Cómo una herramienta secreta creada por Estados Unidos se convierte en una destructiva arma ‘online’
El secuestro del sistema público de la ciudad estadounidense de Baltimore es la última prueba del uso criminal de recursos desarrollados por Gobiernos
El 7 de mayo, parte de los ordenadores de la Administración de la ciudad de Baltimore (EE UU) se bloqueó. Un hacker, o grupo de hackers, había encriptado archivos del sistema y pedía 13 bitcoins para liberarlos. El precio de las bitcoins varía bastante: ahora, son 92.467 euros.
El ataque bloqueó, entre otras cosas, los correos electrónicos municipales, una base de datos de multas de aparcamiento, un sistema utilizado para pagar recibos de agua y el sistema de venta de casas. El plazo para pagar el chantaje se ha ido alargando hasta ahora, un mes después del ataque. "No hablaremos más, todo lo que queremos es ¡DINERO! ¡Rápido!", decía la nota que apareció en algunas pantallas. Baltimore ha anunciado que ha recuperado algunos sistemas y que el coste final de este ataque para la ciudad rondará los 18 millones de dólares.
El caso de Baltimore habría quedado como un ejemplo más si no fuera por un detalle que reveló The New York Times y que está en el centro del debate de la comunidad de ciberseguridad: para que el virus que bloqueó los ordenadores fuera más rápido, se usó, presuntamente, una herramienta llamada EternalBlue, creada por la estadounidense NSA (Agencia de Seguridad Nacional, en inglés) alrededor de 2012.
EternalBlue había servido al Gobierno de Estados Unidos para aprovechar un fallo desconocido en el software de Windows e infiltrarse sin ser descubierto en cualquier ordenador con ese sistema operativo. "Era un Santo Grial", dice Sergio de los Santos, director de innovación y laboratorio en ElevenPaths, unidad de ciberseguridad de Telefónica Digital. "No requería intervención por parte del usuario, podía pasar desapercibido y funcionaba en cualquier Windows moderno", añade.
EternalBlue había servido al Gobierno de EEUU para aprovechar un fallo desconocido en el 'software' de Windows e infiltrarse
Los virus informáticos como el de Baltimore se llaman ransomware o de "recompensa" y son más comunes de lo que parece. En España hubo 54 ataques contra infraestructuras críticas de la Administración en 2018, según datos del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). También hubo dos contra infraestructuras críticas en el sector privado. El CNPIC no revela los nombres de las empresas y organismos afectados.
Las 56 "infraestructuras críticas" atacadas con ransomware son, según la ley, "infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales". Los casos en los últimos años, según el CNPIC, no crecen porque dependen sobre todo de qué tipo de ransomware se pone de moda y funciona mejor.
El código usado en Baltimore se llama Robinhood, pero hay censados más de 700 por todo el mundo. Van por rachas o modas: ahora acaba de cerrar uno, GandCrab, que presumía de cobrar comisiones de las recompensas que obtenían sus "usuarios". Dicen que se han pagado 2.000 millones de dólares gracias a su virus.
La mayor filtración de la historia
En España hubo 54 ataques contra infraestructuras críticas de la Administración en 2018
La historia de EternalBlue va mucho más allá de la informática. En 2017 un grupo llamado Shadow Brokers publicó online unas herramientas, entre ellas EternalBlue. De repente estaba al alcance de cualquier Gobierno o banda criminal una de las mejores armas del arsenal estadounidense. Era como si hubiera un escuadrón de F-35 tirados en un aeropuerto cualquiera disponibles para quien supiera pilotarlos. La gran pregunta es cómo habían llegado allí.
El FBI detuvo en 2016 a Harold T. Martin, empleado subcontratado de la NSA, como Edward Snowden. En su casa encontraron montones de información clasificada, entre ella, las herramientas de hackeo que usaba la NSA para entrar en sistemas enemigos. ¿Alguien ayudó a Martin? ¿Quién siguió hablando por los Shadow Brokers después de su detención? Hay muchas preguntas sin respuesta. La filtración de Shadow Brokers fue peor que la de Snowden.
Cuando la NSA supo que su herramienta había sido robada, avisó a Microsoft para que parcheara el software. La acción es lógica, pero no deja de ser cínica: la NSA avisó a Microsoft que arreglara un agujero que ellos habían usado durante años. Microsoft lo hizo, pero no todos los sistemas del mundo se actualizaron en seguida.
Era como si hubiera un escuadrón de F-35 tirados en un aeropuerto cualquiera
De aquella filtración surgió el virus WannaCry en mayo de 2017. "WannaCry solo sirvió para provocar caos y para que EternalBlue perdiera todo su valor porque se dio a conocer", dice De los Santos. WannaCry fue un ransomware masivo. Fue como coger un escuadrón de F-35 para atracar bancos al azar: algo absurdo. Los atacantes reunieron "solo" unos 140.000 dólares de cerca de 400 ordenadores que pagaron.
El Departamento de Justicia de Estados Unidos imputó al programador norcoreano Park Jin Hyok por WannaCry. El origen por tanto está establecido. Aquel virus alcanzó unos 300.000 ordenadores, entre ellos varios hospitales públicos en Reino Unido, Renault, Telefónica, FedEx o los ferrocarriles alemanes.
Un mes después de WannaCry, llegó NotPetya. A través de los servidores de una empresa ucraniana que servía para hacer declaraciones de renta, NotPetya encriptó ordenadores de toda Ucrania y de multinacionales que tenían servidores allí. Afectó a 45.000 ordenadores de la red de Maersk, empresa de transporte marítimo. Para volver a restablecer el sistema tuvieron que recurrir a un disco duro en Ghana que se había desconectado de la red por una caída eléctrica un rato antes de que NotPetya destrozara todo el sistema. A la farmacéutica Merck, por ejemplo, le costó 870 millones en reparaciones. El principal sospechoso en este caso es Rusia.
Hasta ese momento, el ransomware había dependido sobre todo de la intervención incauta de usuarios: había que clicar por ejemplo en un mensaje falso. Pero gracias a la combinación de EternalBlue con otros, el virus reventaba ordenadores en cadena sin ninguna intervención.
¿Por qué vuelve ahora?
Todo eso fue en 2017. ¿Por qué vuelve a estar de actualidad? Porque ha vuelto a casa. La sede de la NSA está junto a Baltimore. Es como si armas fabricadas solo en Estados Unidos se usaran para atacar al país desde fuera. El uso preciso de EternalBlue en Baltimore está en discusión, pero la falta de precaución de la NSA, o de cualquier Gobierno, con este tipo de herramientas es un riesgo enorme.
¿Por qué las empresas y organismos públicos no actualizaron en seguida sus sistemas?
Ahora una gran arma de la NSA está en manos de cualquiera: "Una vez que esas herramientas están ahí fuera, pueden caer en manos de quien sea, incluso de unos niños", dice Ross Anderson, profesor de la Universidad de Cambridge. Dos años después ya no es sofisticada porque se han actualizado muchos sistemas, pero siempre habrá huecos.
La NSA no es el único responsable. Microsoft, al fin y al cabo, había publicado el parche para evitar el asalto de EternalBlue. ¿Por qué las empresas y organismos públicos no actualizaron en seguida sus sistemas? Hay, sobre todo, dos motivos: uno, hay grandes empresas que necesitan que sus sistemas estén en marcha las 24 horas y detenerlos para actualizarlos requiere de mucho esfuerzo; y dos, hay sistemas que funcionan bien con versiones antiguas y una actualización puede estropear el funcionamiento.
Hay un tercer motivo más difuso: negligencia. Las copias de seguridad, por ejemplo, son un recurso simple para restaurar sistemas si aparece un virus. "Hay una diferencia fundamental entre los equipos de seguridad y los sistemas en una empresa", explica Alfredo Reino, consultor en ciberseguridad. "Los sistemas se miden por cuánto tiempo funcionan, y si se cae algo tienen que levantarlo. Eso entra en conflicto con la seguridad. Cosas tan fundamentales como los permisos, parches y copias de seguridad, les parecen secundario. Y puede que lo retrasen o no lo hagan, no vaya a ser que se caiga".
Hay escáneres que buscan cuántos ordenadores aún no se han actualizado. Solo en Estados Unidos, hay más de 400.000. En España también hay muchos equipos al descubierto: "En el caso de ciudadanos particulares o empresas pequeñas donde el uso de software sin licencia (y sin actualizaciones oficiales) es más habitual, la incidencia de un ataque de estas características podría afectar a varios miles de equipos", dicen fuentes del CNPIC.
Eso no es lo peor. Lo peor es que Microsoft ha anunciado un nuevo parche este mes de mayo para un agujero que aún no se conocía. Es probable que alguien —¿un Gobierno?— lo haya estado usando como arma de espionaje. Es decir, quizá hay por ahí una herramienta para entrar en cientos de miles de máquinas sin actualizar. Las versiones de Windows por las que se cuela son más antiguas que EternalBlue, pero su alcance es aún un misterio.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.