Saltar al contenido

¿Qué es WannaCry , cómo infecta y quién es el responsable?

Qué es WannaCry

WannaCry es un gusano de ransomware que se propagó rápidamente a través de varias redes informáticas en mayo de 2017. Después de infectar un ordenador con Windows, encripta los archivos en el disco duro del PC, haciendo imposible que los usuarios accedan a ellos, y luego exige un pago de rescate en bitcoin para descifrarlos.

Varios factores hicieron que la difusión inicial de WannaCry fuera particularmente notable: afectó a varios sistemas importantes y de alto perfil, entre ellos muchos del Servicio Nacional de Salud de Gran Bretaña; explotó una vulnerabilidad de Windows que se sospechaba que había sido descubierta por la Agencia de Seguridad Nacional de los Estados Unidos; y fue enlazada tentativamente por Symantec y otros investigadores de seguridad con el Grupo Lazarus, una organización de ciberdelincuencia que puede estar conectada con el gobierno de Corea del Norte.

¿Qué es WannaCry?

El software de rescate de WannaCry consta de varios componentes. Llega al equipo infectado en forma de un cuentagotas, un programa autónomo que extrae los demás componentes de la aplicación incrustados en él. Estos componentes incluyen:

    • Una aplicación que encripta y desencripta datos
    • Archivos que contienen claves de cifrado
    • Una copia de todos los archivos

El código del programa no está ofuscado y fue relativamente fácil de analizar para los profesionales de seguridad. Una vez lanzado, WannaCry intenta acceder a una URL codificada (el llamado kill switch); si no puede, procede a buscar y encriptar archivos en un montón de formatos importantes, desde archivos de Microsoft Office hasta MP3s y MKVs, dejándolos inaccesibles para el usuario. Luego muestra un aviso de rescate, exigiendo $300 en Bitcoin para descifrar los archivos.

¿Cómo infecta WannaCry a los PCs?

El metodo de ataque de WannaCry es más interesante que el propio ransomware. La vulnerabilidad que explota WannaCry reside en la implementación en Windows del protocolo Server Message Block (SMB). El protocolo SMB ayuda a varios nodos en una red a comunicarse, y la implementación de Microsoft podría ser engañada por paquetes especialmente diseñados para ejecutar código arbitrario.

Se cree que la Agencia de Seguridad Nacional de Estados Unidos descubrió esta vulnerabilidad y, en lugar de informar a la comunidad, desarrolló un código para explotarla, llamado EternalBlue. Que a su vez fue robada por un grupo de hackers conocido como los Shadow Brokers, que la liberaron el cogido el 8 de abril de 2017.

La propia Microsoft había descubierto la vulnerabilidad un mes antes y había lanzado un parche, pero muchos sistemas seguían siendo vulnerables, y WannaCry, que usaba EternalBlue para infectar ordenadores, empezó a propagarse rápidamente el 12 de mayo. Tras el brote, Microsoft criticó al gobierno de Estados Unidos por no haber compartido antes su conocimiento de la vulnerabilidad.