• Home /

  • Ciberseguridad /

  • Cinco años de Wannacry: el día que un gusano hizo llorar a miles de empresas y a sus responsables de seguridad

Cinco años de Wannacry: el día que un gusano hizo llorar a miles de empresas y a sus responsables de seguridad

El ransomware se hizo conocido aquella jornada. Telefónica, Iberdrola o Gas Natural fueron algunas de las grandes afectadas.

Alberto Payo

Periodista

Guardar

wannacry ransomware
wannacry ransomware

Una mañana del 12 de mayo de 2017 el mundo se ponía patas arriba. Más de 360.000 equipos informáticos de más de 180 países mostraban mensajes en los que se les indicaba que deberían pagar un rescate en bitcoins en el plazo de tres días para poder volver a acceder a sus archivos que habían sido cifrados. Muchos no supieron que hacer y solo pudieron apagar los ordenadores y mandar a los trabajadores a sus casas. 

Entonces poca gente sabía qué era el ransomware. Y eso pese a que el primero había surgido a finales de los ochenta propagándose mediante diskettes en un evento sobre SIDA. Casi treinta años después, el ransomware llegaba a los medios de comunicación por la puerta grande, aunque algunos periodistas lo humanizaran un poco llamándolo 'ramonware', como si en lugar de tener cepas llevara capas. Wannacry pasó a hacerse famoso.

Este gusano tenía como objetivo los ordenadores que usaban Microsoft Windows como sistema operativo. Los cibermalos aprovecharon que muchos equipos tenían sistemas obsoletos y poco actualizados para provocar una infección masiva. 

Según explicaba la firma de seguridad Kaspersky en su momento, los cibermalos aprovecharon una debilidad en el sistema operativo de Redmond mediante un ataque que supuestamente había desarrollado la Agencia de Seguridad Nacional de EE.UU. Denominado 'Eternal Blue' este fue publicado por el grupo de hackers The Shadow Brokers antes del ataque de Wannacry. 

Aunque Microsoft publicó un parche de seguridad, muchas organizaciones no actualizaron y se quedaron expuestas. Así, Eternal Blue se convirtió en el exploit o vulnerabilidad que hizo propagarse el ransomware. 

Los ciberdelincuentes de aquella época se conformaban con poco. Apenas pedían 300 dólares de rescate y, después, lo subieron a 600. Una minucia comparada con los millones de dólares que exigen hoy en día. 

Se cree que los autores de Wannacry, también llamado Wannadecryptor o WanaCryp0r 2.0, fueron piratas norcoreanos. En septiembre de 2018 el Departamento de Justicia de EE.UU acusó a Park Jin Hyok de haber sido su creador. Otras hipótesis apuntan a Rusia, la propia EE.UU, China o Perú como fuentes de origen. 

Impacto en España y en el mundo

En España la amenaza impactó en un principio en grandes empresas como Telefónica. Compañías del sector eléctrico o energético de nuestro país, como Iberdrola o Gas Natural, también cayeron. Días después del incidente el Consejo Nacional de Ciberseguridad lleó a dar una rueda de prensa en la Moncloa para asegurar que Wannacry había sido "controlado". Se habían contabilizado 1.200 infecciones en nuestro país

Por su parte, en Reino Unido miles de hospitales y clínicas del NHS (Servicio Nacional de Salud) quedaron comprometidos. 

Deloitte calculaba en un estudio su impacto económico, asegurando que podría superar los 200 millones de dólares. Y es que a los costes directos y generados por el rescate hay que sumar los de recuperación, los de inactividad del personal y del propio negocio y otros como las pérdidas económicas vinculadas a aspectos financieros, legales, contractuales y reputacionales. Otras fuentes son menos alentadoras y cifran todos sus daños en unos 4.000 millones de dólares. 

El ataque del ransomware WannaCry de 2017 conmocionó a nivel mundial, impactó en cientos de miles de ordenadores y dispositivos y dejó miles de millones en daños a su paso. Poco sabíamos entonces que era solo el comienzo de un aumento de ataques de ransomware más sofisticados, generalizados y perjudiciales. Desde entonces, hemos visto un flujo constante de víctimas de ransomware de perfil alto, junto con un aumento en la cantidad de grupos de delincuentes que venden el ransomware como servicio (RaaS)", comenta en un artículo de opinión Stan Black, CISO de Delinea.

El responsable de seguridad, no obstante, cree que, pese al desaguisado que causó, tuvo algunas consecuencias positivas. "Lo que sí hizo el ataque de WannaCry es enseñar algunas lecciones importantes a todas las empresas del mundo. La principal es que no importa cuánto se invierta en herramientas de defensa y de protección del perímetro, ya que cualquiera puede estar expuesto desde dentro si su tecnología y sus sistemas son obsoletos o no se actualizan. Y es que tener una 'mala higiene' cibernética interna deja la puerta abierta a atacantes maliciosos", añade. 

Cómo evitar otros WannaCry

Los expertos coinciden en señalar que ante la posibilidad de que seamos víctimas de un ciberataque como WannaCry, preventivamente debemos realizar copias de seguridad periódicas, proteger equipos y cuentas con contraseñas robustas y únicas, no interactuar con correos electrónicos sospechosos en los que se solicitan datos personales y bancarios con urgencia, así como mantener todos los software y aplicaciones actualizadas.

A posteriori, una vez se ha producido el ataque de ransomware, entre las medidas inmediatas y fundamentales se encontrarían la necesidad de notificar cuanto antes el ciberataque para que se pueda actuar a la mayor brevedad posible; en caso de que se nos requiera el pago de un rescate no hacerelo, pues no existe garantía alguna de que los ciberatacantes vayan a cumplir su promesa y devuelvan el control de los sistemas; aislar de la red todos los equipos y dispositivos que hayan sido infectados, y cambiar todas las contraseñas.