Especialistas lograron ponerle freno al ciberataque global

Un ciberataque global sin precedentes obligó a una automotriz europea a detener algunas líneas de producción el sábado y afectó a colegios en China y hospitales en Reino Unido, aunque empieza a desactivarse un día después de su aparición y que dejó, según reportes de prensa, hasta 150 mil casos.

Aprovechándose de herramientas de espionaje presuntamente desarrolladas por la Agencia Nacional de Seguridad de Estados Unidos (NSA, por sus siglas en inglés), el ataque infectó a decenas de miles de computadores en casi 100 países, siendo el sistema de salud británico el que sufrió los peores efectos.

Los extorsionadores engañaron a las víctimas para que abrieran archivos maliciosos adjuntos en correos electrónicos que parecían contener facturas, ofertas de trabajo, advertencias de seguridad u otros archivos legítimos.

Una vez dentro de la red, el «ransomware» usó herramientas de espionaje para infectar de forma silenciosa a otros dispositivos no actualizados, sin necesidad de intervención humana. Según expertos en seguridad, fue una escalada sin precedentes con el riesgo de una extensión de nuevos ataques en los próximos días y semanas.

El «ransomware» encriptó los datos de las computadoras, exigiendo pagos de entre 300 y 600 dólares para restaurar el acceso. Analistas descubrieron que algunas víctimas pagaron con la moneda digital bitcoin, aunque no sabían cuánto fue transferido a los extorsionadores, debido a la naturaleza por lo general anónima de tales transacciones.

Investigadores del fabricante de software de seguridad Avast dijeron que habían observado 126.534 infecciones en 99 países, siendo Rusia, Ucrania y Taiwán los principales objetivos. La agencia italianaANSA reporta que la empresa rusa Kaspersky Lab informó hasta 150 mil vulnerados.

Los hackers usaron un gusano, o un «malware» que se autoexpande, usando una parte de un código de espionaje de la NSA conocido como «Eternal Blue» y que fue liberado el mes pasado por el grupo de ciberpiratas Shadow Brokers, según analistas de firmas privadas de ciberseguridad.

Renault anunció este sábado la detención de su producción de autos en lugares como Sandouville, en Francia, y las plantas de Dacia que posee en Rumania, para evitar la extensión del virus en sus sistemas.

El Centro de Cibercrimen Europeo de Europol dijo que está trabajando de forma estrecha con los investigadores de los países y firmas de seguridad privadas para combatir la amenaza y ayudar a las víctimas.

Algunos expertos dijeron que la amenaza menguó, en parte porque un investigador con sede en Reino Unido, que declinó facilitar su nombre, registró un dominio al que el «malware» estaba intentando conectarse, logrando limitar la expansión del gusano.

La agencia alemana DPA dio cuenta que el especialista en informática británico del blog «MalwareTech» consiguió frenar en el viernes por la noche el ciberataque global, de acuerdo a lo que informa este sábado el diario inglés The Guardian.

Ryan Kalember, de la firma de ciberseguridad Proofpoint, explicó al periódico que este investigador descubrió un dominio oculto en el software y decidió registrarlo. Al parecer, esta URL fue creada por los responsables del virus como una especie de medida de desactivación del ataque, en el caso de que quisieran pararlo.

«Estamos en un curso descendente, las infecciones son muy pocas, ya que el ‘malware’ no puede conectarse con el dominio registrado», afirmó Vikram Thakur, director de investigación del fabricante de software de seguridad Symantec.

No obstante, los atacantes podrían alterar aún el código y reiniciar el ciclo. El investigador británico acreditado con el freno a la proliferación del «ransomware» dijo a Reuters que aún no ha detectado estos cambios, «pero sucederán».

Los jefes de Finanzas del G-7 tenían previsto comprometerse con la lucha contra la creciente amenaza de los ciberataques internacionales, según un borrador de la reunión que celebran en Italia. «Se necesitan medidas apropiadas en toda la economía», indicaron los ministros en el texto, al que tuvo acceso Reuters.

En Asia se vieron afectados algunos hospitales, colegios, universidades y otras instituciones, aunque no se conoce aún el impacto total del daño porque es fin de semana. Los peores ataques fueron reportados en Reino Unido, donde centros sanitarios tuvieron que rechazar a pacientes tras perder el acceso a las computadoras el viernes.

Solo un número pequeño de organizaciones con sede en Estados Unidos sufrió el ataque, ya que los hackers parecieron empezar la campaña en objetivos de Europa, dijo Thakur.