El mundo se jalaba los pelos cuando muchas empresas e individuos veían esa horrible y atrevida notificación que “tus archivos están encriptados y tienes que pagar por ellos para liberarlos” o  conocido globalmente como el ransomware.

¿Qué paso realmente?

Desde tarde la semana pasada, se estaba escuchando de un código malicioso llamado WannaCry y es asunto de buscar llorar si no sabes que hacer o si no pudiste evitarlo.

El mencionado mal para computadoras con Windows, también conocido como WannaCrypt, WannaCrypt0r 2.0 0 Wanna Decryptores un gusano o “troyano” que encripta archivos al azar y fuerza al usuario a tratar de descifrar la llave para “liberar” los archivos o pagar a los hackers para que te envíen la llave para parar el ataque.

Aunque no es necesariamente un robo de información, obliga al usuario en muchas ocasiones en reacondicionar su computadora o dar un reinicio de fábrica, formateando desde cero el sistema operativo.

En el caso de WannaCry, fue BASTANTE inusual el alza de computadoras infectadas y de entidades de gran perfil como Telefónica de España, siendo la más afectada con lo sucedido y para colmo, se cree que WannaCry es una variante de EternalBlue, otro virus ransomware que está también dando dolor de cabeza.

Esto es en parte, gracias a la NSA y las ironías de la vida

Se cree fuertemente que The Shadow Brokers, quienes tuvieron su primera aparición en público el año pasado, dejando en la libre archivos que contenía herramientas de hacking de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés), incluyendo explotaciones de día cero que exploraban vulnerabilidades en Firewalls, sistemas de ventanas y sistemas antivirus.

Vaya seguridad de la agencia que se supone nos haga sentir seguros

Y por desgracia, algunos por ahí decidieron probar que tan poderosamente se diseña trampas en Internet y el “eureka” está dejando un mal sabor a muchos.

Se preguntarán, ¿cómo se propagó así de la nada?

Más bien, la necesidad de que Microsoft cuente con ayuda con watchdogs como Project Zero de Google y otros. Con esto mencionamos a EternalBlue.

EternalBlue aprovechaba una vulnerabilidad que la NSA explotaba al Server Message Block (SMB)  y hace dos meses, Microsoft emitió un boletín donde incluso parcheaba tan atrás hasta Windows XP y si Microsoft se vio en la necesidad de ir tan atrás con un OS que oficialmente ya no es soportado es porque la cosa es en serio.

Lamentablemente, el usuario es más bien el foco del problema (si no el problema mismo) y es la falta de educación, porque un denominador común de todas las infecciones fue caer en un esquema de phishing o aplicar en formularios que parecen legítimos  pero no lo son.

Por otro lado, se ha utilizado la trampa en correos electrónicos y mensajes con los que los atacantes tratan de robar su correo electrónico, contraseña, detalles de la tarjeta de crédito por razones maliciosas mediante la creación de un duplicado de un sitio web que es conocido por la víctima y cuando la víctima pone su información.

Como todo dentro de una red, que compartes un IP localmente en una empresa, es suficiente un SOLO usuario para que infecte la red completamente, puesto que muchos sitios de trabajo, una computadora maneja las redes, mientras que las que se distribuyen en oficinas, son “terminales” dentro de la red y si una se enferma, puede contagiar a todas.

Hace poco dejé que esto me pasara para hacer un rápido experimento y llegué a mi desafortunada conclusión, que realmente NINGÚN antivirus o “Suite de Seguridad” e de mucha utilidad si un ataque ha comenzado y estos son los pasos para identificar si te está pasando.

  • La computadora está más lenta de lo común.
  • Notas que el procesador se está acelerando sin muchos programas abiertos.
  • Latencia haciendo copy/paste.
  • Si llegas a encender el Task Manager, notarás un incremento de procesos desconocidos

Para los que se preguntan, esto fue con mi Microsoft Surface 3 personal, el cual no tenía nada comprometedor ni personal, ni de mi trabajo, pero naturalmente si quieres probar…no deberías usar tu computadora NI hacer esto en una red compartida.

He visto en algunos noticieros el hecho que dejar la computadora conectada al Internet es también sinónimo de peligro, pero yo digo que esto ya es ser paranoico siempre y cuando tenga tus sistemas de seguridad y el mismo sistema operativo totalmente actualizado.

…Y no, no se ha conocido que haya algún virus que se aloje en un router de manera permanente ni tampoco llega así de la magia, pero como todo en la vida, TEN CUIDADO con lo que compartes en Internet, ningún mal viene solo y SIEMPRE se auto invita.