Reforma
2017-05-15
Ciudad de México– México se posicionó como el país más afectado de América Latina y quinto en el mundo por el software malicioso conocido como WannaCry, y que comenzó a esparcirse desde el viernes pasado, informó Dmitry Bestuzhev, director del equipo de Investigación y Análisis para Kaspersky Lab en América Latina.
Las infecciones se elevaron a más de 200 mil en el mundo, y México pasó del tercer al primer lugar en la región, superando a Brasil y Colombia.
Al ser cuestionado sobre los afectados en México y Latinoamérica, Bestuzhev dijo que no podía compartir nombres de empresas por la privacidad de las compañías, sin embargo señaló que el sector público fue bastante afectado.
“Algunas instituciones que están a cargo, que están relacionadas con el sector policial y vehicular, que manejan la emisión de las licencias, en cierto país de Latinoamérica han sido afectados, no se podían emitir las licencias o de repente para las multas de tránsito. Es un tema serio”, expresó Bestuzhev.
El pasado marzo, Microsoft publicó el parche que podría prevenir a los usuarios de los sistemas operativos de la compañía de sufrir ataques del ransomware.
A decir de Bestuzhev, la falta de pericia de los administradores, de las políticas de seguridad cibernética y las pocas precauciones de los usuarios desencadenaron las infecciones.
“WannaCry es una campaña dinámica que avanza según las facilidades que se presenten en cada país. Estas facilidades pueden ser una combinación de circunstancias, por ejemplo: la falta de parches de los sistemas operativos”, explicó el especialista.
Al monitorear las cuatro billeteras electrónicas de los cibercriminales de las que tiene registro, Bestuzhev encontró que se realizaron más de 230 transacciones de Bitcoins para rescate, lo que se traduce en aproximadamente 62 mil dólares, y dice que podría incrementarse en estos días.
¿Y qué es lo que sigue ahora?
El especialista de Kaspersky Lab advierte que esta agresión ha tenido tal éxito que es probable que se registren otros ciberataques con otras versiones maliciosas de ransomware o de otros malwares en el futuro.
“Al hacerlo, (pagar el rescate) lo que pasa es que los criminales obtienen lo que buscaban, y con obtener lo que ellos buscan, ellos siguen alimentando, entonces sus intenciones y proyecciones de seguir utilizando dichos ataques”, comentó.
Frenan la infección, mas no es suficiente
El fin de semana,un usuario en Twitter conocido como @malwaretechblog dijo que la empresa en la que trabaja monitorea y estudia maneras de detener botnets, por lo que investigó el caso y descubrió que el malware estaba conectado a un dominio específico, el cual no estaba registrado.
El investigador, quien declaró a The Guardian tener 22 años, compró el dominio por 10.69 dólares. Sin esperarlo, encontró un killer switch, una clase de botón de emergencia para apagar el código del ransomware.
En su blog escribió tres puntos en los que suelen operar estos casos:
1.- Buscan en botnets activos, los dominios con o sin registro expirado y los guían a un “sinkhole”, un servidor designado que captura el tráfico malicioso y previene que los criminales controlen los dispositivos infectados
2.- Obtiene los datos de la distribución geográfica y las estimaciones de infecciones, incluyendo direcciones IP para notificar a las víctimas de su infección y asistir a la aplicación de la ley.
3.- El último paso consiste en revertir la ingeniería del malware e identificar sus vulnerabilidades en el código, lo cual permitiría controlar el malware o botnet y prevenir su esparcimiento y uso, a través del dominio registrado.
A pesar de frenar las infecciones, el joven especialista insiste en que aún hay probabilidades de volver a experimentar ataques al no tomar las precauciones debidas.
“Siempre y cuando el dominio no sea revocado, esta cepa en particular ya no causará daño, pero parchen sus sistemas lo antes posible, ya que van a intentarlo de nuevo”, escribió en un tuit.