Cronología de WannaCry: así se expandió el virus que paralizó a medio mundo

Cronología de WannaCry: así se expandió el virus que paralizó a medio mundo

6 comentarios Facebook Twitter Flipboard E-mail
Cronología de WannaCry: así se expandió el virus que paralizó a medio mundo

El ciberataque que ya afecta a más de 230.000 equipos en 179 países según los datos de Europol comienza a mutar y los investigadores todavía no han encontrado rastro de los culpables ni si hay relación entre los cibercriminales que diseñaron el "ransomware" y los que programaron el gusano informático que explota las vulnerabilidades encontradas por la NSA.

Ésta es la cronología de WannaCry, uno de los virus informáticos más graves de la historia reciente:

Viernes, 12 de mayo: se informa de un ciberataque en Telefónica

  • La primera señal del virus llega desde la sede de la operadora española Telefónica. Sus empleados confirmaron a diversos medios que la dirección les solicitó apagar de inmediato los equipos informáticos: su red interna había sido comprometida.
  • Las primeras informaciones señalaban sólo el último punto de la cadena, un programa que secuestraba los ficheros de la máquina víctima y solicitaba un rescate económico, a pagar en bitcoins, para recuperarlos. Pronto se detectó que ese ejecutable era distribuido a través de un gusano informático que aprovechaba una vulnerabilidad que almacenaba la NSA, que Shadow Brokers filtró y que Microsoft parcheó.
  • El Centro Criptológico Nacional publicó rápidamente un comunicado alertando de la situación y aclarando conceptos básicos sobre el ataque. El pánico comenzó a sembrarse en las organizaciones y empresas españolas, que negaron cualquier incidencia pese a que se han confirmado ya más de 1.000 casos en España.
  • Telefónica, ante la tormenta mediática, publicó un escueto comunicado.

El virus se propaga a los hospitales de Reino Unido y se convierte en una amenaza global

  • La infección comenzó a propagarse sin control y se informó de los primeros casos dentro de al menos 16 hospitales de Reino Unido. El fenómeno se convirtió en global. Theresa May, la primera ministra, aseguró que "no ha sido un ataque expresamente dirigido contra el Servicio Nacional de Salud" y recalcado que "no hay indicios de que la información de los pacientes se haya comprometido".
  • También llego a Estados Unidos. La compañía FedEx realizó un comunicado en el que confirmó que sus sistemas estaban experimentando interferencias debido al "malware". Los empleados, a través de redes sociales y Reddit, comentaron cómo la infección había detenido numerosas cintas claves para la entrega de pedidos.
  • Expertos de ciberseguridad independientes de todo el mundo comenzaron a investigar los entresijos y enigmas del ataque. Las grandes compañías de seguridad alertaban de un número alarmante de infecciones que seguía aumentando exponencialmente.
El "ransomware" era sólo una parte del ciberataque,
  • Pronto se confirmó que el "ransomware" era sólo una parte del ciberataque, un ejecutable portable que cifraba los ficheros a cambio de un rescate. La infección se propagaba a través de un gusano informático que explota una vulnerabilidad en el protocolo para compartir en red Samba.
  • La vulnerabilidad fue explotada por la NSA para sus propios fines. Shadow Brokers logró acceder a su documentación y lo filtró con la ayuda de Wikileaks como altavoz. Los cibercriminales detrás de este ataque masivo usaron esta información.
  • El joven británico conocido por el pseudónimo "MalwareTech" se convirtió en el héroe de la noche deteniendo la propagación del virus. El investigador descubrió que la propagación podía ser detenida al controlar el servidor al que llama el programa malicioso. Así fue, por apenas 10 dólares, MalwareTech logró activar el "kill switch"; el botón de apagado de emergencia del ciberataque masivo.
  • Este interruptor pude interpretarse como un fallo en el ataque, aunque la hipótesis que cobra más fuerza ahora mismo es la de que los delincuentes lo hicieron a propósito para controlar su propagación o como un simple experimento. La forma tan "amateur" de enviar el dinero a carteras de bitcoins aumenta el valor de ésta.

Sábado, 13 de mayo: el ciberataque siguió arrasando

Sede Nsa Fort Meade Maryland 1475699448479
  • El fabricante de vehículos francés Renault, la japonesa Nissan y el Ministerio de Interior ruso se vieron afectados. El virus ya se había propagado por un centenar de países afectando a más de 90.000 equipos, según las compañías de seguridad informática.
  • Microsoft, en una maniobra inaudita, decidió publicar un parche para solventar la vulnerabilidad en Samba para sistemas operativos ya no soportados como Windows XP.
  • El ataque dejó en evidencia a las compañías y organizaciones que no instalaron un parche de seguridad crítico publicado dos meses antes de la expansión del ataque.
  • Algunas empresas, como Telefónica, se escudaron en la importancia que tiene asegurar que un parche no interrumpa el funcionamiento de los equipos y negocios. Chema Alonso dio su versión en su blog.

Domingo, 14 de mayo: Microsoft denuncia el rol de los gobiernos en los ciberataques

Lunes, 15 de mayo: China detecta una nueva mutación del virus

  • China descubrió una nueva versión del virus que se ha saltado las medidas de seguridad implantadas tras el primer ataque.
  • Europol aumentó el número de víctimas hasta los 230.000 en 179 países.
  • Investigadores independientes hallaron similitudes entre el "ransomware" y los códigos que ha empleado el grupo de cibercriminales Lazarous Group vinculado con Corea del Norte. Todo parte de un enigmático tuit publicaco por un ingeniero de seguridad de Google. Symantec y Kaspersky hallaron estas similitudes, y aunque no pueden certificar la autoría del grupo, creen que es suficiente para abrir una investigación más profunda.
Comentarios cerrados
Inicio