Mapa que muestra los países inicialmente afectados por WannaCrypt. /User Roke (Wikimedia).

Quien estuviera el pasado 15 de mayo pegado a una pantalla para comprobar qué novedades había en torno al ransomware  WannaCry que tiene en jaque a buena parte del globo, pudo ver seguramente tuits afirmando que los cibercriminales no habían tocado el botín recaudado hasta el momento.

Esto, junto a la inclusión del kill switch en el código de WannaCry que limitaba su propagación y funciones implementadas en este ransomware que fallaban a la hora de determinar qué víctima había pagado el rescate, lleva inevitablemente a plantearse más interrogantes.

el “interruptor de emergencia” del malware era más fácilmente localizable de lo habitual y las funciones para determinar quién había pagado rescate fallaban

Fernando Acero, perito informático forense y experto en ciberseguridad y criptografía, recuerda a merca2 el dato ofrecido por la Casa Blanca el pasado 15 de mayo cuando desde ahí se afirmó que los atacantes habían obtenido menos de 70.000 dólares después de haber infectado más de 300.000 equipos.

Por ello piensa que precisamente por esto el motivo fue realmente económico, “aunque les haya salido relativamente mal”.

Ya que si se ataca a grandes empresas, lo más probable es que estas tengan sistemas de copias de seguridad eficaces, así que en principio no necesitarían pagar para recuperar sus datos.

El día 15 de mayo habían recaudado menos de 70.000 dólares después de haber infectado 300.000 equipos

Acero también fundamenta su razonamiento en que el único problema real que han causado a muchas de estas organizaciones es un parón en su funcionamiento cotidiano para eliminar el malware, poner las medidas necesarias para evitar nuevas infecciones y recuperar los datos desde las copias de seguridad.

Duda que haya un gobierno o alguien con capacidades avanzadas porque “el ataque no hubiera funcionado si los afectados hubieran tenido sus sistemas actualizados”, que es un principio básico de ciberseguridad.

El ataque no hubiera funcionado si los afectados hubieran tenido sus sistemas actualizados, sostiene un perito informático

Pablo F. Iglesias, analista de Información en Nuevas Tecnologías y SecurInfo, se decanta por la hipótesis contraria en sus respuestas a merca2. “Desde el punto de vista estratégico que hayan unificado pagos en muy pocas carteras les hace más susceptibles de ser rastreados”.

Se refiere a que, cuando hizo sus comprobaciones el viernes por la noche, había “tres o cuatro” carteras de bitcoin reconocidas a las que apuntan las distintas variantes de WannaCry.

Blockchain, la tecnología que se encuentra detrás del bitcoin, es anónima salvo que alguien tenga la capacidad y los medios “para controlar un porcentaje de nodos suficientes”, algo que como ilustra Iglesias sí podría estar al alcance de organismos como la NSA o la Interpol.

"WannaCry dinero pantallazo"
Pantallazo donde se muestra el texto de extorsión del ransomware WannaCry. /Wikimedia.

Acero pone sobre la mesa otra hipótesis: que los distintos monederos no tienen por qué ser necesariamente del mismo grupo atacante.

Esto es, “el hecho que los monederos se vinculen a distintas versiones del malware” así como su escaso número puede que sea porque hay “grupos distintos con acceso al código” de dicho malware.

Explica que “puede significar que hay distintos grupos que tras modificar el código están intentando sacar provecho de la situación de forma independiente”.

Tamara Hueso, ingeniera informática especializada en ciberseguridad, considera en su entrada en el blog Follow the White Rabbit que los atacantes han estado pidiendo cantidades extraordinariamente bajas.

Puede que las carteras habilitadas para recaudar el rescate no pertenezcan todas al mismo grupo atacante, puede que también alguien esté intentando sacar provecho de la situación

Las peticiones de rescate en 2016 alcanzaron una media de algo más de mil dólares por dispositivo. También tenemos el ejemplo del Centro Médico Presbiteriano de Hollywood que llegó a abonar 17.000 dólares el año pasado para recuperar sus archivos.

Las primeras muestras exigían 300 dólares, pero Hueso afirma a preguntas de merca2 que el promedio finalmente se ha situado en 643.

“¿Pudiendo chantajear a grandes empresas exigen solo esa cantidad?” Se pregunta esta analista. Por lo que para ella no habría móvil económico.

"WannaCry dinero ransomware"
Ramsomware. /Marco Verch (Wikimedia).

¿Y si el globo se les escapó de las manos?

En este punto Hueso e Iglesias coinciden en que bien pudo ser un ensayo que a alguien se le fue de las manos. También es cierto que ambos admiten que son meras cavilaciones a las que han llegado tras estudiar los hechos.

A veces la respuesta más sencilla es la correcta” comienza Iglesias, “quizá estemos ante una prueba de concepto de un ataque futuro” que ha escapado del control de sus creadores antes de hora.

Una prueba de concepto -PoC en su abreviatura en inglés- en lo que es quizá su definición más estándar es una demostración cuyo propósito es comprobar que determinados conceptos o teorías tienen el potencial suficiente para su aplicación en la vida real.

Los estragos causados por WannaCry puede que también se deban a un ensayo que se escapó de las manos

Iglesias barrunta esta posibilidad tras analizar no solo el comportamiento de los posibles atacantes al recaudar sino también la muy comentada situación del kill switch, que como ya se definió en un artículo anterior es una especie de interruptor de emergencia, por definirlo de manera muy básica.

Es muy raro que un malware de este tipo tuviera una puerta trasera tan clara que bloquea el funcionamiento del mismo”, reflexiona Iglesias.

Recordemos que algunas de las primeras variantes de WannaCry intentaban conectarse a un dominio, si ese dominio no respondía, es decir, si no había una página web o algún tipo de servicio digital en ella, entonces comenzaba a cifrar archivos.

Es raro que un ‘malware’ de este tipo tenga una puerta trasera tan clara para bloquar su funcionamiento, sostiene un analista

¿Por qué los cibercriminales iban a dejar algo así en su bicho a sabiendas de que más temprano que tarde alguien lo encontraría?”, insiste el analista.

Porque “es probable” que ese kill switch sea uno de los controles de seguridad que tenía el ransomware para probarlo en dispositivos.

El móvil es otro muy distinto al económico”, opina Hueso. “No sabría decir a ciencia cierta cuál, si un aviso, interés político o un PoC que se les fue de las manos”.

Según la analista se aprecia “que estaba todo perfectamente planeado, que el ransomware tuviera una ‘fuga’ o una vía de escape” no le parece algo fortuito y que además esto es solo “el principio de algo mucho más grande”.