El secuestro del sistema público de la
ciudad estadounidense de Baltimore es la última prueba del uso criminal de
recursos desarrollados por Gobiernos
El 7 de mayo, parte de los ordenadores
de la Administración de la ciudad de Baltimore (EE UU) se bloqueó. Un hacker, o
grupo de hackers, había encriptado archivos del sistema y pedía 13 bitcoins
para liberarlos. El precio de las bitcoins varía bastante: ahora, son 92.467
euros.
El ataque bloqueó, entre otras cosas,
los correos electrónicos municipales, una base de datos de multas de
aparcamiento, un sistema utilizado para pagar recibos de agua y el sistema de
venta de casas. El plazo para pagar el chantaje se ha ido alargando hasta
ahora, un mes después del ataque. "No hablaremos más, todo lo que queremos
es ¡DINERO! ¡Rápido!", decía la nota que apareció en algunas pantallas.
Baltimore ha anunciado que ha recuperado algunos sistemas y que el coste final
de este ataque para la ciudad rondará los 18 millones de dólares.
El caso de Baltimore habría quedado
como un ejemplo más si no fuera por un detalle que reveló The New York Times y
que está en el centro del debate de la comunidad de ciberseguridad: para que el
virus que bloqueó los ordenadores fuera más rápido, se usó, presuntamente, una
herramienta llamada EternalBlue, creada por la estadounidense NSA (Agencia de
Seguridad Nacional, en inglés) alrededor de 2012.
EternalBlue había servido al Gobierno
de Estados Unidos para aprovechar un fallo desconocido en el software de
Windows e infiltrarse sin ser descubierto en cualquier ordenador con ese
sistema operativo. "Era un Santo Grial", dice Sergio de los Santos,
director de innovación y laboratorio en ElevenPaths, unidad de ciberseguridad
de Telefónica Digital. "No requería intervención por parte del usuario,
podía pasar desapercibido y funcionaba en cualquier Windows moderno",
añade.
Los virus informáticos como el de
Baltimore se llaman ransomware o de "recompensa" y son más comunes de
lo que parece. En España hubo 54 ataques contra infraestructuras críticas de la
Administración en 2018, según datos del Centro Nacional de Protección de
Infraestructuras Críticas (CNPIC). También hubo dos contra infraestructuras
críticas en el sector privado. El CNPIC no revela los nombres de las empresas y
organismos afectados.
Las 56 "infraestructuras
críticas" atacadas con ransomware son, según la ley,
"infraestructuras estratégicas cuyo funcionamiento es indispensable y no
permite soluciones alternativas, por lo que su perturbación o destrucción
tendría un grave impacto sobre los servicios esenciales". Los casos en los
últimos años, según el CNPIC, no crecen porque dependen sobre todo de qué tipo
de ransomware se pone de moda y funciona mejor.
El código usado en Baltimore se llama
Robinhood, pero hay censados más de 700 por todo el mundo. Van por rachas o
modas: ahora acaba de cerrar uno, GandCrab, que presumía de cobrar comisiones
de las recompensas que obtenían sus "usuarios". Dicen que se han
pagado 2.000 millones de dólares gracias a su virus.
La mayor filtración de la historia
La historia de EternalBlue va mucho
más allá de la informática. En 2017 un grupo llamado Shadow Brokers publicó online
unas herramientas, entre ellas EternalBlue. De repente estaba al alcance de
cualquier Gobierno o banda criminal una de las mejores armas del arsenal
estadounidense. Era como si hubiera un escuadrón de F-35 tirados en un
aeropuerto cualquiera disponibles para quien supiera pilotarlos. La gran
pregunta es cómo habían llegado allí.
El FBI detuvo en 2016 a Harold T.
Martin, empleado subcontratado de la NSA, como Edward Snowden. En su casa
encontraron montones de información clasificada, entre ella, las herramientas
de hackeo que usaba la NSA para entrar en sistemas enemigos. ¿Alguien ayudó a
Martin? ¿Quién siguió hablando por los Shadow Brokers después de su detención?
Hay muchas preguntas sin respuesta. La filtración de Shadow Brokers fue peor
que la de Snowden.
Cuando la NSA supo que su herramienta
había sido robada, avisó a Microsoft para que parcheara el software. La acción
es lógica, pero no deja de ser cínica: la NSA avisó a Microsoft que arreglara
un agujero que ellos habían usado durante años. Microsoft lo hizo, pero no
todos los sistemas del mundo se actualizaron en seguida.
De aquella filtración surgió el virus
WannaCry en mayo de 2017. "WannaCry solo sirvió para provocar caos y para
que EternalBlue perdiera todo su valor porque se dio a conocer", dice De
los Santos. WannaCry fue un ransomware masivo. Fue como coger un escuadrón de
F-35 para atracar bancos al azar: algo absurdo. Los atacantes reunieron
"solo" unos 140.000 dólares de cerca de 400 ordenadores que pagaron.
El Departamento de Justicia de Estados
Unidos imputó al programador norcoreano Park Jin Hyok por WannaCry. El origen
por tanto está establecido. Aquel virus alcanzó unos 300.000 ordenadores, entre
ellos varios hospitales públicos en Reino Unido, Renault, Telefónica, FedEx o
los ferrocarriles alemanes.
Un mes después de WannaCry, llegó
NotPetya. A través de los servidores de una empresa ucraniana que servía para
hacer declaraciones de renta, NotPetya encriptó ordenadores de toda Ucrania y
de multinacionales que tenían servidores allí. Afectó a 45.000 ordenadores de
la red de Maersk, empresa de transporte marítimo. Para volver a restablecer el
sistema tuvieron que recurrir a un disco duro en Ghana que se había
desconectado de la red por una caída eléctrica un rato antes de que NotPetya
destrozara todo el sistema. A la farmacéutica Merck, por ejemplo, le costó 870 millones
en reparaciones. El principal sospechoso en este caso es Rusia.
Hasta ese momento, el ransomware había
dependido sobre todo de la intervención incauta de usuarios: había que clicar
por ejemplo en un mensaje falso. Pero gracias a la combinación de EternalBlue
con otros, el virus reventaba ordenadores en cadena sin ninguna intervención.
¿Por qué vuelve ahora?
Todo eso fue en 2017. ¿Por qué vuelve
a estar de actualidad? Porque ha vuelto a casa. La sede de la NSA está junto a
Baltimore. Es como si armas fabricadas solo en Estados Unidos se usaran para
atacar al país desde fuera. El uso preciso de EternalBlue en Baltimore está en
discusión, pero la falta de precaución de la NSA, o de cualquier Gobierno, con
este tipo de herramientas es un riesgo enorme.
Ahora una gran arma de la NSA está en
manos de cualquiera: "Una vez que esas herramientas están ahí fuera,
pueden caer en manos de quien sea, incluso de unos niños", dice Ross
Anderson, profesor de la Universidad de Cambridge. Dos años después ya no es
sofisticada porque se han actualizado muchos sistemas, pero siempre habrá
huecos.
La NSA no es el único responsable.
Microsoft, al fin y al cabo, había publicado el parche para evitar el asalto de
EternalBlue. ¿Por qué las empresas y organismos públicos no actualizaron en
seguida sus sistemas? Hay, sobre todo, dos motivos: uno, hay grandes empresas
que necesitan que sus sistemas estén en marcha las 24 horas y detenerlos para
actualizarlos requiere de mucho esfuerzo; y dos, hay sistemas que funcionan
bien con versiones antiguas y una actualización puede estropear el
funcionamiento.
Hay un tercer motivo más difuso:
negligencia. Las copias de seguridad, por ejemplo, son un recurso simple para
restaurar sistemas si aparece un virus. "Hay una diferencia fundamental
entre los equipos de seguridad y los sistemas en una empresa", explica
Alfredo Reino, consultor en ciberseguridad. "Los sistemas se miden por
cuánto tiempo funcionan, y si se cae algo tienen que levantarlo. Eso entra en
conflicto con la seguridad. Cosas tan fundamentales como los permisos, parches
y copias de seguridad, les parecen secundario. Y puede que lo retrasen o no lo
hagan, no vaya a ser que se caiga".
Hay escáneres que buscan cuántos
ordenadores aún no se han actualizado. Solo en Estados Unidos, hay más de
400.000. En España también hay muchos equipos al descubierto: "En el caso
de ciudadanos particulares o empresas pequeñas donde el uso de software sin
licencia (y sin actualizaciones oficiales) es más habitual, la incidencia de un
ataque de estas características podría afectar a varios miles de equipos",
dicen fuentes del CNPIC.
Eso no es lo peor. Lo peor es que
Microsoft ha anunciado un nuevo parche este mes de mayo para un agujero que aún
no se conocía. Es probable que alguien —¿un Gobierno?— lo haya estado usando
como arma de espionaje. Es decir, quizá hay por ahí una herramienta para entrar
en cientos de miles de máquinas sin actualizar. Las versiones de Windows por
las que se cuela son más antiguas que EternalBlue, pero su alcance es aún un
misterio.
Fuente: El Pais.com