Ataques ransomware WannaCry
De Wikipedia, la enciclopedia encyclopedia
Los ataques ransomware de la variedad WannaCry (en inglés WannaCry ransomware attack o Wanna Cry Doble Pulsar Attack), son ataques informáticos que usan el criptogusano conocido como WannaCry (también denominado WannaCrypt, WanaCrypt0r 2.0, Wanna Decryptor) dirigidos al sistema operativo Windows de Microsoft. Durante el ataque, los datos de la víctima son cifrados, y se solicita un rescate económico que debe ser pagado con la criptomoneda Bitcoin, para permitir de nuevo al acceso de los datos.[1][2][3][4][5]
Ataques ransomware WannaCry | ||
---|---|---|
| ||
Lugar | 150 países. | |
Fecha | Desde el 12 de mayo de 2017 | |
Tipo de ataque | Ciberataque | |
Perpetrador |
Hipotéticos: NSA o Park Jin Hyok | |
Motivación | Desconocido (probablemente una muestra de poder). | |
El ataque comenzó el viernes, 12 de mayo de 2017 y ha sido descrito como sin precedentes en tamaño, infectando más de 230.000 computadoras en más de 150 países.[6][7] Los países más afectados fueron Rusia, Ucrania, India y Taiwán, así como partes del servicio nacional de salud de Gran Bretaña (NHS), Telefónica de España,[8][9] FedEx, Deutsche Bahn, y las aerolíneas LATAM; junto con muchos otros blancos a nivel mundial.[10][11][12][13][14][15][16][17][18]
Los ataques ransomware normalmente infectan una computadora cuándo un usuario abre un correo electrónico phishing y, a pesar de que presuntamente correos electrónicos de esta clase serían los causantes de la infección WannaCry, este método de ataque no ha sido confirmado.[19] Una vez instalado, WannaCry utiliza el exploit conocido como EternalBlue, desarrollado por la Agencia de Seguridad Nacional de los Estados Unidos (NSA), para extenderse a través de redes locales y anfitriones remotos que no hayan recibido la actualización de seguridad más reciente, y de esta manera infecta directamente cualquier sistema expuesto.[20][21][22][23] Un “parche” crítico habría sido emitido por Microsoft el 14 de marzo de 2017 para eliminar la vulnerabilidad subyacente para sistemas soportados por Microsoft en la actualidad, lo cual se dio casi dos meses antes del ataque, sin embargo, muchas organizaciones no llegaron a aplicarlas.[24]
Aquellas máquinas usando sistemas más antiguos, para los que Microsoft no publica actualizaciones, como Windows XP y Windows Server 2003, se encontraban en una situación de riesgo, sin embargo Microsoft ha tomado la decisión inusual de publicar actualizaciones para estos sistemas operativos para todos los clientes.[25]
Poco después del comienzo del ataque, un investigador de seguridad web llamado Marcus Hutchins, conocido en la blogosfera como “MalwareTech” accionó sin advertirlo un “botón de apagado” propio del gusano, al registrar un nombre de dominio hallado en el código del ransomware. Esto retrasó la difusión de la infección, pero se han detectado nuevas versiones que carecen de este “botón de apagado”.[26][27][28][29][30]