de la empresa, entonces sí: se expande de forma superagresiva”, explica Díaz. Las firmas de seguridad empezaron a sospechar del malware cuando, al leer su código, comprobaron que estaba “muy bien hecho” desde el punto de vista técnico.

“Al mismo tiempo, el tema del pago es muy pobre: solo hay una cuenta de bitcoin a la que pagar, solo hay un correo...”. El analista de Kaspersky se refiere al email que los ciberdelincuentes dejaron en el propio malware para contactar con ellos, wowsmith123456@posteo.net. A las pocas horas de producirse el ataque, Posteo, la empresa propietaria de la dirección de correo, bloqueó la cuenta.

Los ciberatacantes sabían que el correo sería lo primero en ser deshabilitado: “De esta forma, ya estás dejando a todo el mundo sin la posibilidad de hacer un pago aunque lo desee. No tiene ningún sentido que pongas un esfuerzo importante en el nivel técnico pero luego, a nivel de pago, que es de lo que en teoría vives, no sea así”, explican desde la firma de ciberseguridad.

Como WannaCry, Petya/NotPetya también se ha valido de los exploits de la NSA que el grupo de hackers The Shadow Brokers publicó el pasado abril en la Deep web. “Uno de ellos es ETERNALBLUE, el mismo que utilizaba WannaCry; y el segundo es ETERNALROMANCE, que es parecido”, dice Díaz. El analista de la firma rusa confirma, sin embargo, que el wiper “tiene varias herramientas para conseguir la propagación agresiva dentro de la víctima”.

Ucrania: “Esto fue dirigido a propósito contra nosotros”

De momento, Ucrania, que suma más de la mitad de las infecciones, culpa a Rusia del ciberataque. “Creo que esto fue dirigido a propósito contra nosotros”, dijo el miércoles Roman Boyarchuk, director del centro de ciberseguridad ucraniano. “Definitivamente no es un acto criminal. Esto es más como si hubiera sido promovido por un Estado”, dice. Y sobre el papel de Rusia explicó que “es difícil imaginar a alguien más que quisiera hacer esto”.

El ataque se produjo un día antes del Día de la Constitución en Ucrania. Ese día, el 23 de junio es festivo. Los ciberatacantes sabían que, como mínimo sumirían al país en el caos durante dos días consecutivos. “Todo apunta a que se trataba de un ataque disruptivo que lo que buscaba era hacer daño y paralizar empresas, el gobierno y demás organismos”, explica Díaz.

“Lo que quieren no es dinero, sino paralizar las operaciones de sus víctimas. A efectos prácticos, es lo mismo que borren los archivos o que los cifren: igualmente nadie podrá entrar en ellos”, continúa el analista de Kaspersky. A Díaz, que no oculta la posibilidad de que el ciberataque pudiera haber sido realizado por otro Estado, el modus operandi de los cibercriminales le recuerda al grupo Black Energy, de ascendencia rusa. “Tuvieron ataques hasta cierto punto parecidos a finales de 2015, cuando paralizaron el aeropuerto en Ucrania y la red eléctrica”, dice.

La firma rusa apunta que este ataque “se ha sobredimensionado por el miedo del efecto WannaCry”. Petya/NotPetya ha actuado mayoritariamente en un solo país, pequeño, pero que a nivel geopolítico cuenta con cierta importancia. El futuro, como la noche, es oscuro y alberga horrores: “Estos ataques seguro que seguirán, porque son muy efectivos y se venden a un precio muy razonable. No veo ningún motivo por el cual no vayan a seguir produciéndose en el futuro”, sentencia Díaz.

“Si me engañas una vez, será tu culpa. Si me engañas dos, será la mía”. Es una frase atribuida al filósofo griego Anaxágoras, que vivió del 500 a.C. al 428 a.C. y que viene a decir que la primera vez quizá sea mala suerte, pero la segunda no. Este miércoles, Microsoft ha confirmado que Petya/NotPetya aprovecha una vulnerabilidad del sistema operativo Windows para propagarse. ¿Adivinan cuál? La misma que la compañía parcheó en marzo con la actualización de seguridad MS17-010. O lo que es lo mismo: el ransomware que puso en jaque este martes a medio mundo se cuela por el mismo agujero por el que se coló WannaCry hace un mes.

En medio año, el mundo ha visto cómo dos ciberataques ponían en jaque la seguridad del mundo moderno. La lista de afectados es larga: multinacionales, instituciones, bancos, cajeros automáticos, centrales energéticas, aeropuertos, estaciones de tren, puertos marítimos e incluso hospitales.

Hay quien habla de una tasa de infección que ronda los 500 ordenadores/minuto. Otros dicen que no será tan dañino como WannaCry, en parte porque muchas empresas ya habían actualizado sus equipos, o porque solo se expande a través de redes locales (LANs).

¿De dónde salen estos virus? ¿Cómo se propagan? Y lo que es peor: ¿cómo es posible que en un mundo permanentemente conectado a Internet la seguridad de algunas empresas sea tan deficiente? Para dar respuesta a esta y a otras preguntas, hemos elaborado un glosario con algunos de los nombres que más han aparecido en los medios desde que WannaCry hizo su aparición en mayo.

Mirai

Lo que la botnet Mirai nos enseñó es que es posible detener Facebook, Spotify, Twitter o PlayStation Network con un simple ataque de denegación de servicio (DDoS) y que, por eso, los años venideros serán duros en materia de ciberseguridad. Un ejército de dispositivos conectados a Internet y controlados remotamente fue capaz de dejar a medio mundo a oscuras: el Internet de las Cosas (IoT) que viene tiene mucho trabajo por delante.

La Agencia de Seguridad Nacional (NSA)

Solo en 2016, la NSA recopiló 151 millones de metadatos pertenecientes a llamadas de teléfono hechas en EEUU. En abril de este año, la agencia de espionaje estadounidense reconoció que “a veces” violaba los límites de la vigilancia, algo irónico si tenemos en cuenta que en 2004, el Hover Hammer (un gran dirigible blindado) espiaba a la ciudad de Nueva York las 24 horas al día.

Edward Snowden les denunció por espiar a millones de estadounidenses con la connivencia de las grandes empresas tecnológicas del país. La NSA tenía (y tiene) exploits, softwares de fuerza bruta, RATs, listas de vulnerabilidades de páginas web y un largo etcétera de herramientas de espionaje. Y entre ellas está ETERNALBLUE, uno de esos exploits que utilizó WannaCry y que también usa Petya/NotPetya.

The Shadow Brokers

¿Cómo llega una herramienta de una de las agencias más secretas del gobierno de EEUU a ser utilizada por unos hackers? Fácil: porque a la NSA se la robaron. Equation Group, un colectivo de hackers vinculado tradicionalmente a la agencia de espionaje, fue saqueado en agosto del año pasado por The Shadow Brokers. Son muy buenos, incluso cuentan con una newsletter mensual (que, por cierto, empieza su difusión el 1 de julio) en la que van incluyendo partes de lo robado a Equation Group.

Han subastado las herramientas en la Deep Web varias veces, las han vendido por partes, en packs, han hecho ofertas, rebajas e incluso crowdfundings. Son públicas desde agosto del 2016, pero solo han conseguido darles salida a principios de este año. En definitiva, dos grandes ciberataques, el mismo exploit de la NSA: ETERNALBLUE.

ETERNALBLUE

Está incluido en el pack que The Shadow Brokers pusieron a la venta en abril. Es un exploit que aprovecha una vulnerabilidad de Windows que afecta al protocolo SMB (Server Message Block). En ese pack también están incluidos otras herramientas similares como ETERNALROMANCE, ESKIMOROLL, ETERNALCHAMPION o ETERNALSINERGY, entre otros.

SMB Protocol

Sus siglas se refieren a “servidor de mensajes en bloque”. Es un protocolo que utiliza Windows para compartir información en una red sobre el resto de equipos, impresoras o dispositivos conectados a ella. Utiliza los puertos 137, 138 UDP y 139, 445 TCP para comunicarse con la red.

WannaCry

A estas alturas es difícil encontrar a alguien que no sepa qué es WannaCry. Hace algo más de un mes, el ransomware afectó a 179 países (entre ellos España) y golpeó con fuerza a las oficinas de Telefónica en nuestro país. El virus se distribuyó a través del correo electrónico gracias a la vulnerabilidad de Windows e infectó miles de ordenadores en todo el mundo. Como Petya/NotPetya, también pedía un rescate de 300 dólares en bitcoin para el que los hackers dispusieron tres monederos. Al final han recopilado 113.000 dólares.

Petya/NotPetya

La principal diferencia entre este ransomware y WannaCry es su nivel de propagación. Mientras que WannaCry utilizaba únicamente el exploit ETERNALBLUE, Petya/NotPetya incluye a ETERNALROMANCE (otro exploit de la NSA que también afecta al protocolo SMB y a casi todas las versiones de Windows, desde el 7 hasta el 10, pasando por Vista, XP, RT y Server (2008, 2012 y 2016). También es capaz de adivinar contraseñas almacenadas en el equipo y de cifrar la “tabla de archivos” del ordenador, el índice que permite al ordenador encontrar cada fichero en el disco duro.

Además, analistas de seguridad como Malware Tech Blog apuntan que hubo otro vector de infección localizado en Ucrania y que pasa por la empresa de software MeDoc.

MeDoc

Esta empresa ucraniana se dedica a fabricar software de contabilidad para otras compañías y negocios. Ha sido el paciente cero de la infección. Aunque al principio reconocieron haber sido hackeados, poco después eliminaron el aviso, pero aún puede ser consultado en el caché de la web. La revista Fortune explica que los hackers habrían introducido el ransomware en una actualización del software contable que MeDoc envió a a sus clientes el 22 de junio.

Se activó el día 27, pero una vez dentro de las empresas-objetivo lo único que tuvo que hacer Petya/NotPetya fue propagarse a través de su red de trabajo. Malware Tech Blog explica que, mientras que WannaCry comenzó infectando unos pocos ordenadores que a su vez escanearon a otros ordenadores, generando un efecto “bola de nieve”; Petya/NotPetya fue directamente colocado en los equipos que, a posteriori, serían infectados.

“Kill switch”

O botón rojo. Suele ser un mecanismo o procedimiento para desactivar un proceso. WannaCry fue apagado gracias al fundador de Malware Tech Blog, que encontró en su código una dirección web inactiva que, al ser registrada, dejo de responder a las peticiones de los ordenadores para activar el virus.

Aunque Petya/NotPetya no tiene un botón rojo remoto, sí que puede desactivarse desde el propio ordenador infectado. Para ello hay que crear un archivo de solo lectura que se llame perfc y colocarlo en la carpeta C:\Windows. Aquí viene explicado paso a paso cómo hacerlo.

Un nuevo ciberataque afecta a empresas de Ucrania, Rusia, Inglaterra e incluso España. Apenas unos minutos después de conocerse las primeras infecciones, los medios ya se referían al ataque como el perpetrado por el ransomware Petya, perteneciente a la familia Petrwrap. Pero, ¿y si no fuera así? La firma de ciberseguridad rusa Kaspersky ha descolocado a todos en un comunicado publicado esta tarde donde asegura que el virus “es algo nunca antes visto”.

Lo han llamado NotPetya (“No es Petya”) y fuentes de la compañía aseguran a eldiario.es que, aunque sí está basado en Petya, no es Petya como tal. “No son las mismas muestras de la familia que conocíamos todos hasta la fecha”, continúan. Kaspersky se centra ahora en saber cómo se ha distribuido el virus, tanto a nivel interno (en una empresa) como externo (entre empresas).

“Parece que aquí sí que se está utilizando el mismo exploit que utilizaba WannaCry, que es el ETERNABLUE para infección interna de equipos; así como otras herramientas tradicionalmente administrativas que solo se pueden utilizar si tienes credenciales robadas”, explica la firma rusa. ETERNALBLUE fue uno de los muchos malwares que se pusieron a la venta en la Deep web en abril y que pertenece, en última instancia, a la NSA. “Parece que sí, que hay algún componente también que hace que robe credenciales automáticamente. La pregunta es cómo ha hecho para infectar a las compañías y acceder a sus redes internas”, dicen desde Kasperksy.

La firma rusa trabaja ahora intentando adivinar cómo se ha propagado el virus en base a dos teorías. Por un lado, con la infección a través de correos electrónicos, similar al procedimiento utilizado por WannaCry. Por otro, el uso de una vulnerabilidad para el IIS (Internet Information Services), “el gestor de páginas web de Microsoft y para el que había también exploits disponibles en el link de The Shadow Brokers [los hackers que pusieron a la venta los exploits]. Pero ambas están por confirmar”.

“Está mejor hecho que WannaCry”

Aunque NotPetya también utiliza ETERNABLUE, el mismo software que empleó WannaCry para aprovechar la vulnerabilidad de Microsoft, existen diferencias entre ambos. “En este caso parece que utiliza vulnerabilidades adicionales, ya que WannaCry no tuvo barreras para expandirse de forma rápida”, añade la compañía de seguridad informática rusa.

Lo destacado entonces sería cómo NotPeyta ha utilizado un método de infección interna que parece tener una efectividad mayor. Este nuevo ataque infecta muy rápido y no cifra todos los archivos, sino lo que se conoce como la 'tabla de archivos'. “Si tuviéramos un libro con un índice y las páginas, el virus cifraría el índice, que es lo que te dice dónde tienes que encontrar en el disco cada archivo”, explica Kaspersky

La compañía cree que NotPetya “está mejor hecho” que WannaCry, y relaciona el éxito de este último a la falta de parches y actualizaciones de seguridad de las empresas. “Aunque todavía no sabemos cuál es el vector de infección, esta ha sabido aprovechar un hueco. La otra vulnerabilidad, usada por WannaCry, permitía que se extendiera muy rápido por el sistema. No obstante, lo que sea que están utilizando ahora no parece tener esa capacidad. Eso sí, dentro de las empresas puede ser muy dañino”, sentencia la empresa.

A diferencia de lo que ocurrió con WannaCry, la propagación de NotPetya no se puede detener con un “botón rojo”. El primero se detuvo comprando el domino de la web a la que el malware realizaba una petición y, si no obtenía respuesta, entonces se propagaba. En esta ocasión este no es un método para interrumpir el ciberataque.

Mientras tanto, el Instituto Nacional de Ciberseguridad en España (INCIBE) recomienda tomar las siguientes medidas preventivas: 

Lo avisamos: WannaCry no iba a ser el último ataque de ransomware que sembrara el pánico a nivel global. Y apenas un mes después, un nuevo ataque viene a confirmar los peores presagios. Mientras se escribe este artículo, el virus se extiende en todo el mundo infectando aeropuertos, centros de negocio, multinacionales, puertos marítimos y un sinfín de empresas. Se ha propagado a través del correo electrónico en equipos con sistema operativo Windows, de forma parecida a WannaCry.

Entre las empresas afectadas se encuentra el bufete DLA Piper, una consultora de abogados con más de 40 oficinas en todo el mundo y Mondelez (matriz de Cadbury, Nabisco y dueña de Oreo, Chips Ahoy y TUC). Según El Confidencial, la firma DLA Piper en sus oficinas de Madrid ha ordenado a sus empleados que apagasen rápidamente los equipos y les ha prohibido utilizar el correo electrónico para cualquier comunicación. “Se ha ido todo el mundo a casa, aquí no están ni los técnicos”, explica un trabajador de la firma al diario digital. Desde el INCIBE (Instituto Nacional de Ciberseguridad) aseguran a eldiario.es no tener constancia de que empresas españolas se hayan visto afectadas por el ataque.

También se ha visto afectada  la firma danesa Maersk, líder mundial en el transporte marítimo a través de contenedores. “Confirmamos que algunos sistemas de Maersk están caídos. La seguridad de nuestros acuerdos comerciales y nuestros clientes es nuestra prioridad principal. Seguimos actualizando”, anuncia la empresa danesa en un tuit.

Por su parte, la petrolera rusa Rosneft, ha confirmado haber sido víctima del ataque: “Un ataque masivo hacker ha golpeado los servidores de la compañía. Esperamos que no tenga relación con los procesos legislativos que se libran en los tribunales”. El tuit se refiere a un conflicto que mantiene Rosneft con un conglomerado ruso, Systema, propiedad del magnate Yevgeny Yevtushenkov. Además, la petrolera asegura que la producción de crudo no se ha visto afectada.

La central nuclear de Chernóbil, atacada

La central nuclear de Chernóbil también se ha visto afectada por el ataque. Aunque el edificio está recubierto por un armazón de 110 metros de alto, 150 de ancho y 256 de largo, que pesa más de 30.000 toneladas, un sistema de ordenadores velan porque los niveles de radiación sean los normales. Algunos empleados han publicado fotos con los equipos infectados, como recoge el diario ucraniano Hromadske. La agencia oficial de noticias ucraniana ha confirmado que todos los sistemas de la central nuclear funcionan con normalidad, según The Telegraph.

Y es que Ucrania ha sido uno de los países más afectados. En la mañana de este martes, el Banco Central Ucraniano avisaba de que los bancos del país estaban sufriendo un “ataque de naturaleza desconocida”. La BBC informa que el sistema de metro ha dejado de aceptar pagos con tarjeta y que varias cadenas petroleras han parado sus operaciones. También se han visto afectados cajeros automáticos y terminales de venta en comercios.

Además, algunos de los principales distribuidores energéticos ucranianos también se han visto afectados. Según Reuters, la empresa que fabrica los aviones Antonov también habría sido atacada. El viceprimer ministro ucraniano ha tuiteado, además, una foto que aparentemente muestra los sistemas gubernamentales afectados, aunque en realidad lo que se puede apreciar es un error de disco.

El ataque se extiende por todo el mundo: algunas empresas de Israel ya se están viendo afectadas por el ataque, así como algunas compañías latinoamericanas. La farmaceútica Merck ha publicado un tuit donde reconoce “la red de la compañía se ha visto comprometida debido a un hackeo global”.

Libres por 0,14 bitcoin

El ransomware pide 300 dólares en bitcoin (0,14 btc) para liberar los ordenadores. El procedimiento de pago es similar al que usaron los hackers con WannaCry: hay que ingresar en un monedero de la blockchain la cantidad correspondiente para que los archivos puedan ser usados de nuevo. Mientras se escriben estas líneas, al menos 15 personas han pagado por liberar sus equipos.

“Si puedes ver este texto, entonces tus archivos ya no son accesibles porque han sido cifrados. Quizá estés ocupado buscando una manera de recuperar tus archivos, pero no pierdas el tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado”, avisan los ciberatacantes en la pantalla roja y negra que anuncia que el ordenador está infectado.

Desde el Instituto Nacional de Cibersegurdad (INCIBE) insisten en que “es muy probable que hayan utilizado métodos de infección parecidos a los de WannaCry” aunque aseguran no tener constancia de que haya empresas españolas afectadas por el ataque. “En las próximas horas se puede detectar alguna infección en España o no. No lo sabemos”, sentencian.

“En la última cena de Navidad le comenté esto a un colega magistrado y me decía que donde estuviera el teletexto para buscar información que se quite Google. Él usa disquetes y no USB. Y es de los más jóvenes. Y otra juez no enciende el ordenador: escribe las sentencias a mano y luego se las pasan. Son refractarios a la informática y no la usan. Y, si no la usan, no la entienden. Y, si no la entienden, libertad para los delincuentes”. Este comentario lo realizó hace un par de años en unas jornadas sobre seguridad informática el fiscal guipuzcoano Jorge Bermúdez, experto en la materia. Hace pocos días, el lehendakari, Iñigo Urkullu, citó el yihadismo y la ciberseguridad como los dos grandes retos de seguridad del momento. Sobre lo primero, la alerta es casi máxima desde 2015 y las medidas preventivas y de investigación son evidentes. Respecto a los criminales informáticos el desconocimiento es mayor y sólo el ciberataque de mayo contra equipos de medio mundo hizo a la opinión pública golpearse de bruces con una realidad. ¿Qué me podría ocurrir si ‘hackean’ mi móvil, en el que almaceno mi vida, mis fotografías y hasta mis cuentas bancarias?

Pequeños empresarios vascos conocen muy bien que agentes externos accedan a sus sistemas y ‘secuestren’ información a cambio de dinero o destrocen ‘webs’ de clientes. En la campaña electoral de las autonómicas de 2016, el portal de Podemos permanecía contaminado con contenido cercano a la pornografía. La consejera de Seguridad, Estefanía Beltrán de Heredia, ha estimado esta semana en unas 8.500 las denuncias recibidas por la Ertzaintza por delitos informáticos. “Denunciar estos delitos es básico, porque si conocemos su incidencia destinaremos más recursos a perseguirlos y se podrá adecuar la normativa legal”, explican a eldiarionorte.es desde la unidad especializada en este tipo de casos de la Policía vasca.

Un ataque informático, explican estas fuentes, “busca siempre vulnerabilidades en ‘hardware’ o en ‘software’”. Uno de los tipos más “recurrentes” es el llamado SQL Injection, “que ataca las bases de datos con órdenes malformadas para conseguir información accesible sólo para los usuarios”. También es corriente que los atacantes “saturen de peticiones” un sistema para que se caiga. En estos casos, se emplean ‘botnets’ (redes de ordenadores zombis controlados sin el conocimiento de sus propietarios). Una tercera vía son los ‘malware’, el envío de archivos que escapen de los ‘firewall’ y antivirus. “Éste es el caso del reciente virus Wannacry”, explican desde la Ertzaintza en relación al ataque a Telefónica en España o a los hospitales del reunido unido.

“Paraísos informáticos”, países que no colaboran

Los ataques llegan “desde cualquier lugar”. Es más, lo usual es que los delincuentes (un ‘hacker’ también puede ser bueno, simplemente define a quien tiene amplios conocimientos de la materia) se escuden en servidores de terceros países. Los rastreos de las investigaciones suelen llevar a lugares con “legislaciones diversas y, en algunas ocasiones, sin tratados de colaboración”. “Al igual que los paraísos fiscales, también existen los paraísos informáticos, países que no colaboran internacionalmente o que no tienen una legislación adecuada para perseguir estas actividades”, apuntan los expertos policiales.

El fiscal Bermúdez, en aquellas jornadas realizadas precisamente en la academia de la Ertzaintza en Arkaute, vino a decir que perseguir a los cibercriminales desde la Administración es tanto como pretender perseguir una nave espacial en un Seat 600. Según la Ertzaintza, “la mejor fuente de información son las denuncias”. Esa información es “fundamental” para estar “alerta” [el cuerpo tiene un e-mail: delitosinformaticos@ertzaintza.net]. En la ‘deep web’, esa parte oscura de Internet no indexada por los buscadores como Google, “se hace muy difícil la localización de los sitios delincuenciales y su eliminación”. Y en la ‘deep web’ no sólo hay “sombreros negros” o ‘hackers’ criminales, sino también todo tipo de redes de pornografía, tráfico de armas, drogas e incluso esclavitud.

1,5 millones para el nuevo centro de ciberseguridad

El ataque del ‘Wannacry’ puso de manifiesto también otras dos vertientes de este complejo fenómeno. Si secuestran mis equipos, ¿merece la pena denunciar o es más cómodo pagar? Y, ¿lo hago en ‘bitcoins’? La Ertzaintza tiene muy claro que “en ningún caso se debe pagar”. “No se garantiza la recuperación de los datos encriptados y, además, adquieres la condición de ‘cliente vip’, con lo cual recibirás nuevos ataques en el futuro”. “Si nadie pagase, este delito no existiría”, defienden los agentes, que asumen que, además, las operaciones con ‘bitcoins’, la divisa virtual de la red, son “muy difíciles de rastrear de forma efectiva”.

En este contexto, Euskadi ha anunciado ya la apertura de un centro de ciberseguridad. Esta misma semana lo presentaron en el parque tecnológico de Miñano, a las afueras de Vitoria, las consejeras de Seguridad y Desarrollo Económico, Estefanía Beltrán de Heredia y Arantxa Tapia. Esta infraestructura, coordinada por la Spri, Ejie y la propia Ertzaintza, tendrá un presupuesto anual de unos 1,5 millones. Sin embargo, el anuncio ha tenido más eco por la polémica abierta por la Diputación de Gipuzkoa, que confiaba en que el centro autonómico estuviera en su territorio y no en Álava. Finalmente, en Gipuzkoa también habrá un centro de ciberseguridad propio que dé apoyo a las empresas.

La historia de The Shadow Brokers es breve pero intensa. Oímos hablar del grupo de hackers por primera vez en agosto del año pasado, cuando pusieron a la venta en la Deep web un paquete de herramientas sustraído -decían- a la mismísima NSA. Desde entonces, han sido varios los intentos que ha hecho el grupo para vender el pack. Primero una subasta, luego le pusieron precio fijo y más tarde lo rebajaron. Hasta que el martes abrieron una nueva línea de negocio que será algo así como una newsletter de descargas.

El servicio de suscripción empieza el uno de junio y costará 100 monedas ZCash al mes. Esta criptomoneda se parece al bitcoin porque también utiliza la blockchain y se caracteriza por ofrecer total privacidad tanto para el emisor del pago como para el receptor. Aparte de ser descentralizada y código abierto, también protege el importe de la transacción, que permanece en secreto.

The Shadow Brokers asegura que ni siquiera saben qué datos estarán incluidos en la primera entrega. El pago (al cambio, unos 21.000 dólares) habrá que hacerlo entre el 1 y el 30 de junio y una vez aceptado, el grupo de hackers se compromete a enviar unas credenciales para descargar el pack entre el 1 y el 17 de julio. En el pasado, el grupo ya subastó o vendió paquetes que contenían diversos exploits, virus, softwares de fuerza bruta, RATs y otro tipo de herramientas similares a WannaCry, el ransomware que protagonizó hace apenas tres semanas uno de los mayores ataques informáticos de la historia. Teóricamente, esto es lo que entraría en la newsletter de julio:

Cuando en agosto del año pasado The Shadow Brokers subastó un primer pack de herramientas de la NSA, nadie les tomó muy en serio. Por eso la mejor oferta que recibieron fue de 2 bitcoin (ahora 4.101 euros. Por aquel entonces, 1.675 euros), una cantidad irrisoria en relación al contenido del paquete. Después pidieron 10.000 bitcoin y luego lo rebajaron hasta 1.000. Su reputación ha aumentado enormemente en los últimos meses, sobre todo, gracias a WannaCry.

“El paquete de exploits a 21.000 dólares no entiendo muy bien a qué responde. Al final, lo que está claro es que tampoco tienen ninguna motivación económica”, explica Vicente Díaz, analista senior de Kaspersky. “El dinero que piden es ridículo si tenemos en cuenta que el año pasado estaban pidiendo casi 8 millones”. Se refiere a octubre del año pasado, cuando The Shadow Brokers volvió a revender el pack por 10.000 bitcoin, que al cambio, por aquel entonces, eran 7,8 millones de dólares. Hoy, la misma cantidad de la criptomoneda equivale a 20 millones y medio de dólares.

Ganando credibilidad de poco en poco

En otras ocasiones, el grupo de hackers ha ido soltando herramientas por separado, poniéndolas precio entre 1 y 100 bitcoin. En diciembre del año pasado consiguieron credibilidad suficiente por parte de muchas firmas de ciberseguridad cuando demostraron vía ZeroNet (una plataforma de hosting basada en la blockchain) que tenían en su poder todos y cada uno de los exploits de la NSA que anunciaban.

En abril volvieron a poner un pack a la venta en el que estaba incluido Eternal Blue, el exploit donde se incluía WannaCry. Casi dos meses después lo vuelven a intentar, pero esta vez en forma de suscripción: “Ahora parece que quieren cambiar un poco la narrativa de la historia. Nosotros lo seguimos con interés, a ver cómo se desarrollan los acontecimientos, pero Kaspersky no va a pujar por comprar nada”, explica el analista de la firma rusa.

La empresa de ciberseguridad Check Point se muestra en la misma línea que Kaspersky: “Nosotros no es que estemos asustados, pero estamos atentos ante lo que puede suceder. Si alguien publica esas vulnerabilidades o paga, aparte de que esté dando alas a ese grupo, el problema es que se puedan utilizar para ataques similares a WannaCry o incluso más dañinos”, dice Eusebio Nieva, director técnico de la firma.

Un precio ridículo

Las dos empresas de ciberseguridad coinciden en que la intención del grupo de hackers no es monetaria, sino publicitaria. “Quieren participar en un escándalo y tienen unos intereses más propagandísticos que otra cosa a partir de la atribución de las herramientas”, explica Díaz. “Esto está siendo más espectacular que otra cosa. Un creador de malware de verdad, si tuviera en su poder todas esas vulnerabilidades, lo que estaría haciendo continuamente es lanzando campañas con variaciones del Crypto Locker, de WannaCry, etcétera. Y a medida que le parcheasen uno, sacaría otro para tener una ventaja competitiva sobre los fabricantes de seguridad”, continúa Nieva.

Y es que, según el analista de Kaspersky, “el precio es ridículo”. Díaz explica a eldiario.es que una vulnerabilidad de Windows remota “cuesta más de 21.000 dólares. Incluso se la puedes vender al fabricante”. Desde Kasperksy aseguran que exploits de este tipo, como WannaCry, [se venden] a partir de 90.000 dólares“.

Nieva, por su parte considera que el pack podría comprarlo cualquier empresa dedicada a la fabricación de malware. “Hay industrias completas que proporcionan las herramientas, los sitios para infectar, el software y tú lo único que tienes que hacer es encargarte de lanzar esa infección. De los que infectes y paguen, el 60% del dinero va para ti y el 40% para ellos. Es una industria”, asegura.

El virus WANNACRY (WANNACRYPT) nos ha puesto a prueba, apareció un día en nuestras vidas convirtiéndose en portada de informativos de televisiones, y portada de periódicos, y nos hizo sentir vulnerables, porque en mayor o menor medida lo somos.

Eso ha hecho que nos replanteemos si estamos protegiendo adecuadamente nuestra información, si adoptamos las medidas necesarias, pero también ha puesto en evidencia a aquellos que no consideran relevante adoptar estrategias de protección adecuadas con argumentos como “a mi no me va a pasar” o como abogados con los que he hablado que quitan relevancia a la información que tienen en su pequeño despacho, cuando tienen numerosos expedientes de personas con muchísima información de cada una de ellas y con un alto nivel de exposición a ataques como el que ha sucedido.

Vivimos una época difícil y compleja, en la que un virus elaborado por un ciberdelincuente (que no un hacker) en Ucrania o Corea pone en riesgo a un abogado, dentista o médico de Bilbao o Donosti, a la Diputación de Gipuzkoa o a Iberdrola o Telefónica. Y ello se debe al enorme grado de interrelación que hemos alcanzado gracias a la influencia de la tecnología en nuestras vidas. Esto supone que estamos mucho más relacionados, pero al mismo tiempo mucho más expuestos en nuestro día a día, y nos exige también esfuerzos más relevantes para gestionar adecuadamente todo ello.

Confiamos en empresas tecnológicas que nos proveen de las herramientas adecuadas, pero establecer un plan de actualización, o un plan de seguridad para los dispositivos móviles de nuestra empresa, o adoptar un plan de continuidad de negocio que permita a la empresa o a la administración actuar incluso en situaciones de crisis y no verse obligada a cerrar durante varios días perdiendo cantidades económicas importantes o información relevante, todo ello, es responsabilidad de la empresa o de la administración pública.

Así, vemos como se ha puesto a prueba no solo la tecnología, sino la organización de la empresa y las organizaciones; algunas de éstas, al enfrentarse a este problema, no tenían otra reacción que desconectar sus sistemas de internet. Por ejemplo, una adecuada política de copias de seguridad guardadas en un sitio seguro ha permitido a muchos actuar casi inmediatamente con total naturalidad.

Y la reacción de los órganos administrativos de control ha sido muy importante. Tanto el CERT del Centro Criptológico Nacional como el Instituto Nacional de Ciberseguridad han pasado un fin de semana y unos días de locura, y han desarrollado y puesto a libre disposición una herramienta para contrarrestar los efectos del virus WANNACRY que ha tenido y sigue teniendo miles de descargas en este tiempo, y cientos de profesionales de muchos ámbitos, como me consta en nuestras administraciones públicas vascas, han pasado estos días rehabilitando y comprobando los sistemas informáticos para que volvieran lo antes posible a funcionar. El periodo de tiempo que pasa entre el ataque sufrido y la vuelta a la normalidad lo marca haber adoptado una estrategia de seguridad adecuada en la empresa.

Por lo tanto, adoptar estas estrategias no es solo una cuestión de cumplimiento de una ley, sino de proteger nuestros activos, lo que evitará una crisis de alto nivel en las organizaciones.

Y que sirva para aprender sobre lo sucedido, autoevaluar cómo hemos reaccionado a esta situación, y mejoremos la protección; y que no se quede en una cuestión puntual, porque no es así. Todos los expertos estamos de acuerdo en que habrá más casos similares, cada vez mejor planteados y planificados y con mayores efectos.

Hay muchos análisis que hacer de la situación, y uno es el de la responsabilidad: los delincuentes que han iniciado este ataque incurren en varios delitos del Código Penal (daños informáticos entre otros), pero también existirán responsabilidades derivadas de la normativa de protección de datos, al no haber implementado medidas de protección en la empresa, tal y como obliga esta normativa

Buenas herramientas, buenos profesionales y planificación previa, anticipación en la medida de lo posible son elementos indispensables.

Y por supuesto, formar al personal, y no dejar en manos de una persona con escasa formación técnica decisiones comprometidas para la organización. El eslabón más débil de la cadena de la seguridad es la persona, y debemos invertir en formar a las personas y que conozcan estos riesgos: en el caso del virus que mencionamos, simplemente no abrir correos desconocidos o no relacionados con la empresa será suficiente, pero habrá otros más complejos. Y dejar de echar la culpa al usuario que abre el famoso correo o utiliza su dispositivo cuando nadie le ha enseñado o instruido sobre el uso correcto.

Así pues, la primera, pero no la última ocasión en que veremos algo con efectos tan desproporcionados y a escala mundial, y que nos sirva para estar mejor preparados la siguiente.

Tras el capítulo del ciberataque a escala global desarrollado por el virus WannaCry, la Generalitat Valenciana afirma que se pone las pilas para evitar este tipo de vulneración. Así el conseller de Hacienda y Modelo Económico, Vicent Soler, ha anunciado un refuerzo del centro de operaciones en materia de ciberseguridad, el CSIRT-CV, con una inversión de 7,4 millones de euros en los próximos cuatro años.

Soler explica que esta inversión se destinará a dotar de más personal y medios este organismo, cuya actuación, junto con la de los técnicos de la Dirección General de Tecnologías de la Información y las Comunicaciones, ha sido decisiva contra el WannaCry, del que no obstante la Generalitat ha salido indemne.

Vicent Soler, de quien depende la seguridad en materia de nuevas tecnologías, ha realizado estas manifestaciones en la clausura de la 19 edición de los Premios y Noche de las Telecomunicaciones Valencianas 2017, que ha tenido lugar hoy en el Hemisfèric de la Ciudad de las Artes y de las Ciencias de Valencia.

La inversión anunciada por el titular de Hacienda incluye también un plan de formación a ciudadanos y empresas en materia de ciberseguridad, con el objetivo de aumentar su conocimiento sobre las nuevas amenazas y mejorar sus prácticas seguras, de forma que se minimicen los incidentes .

“El último ataque ha marcado un punto de inflexión y ha instalado una sensación de vulnerabilidad en nuestra sociedad. Con ello, esperamos que, al estar más sensibilizada, la sociedad sea más receptiva a las acciones del centro y podamos generar la cultura de ciberseguridad que es necesaria en la Comunitat Valenciana”, ha resaltado el titular de Hacienda.

Gracias al nuevo presupuesto, el personal del CSIRT-CV se duplicará al pasar de 8 a 17 técnicos. Se trata de un personal técnico muy cualificado, con un alto nivel de actualización tecnológica y con un amplio espectro de cobertura en las distintas disciplinas de la ciberseguridad.

El conseller Soler ha recordado que el CSIRT-CV procesa una media diaria de más de 300.000 alertas provenientes de los sistemas de seguridad de la red corporativa de la Generalitat y ha gestionado, desde que inició su funcionamiento, 6.000 incidentes de seguridad, siendo más de 130 de estos, de máxima criticidad.

El viernes pasado un virus informático infectó a cientos de miles de ordenadores en más de 70 países, incluyendo los hospitales públicos del Reino Unido, el Ministerio del Interior ruso, la red ferroviaria alemana, la empresa de mensajería FedEx y una larga lista de compañías que prefieren mantenerlo en secreto. Su nombre, Wanna Cry. Sus promotores pedían un rescate a cambio de liberar del malware a las compañías afectadas, pero muy pocas lo han tenido que pagar, porque han podido deshacerse de él con facilidad. Pero con facilidad fueron afectados: ¿cómo? Nos lo explica Marta Peirano adjunta al director de eldiario.es y experta en criptografía y ciberseguridad en nuestra Llamada de Actualidad.

Recuerda que este programa es solo posible gracias a ti. Difúndelo, y si puedes, hazte Productor o Productora de #CarneCruda.