A mediodía de ayer saltaba la noticia. La confusión fue importantes. De entrada se supo que la intranet de Telefónica estaba afectada. En el listado también aparecían nombres de entidades bancarias o compañías eléctricas, como por ejemplo Viesgo. Todavía se desconoce el alcance mundial del ataque llevado a cabo con WannaCry. Sin embargo, la realidad es que además de la operadora española se han visto afectados la empresa de FedEx y el servicio de salud de Reino Unido.
Sin ir mas lejos, ha sido este último el que se ha visto más afectado por WannaCry. Además de verse obligado el personal a suspender las operaciones programadas, está bloqueado el historial, analíticas e información de miles de usuarios de Reino Unido.
Pero no todo es tan negro. Todo parece indicar que se ha encontrado una forma de detener la expansión de esta amenaza informática (conocida también como «kill switch«). Esta función se encuentra en el código de la amenaza y muchos ya han definido a la persona que se ha topado con esta función como un héroe accidental.
El ransomware WannaCry posee una función que comprueba la disponibilidad de un dominio web. Si está disponible, se detendrá la distribución de la amenaza. Y esto es precisamente lo que ha sucedido: Con un dominio web de solo un par de euros se ha conseguido detener la actividad relacionada con la distribución de este ransomware.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) 13 de mayo de 2017
¿Y si el equipo ya está infectado con WannaCry?
Lamentablemente, este hallazgo solo sirve para detener la expansión de la amenaza a otros equipos que se encuentren dentro de la misma red que el equipo infectado. Aquellos que se hayan visto afectados y sus datos estén cifrados no podrán llevar a cabo el desbloqueo de la información.
WannaCry se aprovecha de una vulnerabilidad en Windows
Aunque no se ha sabido en un principio señalar culpables, todo parece indicar que el ransomware se ha valido de una vulnerabilidad existente en varias versiones de Windows (de escritorio y servidores) para acceder a los equipos de las intranet de las empresas o instituciones.
Desde Microsoft han confirmado la existencia de la vulnerabilidad, aunque han aportado información que cuanto menos resulta curiosa. La actualización para evitar que este fallo de seguridad sea aprovechado está disponible desde mediados del pasado mes de marzo en el caso de Windows 10. Esto solo implica que muchos de los equipos no se actualizan frecuentemente, algo que por desgracia no es una sorpresa.
Se habla de más de 45.000 ataques que se han distribuido en al menos 74 países de todo el mundo.
Varias versiones de la amenaza disponibles
Desde Kaspersky también han querido ofrecer un poco de luz con este ransomware. Afirman que el kill switch funciona en la variante predominante en este ataque. Sin embargo, se han detectado varias con las que es probable que no funcione esta modificación para detener la actividad de expansión de la amenaza.
En el caso de algunas empresas afectadas, afirman que la repercusión ha sido mayor que el daño provocado por la amenaza, y que en el día de ayer quedó la situación controlada.
Desde luego que este ataque a escala mundial nos ha demostrado que es lo que puede suceder con este tipo de amenazas informáticas, pudiendo paralizar empresas enteras y poner en jaque a sus departamentos de seguridad.