Estoy, como algunos ya sabéis, coordinando con mis compañeros de SocialBrains estos días la parte comunicativa del Curso de Verano del CIGTR (ES), unas jornadas centradas en el impacto de la inteligencia artificial y el machine learning en el mundo de la ciberseguridad. Seguramente acabe escribiendo algo por estos lares, pero por ahora solo puedo recomendar los artículos publicados en la página del centro, que aunque no han sido escritos de mi puño y letra (gracias por el curro, Alfonso), parten de los apuntes que he ido tomando estas últimas jornadas.
Y por esa razón esta vez voy a seguir (toco madera) desde las gradas todo lo que está ocurriendo desde la tarde del día de ayer con el que a todas luces parece el sucesor espiritual de WannaCry: Un ataque de tipo ransomware que ha afectado ya a un buen número de organizaciones en prácticamente todo el mundo. Desde centrales nucleares por Chernobyl (EN), pasando por el Banco Nacional de Ucrania (UK), hasta pequeños y medianos negocios de la más diversa índole. Desde Ucrania (donde parece que el malware se ha ensañado), pasando por España, México, India, Dinamarca, Francia, Inglaterra (EN),...
Con WannaCry, de hecho, pecamos de dejarnos llevar en esas horas iniciales, aceptando como máximas especulaciones venidas a más, así que por ahora lo único que todos parecen estar de acuerdo es que hablamos de una o varias variantes de ransomware (que Kaspersky ya hablaba esta noche de versiones Petya y NotPetya (EN)) que se aprovechan, entre (quizás) otros vectores de ataque, de la misma vulnerabilidad que fue utilizada por WannaCryptor. Es decir, esa vulnerabilidad ya parcheada hace como tres meses por Microsoft.
Dejando de lado la parte de "TE LO DIJE" (manda huevos que una vulnerabilidad que hace apenas unas semanas tuvo en jaque a buena parte de las grandes organizaciones mundiales, y de la que hasta la propia Microsoft sacó actualización para versiones de su sistema operativo que llevan años sin soporte, sea nuevamente causante de otro estado de alerta global), me dispuse cuando llegué ayer a casa a responder a las preguntas que me había enviado un periodista, con tan buena fortuna que justo cuando estaba en ello me volvió a escribir para alertarme que los tiempos de redacción le forzaban a publicar la noticia ya, sin esperar a la fuente.
Así pues, y casi agradecido, me hago eco por aquí de su última pregunta, que venía a ser algo así como las razones por las que el rescate de este ransomware, como fue en el caso de WannaCry, asciende a tan poco dinero.
Un momento curioso para la industria del cibercrimen
Es algo que supongo que muchos lectores de esta página se habrán preguntado últimamente.
Ya expliqué lo raro que a muchos del sector nos había resultado WannaCry. Hablamos de un ransomware gusanizado, capaz de infectar otros dispositivos conectados a la red, y que hacía uso para ello de un vector de ataque ya conocido, con parche disponible, que lamentablemente no había sido parcheado en buena parte de las víctimas.
Por cómo estaba diseñado WannaCry está además claro que su objetivo era atacar redes corporativas (¿cuánta gente tiene en casa una red de dispositivos que además no están actualizados?), ergo, organizaciones. Pero en cambio, la parte operativa del rescate (el modelo de negocio de un ransomware) estaban muy mal implementada.
En vez de diferentes carteras de bitcoin dentro de una red en varios niveles para complicar el seguimiento por parte de las autoridades hasta el origen (el atacante), apenas había en los miles de pantallazos que el ransomware mostraba a sus víctimas, ¿tres? ¿cuatro carteras?
Es decir, que si de verdad se hubiera diseñado para ganar dinero (lo esperable de la industria del cibercrimen), lo suyo hubiera sido que esta pata del negocio fuera la que con más mimo se hubiera tratado. Hasta el punto que al menos hace unos días, cuando miré por última vez algunas de estas cuentas, todavía tenían el dinero, lo que me hace pensar que o bien no tienen prisa por cogerlo, o bien son conscientes de que tan pronto empiecen a operar con él las autoridades acotarán más el cerco.
En todo caso, una decisión de diseño errónea y absurda, presuponiendo que realmente ese fuera el objetivo.
Porque esa es otra. En este último ataque el rescate (que ya sabe que JAMÁS recomiendo realizar, máxime a sabiendas que hay caminos legales y seguros que hacer si somos víctimas de un ransomware que además salen mucho más baratos) asciende a la friolera de... 300 dólares en bitcoins. 300 míseros dólares. Hemos visto no hace mucho ataques de ransomware enfocados al sector sanitario que pedían por cada dispositivo miles de dólares de rescate. A fin de cuentas, y pensando como se entiende pensarán los malos, estamos atacando a una compañía. Qué menos que pedirles un precio acorde al precio de los datos que les estamos bloqueando ...
Todo esto unido al poco éxito real de estas últimas macro-campañas. Para cuando escribo esta pieza una de las carteras (EN) de este Petya, NotPetya o como diablos quieran que lo llamemos apenas asciende a 36 presuntas víctimas que han pasado por caja, y escasos 3 bitcoins. 36 víctimas de... ¿miles?
¿Y si el objetivo no es económico sino puramente ideológico?
Aquí quería llegar yo.
Me pregunto si no estaremos ante el principio de una vuelta a la esencia del cibercrimen. Esa en la que los "hackers" hacían sus maldades no por dinero, sino por diferentes y difusas razones que iban desde la parte puramente reputacional (demostrar lo listo que soy), hasta factores más cercanos al mundo del ciberactivismo, el anarquismo cyberpunk o la teoría del caos.
Dicho de otro modo: ¿Y si estos ataques únicamente tienen como objetivo desestabilizar el sistema?
No es por señalar a nadie, pero todo apunta a que Rusia ha conseguido estos últimos meses llegar a crear un mundo un poco más caótico gracias a ese supuesto hackeo masivo de las elecciones americanas con la ascensión de Trump. Por detrás, millones de recursos invertidos en generar un caldo de cultivo informativo emponzoñado. Millones de noticias falsas vertidas desde redes sociales, medios y demás farándula al más puro estilo propagandístico.
Se intentó, por cierto, recientemente en Francia. Y como expliqué en su momento no acabó funcionando.
Un ataque como WannaCry, o uno como el de estos días, podrían ser otra pieza más dentro de una caótica (y posiblemente descabezada) estrategia para generar un estado de alerta y desconfianza en el sistema. En el status quo que llevamos tejiendo, para bien o para mal, estas últimas décadas.
Una campaña orquestada por múltiples personas con múltiples intereses y sin una coordinación centralizada, que de pronto deciden poner a prueba los límites de la red. Una industria del cibercrimen testando ideas que lo mismo más adelante son refinadas para campañas con un fin económico claro. Pero que por ahora solo son "pequeñas" pruebas que hacen sonreír (y poco más) a los implicados.
No se trata de pensar en teorías de la conspiración. Es más, si lo hiciéramos caeríamos precisamente en el juego que algunos quizás querrían que cayésemos. Se trata de pensar out-of-the-box, intentando buscarle un sentido a una serie de infortunios cuyo sentido tradicional (el económico) no parece ser el eje motivador.
Todo con la idea de entender el mundo que nos rodea. Porque a día de hoy la seguridad corporativa se enfoca en la tipología de ataques estándar de la industria, no en campañas masivas y gusanizadas sin fines específicos.
Y eso, amigo mío, es un gran problema.
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure