El viernes 12 de mayo de 2017 el ramsomware WannyCryptor, conocido como WannaCry o WCrypt, provocó uno de los ciberataques más grandes de la historia. A un año de su aparición, y pese a que ya no ha causado mayores daños en el mundo, el ‘exploit’ o vulnerabilidad que fue utilizada durante el ataque, conocido como EternalBlue, no ha desaparecido.
Primero, partamos por entender que es un exploit. Santiago Pontiroli, analista de seguridad de Kaspersky Lab, explica que se trata de un programa o código que se aprovecha de un agujero de seguridad o vulnerabilidad en una aplicación o sistema, de forma que un atacante podría entrar.
“Es un programa de computadora que en realidad es un pequeño código que se aprovecha de la falla de algún software. En este caso el exploit Eternal Blue se aprovechó de una falla de un componente en el sistema operativo de Windows”, dijo a El Financiero.
ESET, en su blog, indica que debemos imaginar que un sistema operativo o aplicación es un modelo particular de cerradura. Dicha cerradura, tiene un fallo en su diseño (agujero o vulnerabilidad) y los ciberatacantes crean una llave especial con las características necesarias para abrir dicha cerradura aprovechando la falla en su diseño. Esa llave es el exploit.
“El software, lleno de probabilidades, es programado por personas, y esas personas cometen errores. El exploit no es más que eso, una llave que sabe aprovechar ese tipo de errores y fallas. Les permite ese código abrir una conexión y a partir de eso seguir con más códigos maliciosos para afectar y robar la información”, dijo en entrevista para El Financiero Denisse Giusto Bilic, especialista en seguridad informática de ESET Latinoamérica.
En el caso de WannaCry el exploit utilizado fue EternalBlue. Aunque no ha derivado en problemáticas como la de mayo de 2017, cabe destacar que, a un año de su detección, dicha llave aún está vigente y sigue siendo utilizada por cibercriminales para intentar abrir sistemas desprotegidos y sin parche.
“EternalBlue formó parte de un grupo de exploits que publicó un grupo de cibercriminales llamado Shadowbrokers. Gracias a esto muchos criminales y personas sin tanto conocimiento como para desarrollar estos códigos, pudieron reutilizarlo y aplicarlo para muchas cosas. WannaCry fue uno de los primeros ejemplos de cómo se aprovechó este exploit de forma automática”, explicó Santiago Pontiroli.
El experto indicó que EternalBlue tenía comportamiento de ramsomware y de ‘gusano’ lo que en términos técnicos significa que no requiere que el usuario interactue con él, dando doble clic o abriendo carpetas, sino que al infectar una computadora automáticamente puede llegar a todas aquellas que están en su red.
Para Denisse Giusto el riesgo aún existe ya que muchos equipos aún no han sido parchados pese a WannaCry, además de que el exploit aún se encuentra disponible para que los cibercriminales intenten usarlo. “Hace falta concientización, muchos usuarios no conocen las repercusiones de un ataque de ese tipo y ni siquiera saben que están expuestos. Mucha gente no está al día en cuestión de ciberseguridad y ni se enteran de que hubo una campaña masiva de ramsomware”, dijo.
“Los desarrolladores de seguridad pueden subir esos exploits y cualquiera los puede bajar. Al hacer públicos estos exploits, lo que se ve usualmente es que siguen siendo utilizados o se intenta utilizar durante muchos años”, agregó.
EternalBlue está asociada con sistemas operativos de Microsoft en la implementación del protocolo del Server Message Block (SMB) a través del puerto 445. Si una empresa no tiene correctamente actualizados sus servidores, los cibercriminales podrían buscar puertos SMB expuestos y lanzar el código del exploit, en caso de encontrarlos.
El exploit EternalBlue no fue exclusivo de WannaCry, ya que también impulsó el ataque Diskcoder de junio de 2017 y la campaña de ramsomware BadRabbit que se detectó en los últimos meses del año pasado. En 2017, según CVE Details, el número de vulnerabilidades reportado fue de 14 mil 700, mucho mayor a las 6 mil 447 reportadas en 2016.
La experta indicó que el número de vulnerabilidades reportadas durante lo que va de 2018 ya casi iguala al total de vulnerabilidades encontradas durante todo 2016, por lo que pareciera que este año cerrará con un número de fallos reportados cercano al pico histórico que se observó en 2017.
Recientemente fue utilizado para distribuir la campaña del ramsomware Satan, un ataque que se propagó en los primeros meses de 2018. WannaCry logró afectar a más de 200 mil sistemas en 150 países y el país más afectado fue Rusia con 33.64 por ciento de las empresas afectadas, seguido por Vietnam con el 12.45 por ciento e India con 6.95 por ciento. En el caso de México únicamente el 1.59 por ciento de las empresas se vieron afectadas.