EC —Acá tenemos dos diferencias con respecto a hechos anteriores. Primero, la dispersión en el mundo…
SP —La escala global.
EC —No eran hechos puntuales, ocurrió todo simultáneamente. Y segundo, esa característica de que podía abarcar toda una red de una empresa o de una institución.
LB —De hecho creo que la explosividad de la propagación fue lo que hizo que se contuviera rápido. Cuando empresas tan grandes en Europa se vieron bloqueadas a raíz de este problema, la comunidad entera se puso a trabajar de forma muy fuerte. Un ejemplo fue Microsoft, que generó parches de seguridad para Windows XP, un sistema operativo que está discontinuado por completo. Ante la magnitud del problema, toda la comunidad se puso a trabajar, y creo que eso fue lo que hizo que se contuviera suficientemente rápido y que afectara poco a las Américas.
SP —Otra particularidad es que en este caso el ataque te deja inaccesible la información. Casos de virus de expansión masiva encontramos hace 10, 12, 15 años, ha habido virus que se hicieron muy famosos. Pero eran virus que a lo sumo te afectaban un poco la performance, te aparecía un cartelito en la pantalla. Este te secuestra la información.
EC —Ha habido hackeos conocidos y de gran impacto hace relativamente poco que dañaban un sistema.
SP —Lo dejaban inaccesible.
EC —Esto es otra cosa, le bloquean la máquina a la persona o a la empresa y le impiden el acceso a su propia información, información que a su vez es vital para seguir funcionando.
LB —Exacto. Y piden rescate.
EC —Imagínenlo llevado a un caso individual. Se ha hablado mucho de esta posibilidad: una persona a la que le capturan la máquina y le informan que todas sus fotografías personales, todas sus fotografías familiares que pueden estar guardadas en esa máquina a partir de ese momento resultan inaccesibles. O paga o las pierde.
SP —O paga una cifra que en este caso parecía que podía llegar a hacer pensar al usuario, porque US$ 300 dólares, que es más o menos lo que se pedía, era algo accesible. Eso lo hace muy invasivo y creo que es parte de lo que genera la alerta pública en el usuario corriente. El ataque de octubre del año pasado, el que dejó fuera de servicio a Twitter, a grandes empresas, es algo que el usuario corriente de repente no siente como algo personalizado, “es algo que pasa en las grandes corporaciones, me bloquearon un DNS, que no sé ni qué es”. Acá es “no puedo ver mis fotos”, me siento muy invadido y por eso se genera esta sensación de alerta.
EC —A mí me impresionó que afectara en particular a hospitales en el caso del Reino Unido. Ahí vemos una vulnerabilidad impresionante.
LB —Vimos empresas multinacionales muy grandes. FedEx en Estados Unidos, Telefónica en España, Vodafone, fueron afectadas empresas que tienen una estructura muy grande. […] le pega más al individuo.
EC —Si vamos a un hospital o a una red de hospitales, ahí nos estremecemos un poco más.
LB —Sí, pero yo pensaba: una afectación de una red de una gran compañía telefónica te deja sin celulares, no podés llamar a la policía, no podés llamar a bomberos. ¿Cuál es el impacto que puede llegar a tener eso en la sociedad civil? Lo que se vio acá es que estas cosas van a empezar a suceder, porque esto no es un caso aislado, es el principio de una nueva era de los cibercriminales. El impacto llega, ahora sí, al ciudadano de a pie, ya no queda circunscrito a las grandes organizaciones.
EC —Una de las tantas preguntas es: ¿en qué lío nos hemos metido al propiciar un avance tan fuerte de internet, la informática, etcétera? Pero ¿cómo fue posible este caso, qué debilidad aprovecharon estos hackers?
SP —Se explotaba una vulnerabilidad del sistema operativo Windows. Esto solo afecta a los sistemas operativos Windows, la vulnerabilidad aparece en el compartir carpetas de Windows, por eso se propaga por la red a través de los servicios de compartir carpeta. Esto ya había pasado con los virus anteriores silenciosos, como Ficker, que fue un dolor de cabeza también, pero era silencioso, se propagaba en todas las redes y el usuario ni notaba su presencia.
EC —¿Cómo que ni la notaba? ¿Entonces cuál era la utilidad del daño?
SP —Es lo que se conoce como botnet. El atacante genera máquinas zombis que hacen lo que el atacante quiera, independientemente de que el usuario sepa o no, la máquina la maneja un atacante.
EC —Esa es otra posibilidad, ya la habíamos mencionado en otras ocasiones, pero vale la pena explicarla un poquito mejor. El hacker o los hackers, la organización de hackers, lo que hace es tomar el control de una cantidad de máquinas en el mundo. Toma el control y espera el momento oportuno para usarlas para algo, y mientras tanto el dueño de la máquina no está enterado.
SP —No se entera. Y habitualmente las reutiliza múltiples veces: monta un ataque, el usuario siente que la máquina está más lenta, que no le anda tan bien; monta otro ataque, otro, e intenta pasar desapercibido. En este caso combina la capacidad de propagación, de replicación del virus, con la parte extremadamente agresiva del ransomware, que le dice al usuario “te bloqueo la máquina”. Como los virus de los 90, antes los virus eran extremadamente agresivos con la máquina del usuario. Eso lo hace extremadamente agresivo a este virus.
LB —Era una vulnerabilidad que se había mencionado con la revelación de WikiLeaks…
EC —¿La culpa de este ataque puede ser de la revelación de WikiLeaks?
LB —No, no, no exclusivamente. El parche de Microsoft fue liberado creo que el 12 o 14 de marzo de este año, con ese parche se solucionaba el problema.
EC —¿Qué es un parche?
LB —Un parche es una actualización de seguridad. Como cuando tu teléfono móvil te dice “tengo que instalar actualizaciones de seguridad” o Windows te dice “debo instalar actualizaciones de seguridad”, a lo que generalmente uno dice “más tarde, más tarde, mañana”. Eso es lo que en la jerga técnica serían los parches de seguridad.
EC —Son actualizaciones del sistema de seguridad del aparato.
LB —Claro, el fabricante va encontrando mejoras o problemas de seguridad y los resuelve mediante una actualización que te envía para instalar. De ahí la importancia de la instalación de estos parches de seguridad.
EC —Este parche de seguridad fue liberado por Microsoft en marzo, después de que se produjera la filtración de WikiLeaks. Es todo muy complicado, porque lo que reveló WikiLeaks fue una serie de sistemas que tenía la Agencia de Seguridad Nacional de Estados Unidos para infiltrar máquinas y hacer espionaje. Una de esas herramientas consistía en aprovechar esa debilidad de Windows. Microsoft reaccionó y divulgó el parche. Pero no todo el mundo había cargado ese parche.
LB —A veces se simplifica la situación diciendo: “¿Por qué las empresas no instalan el parche ni bien sale?”. Instalar un parche para un usuario doméstico es muy sencillo, pero en una gran corporación hay que verificar que ese parche, esa actualización, no afecte sistemas productivos del negocio, tiene que pasar por una serie de chequeos. Eso hace que entre que se libera un parche y la compañía lo puede aplicar haya una ventana de tiempo que es riesgosa, y ahí es donde tenés que tener en cuenta medidas adicionales de seguridad.
