:: eliax.com - ALERTA: eliax explica el WannaCrypt y cómo protegernos (ACTUALIZADO)

texto: A- A+

martes, mayo 16, 2017

ALERTA: eliax explica el WannaCrypt y cómo protegernos (ACTUALIZADO)
eliax id: 11517 josé elías en may 16, 2017 a las 12:04 PM ( 12:04 horas)

He aquí una explicación (y solución) que acabo escribir para DevelopersX.com para el tema del ransomware llamado "WannaCrypt" o "WannaCry" que atacó a todo el mundo en estos días pasados (esto es muy importante prestarle atención ya que el tema de seguridad aun no está cerrado y hay que protegerse urgentemente).

¿Cuál es el problema?
En días pasados un malware hizo estragos infectando máquinas con Windows en todo el mundo, y su modo de actuar es el de cifrar ("encriptar") todos los datos de tu PC con una clave que solo conocen los hackers y después pedirte un rescate de US$300 a US$600 dólares para que te liberen tus datos.

A este tipo de ataque se les llama "ransomware" que en español sería algo como "programa maligno basado en secuestrar tu información y pedir un rescate" (el inglés, como pueden notar, a veces es mucho más compacto que el español para fines técnicos).

Si no pagas, tus datos permanecerá para siempre cifrados y en esencia tendrás una PC con un disco duro inutilizable que solo serviría si lo formateas desde cero otra vez.

Y si pagas, te cobran en bitcoins, lo que de paso conlleva tener que lidiar con carteras digitales (y estas no son triviales de utilizar para el usuario común).

Específicamente, WannaCry te da un período de gracia de 3 días para pagar US$300 dólares, y para el cuarto día demandará US$600 dólares. Si llegas al séptimo día sin pagar, WannaCry borrará todos tus archivos y perderás tus datos para siempre.

Se estima que unas 57,000máquinas fueron infectadas en más de 150 países antes de detenerse el ataque temporalmente (detalles de cómo, en párrafos más abajo).

¿De dónde proviene esta vulnerabilidad?
Esta vulnerabilidad (llamada "EternalBlue" o más técnicamente "MS17-010") descubierta proviene de la NSA (la National Security Agency) en los EEUU, y había sido explotada por años por el gobierno de los EEUU para obtener acceso a cualquier PC con Windows del mundo que tuviera cualquier conexión a red. El software no necesita ser descargado por email, o necesita que se abra un archivo. Funciona con solo tener la PC contacto con una red en donde esté el malware (incluyendo el Internet público), y es esto lo que hace tan peligroso este malware.

Sucede entonces que unos hackers llamados "The Shadow Brokers" hicieron público este código (al estilo Wikileaks), y los hackers malignos no perdieron tiempo en darle uso.

Microsoft ya estaba al tanto de esta vulnerabilidad y hace par de meses atrás protegió a Windows 10 de este mal, y de paso para un grupo selecto de usuarios corporativos de alta envergadura que pagan un servicio de soporte especial, protegieron también todas las demás versiones de Windows hasta Windows XP.

Sin embargo después del ataque Microsoft ha sido fuertemente criticada por no hacer este "patch" (arreglo) disponible de forma gratuita y púbilca para todas las versiones de Windows anteriores, cosa que hizo posteriormente esta semana pasada.

¿Cómo se detuvo el ataque (temporalmente) y qué sucederá ahora?
Por pura coincidencia un investigador de seguridad británico notó que el malware trataba de conectarse a un dominio (una dirección en internet, como por ejemplo google.com o eliax.com o developersx.com), pero que ese dominio no existía, así que él procedió a registrarlo solo para ver qué sucedía y analizar el tráfico que enviaría el malware a ese dominio.

Sucede que en el momento que el investigador registró el dominio los ataques cesaron. Esto indicó que los hackers que hicieron el malware tenían un Plan B para detener los ataques en caso de que la situación se saliera de las manos, y este investigador por estar de curioso dio con el interruptor de apagar el ataque de forma totalmente inadvertida.

Ojo, que esto no significa que el malware no se sigue propagando, sino que ya no sigue actuando y cifrando los datos de las personas (siempre y cuando tenga conexión a Internet y detecte la existencia de ese dominio en particular que le indica no proceder).

Sin embargo, esto significa que estamos a salvo solo temporalmente de este malware, pues nada evita que los autores (u otros) modifiquen el código para crear una nueva versión que no preste atención a ese dominio, o que incluso sea más agresiva en la forma de propagarse.

Y yo al menos espero esa nueva versión muy pronto, pues existe un gran incentivo para que estos hackers continúen con esto, ya que con apenas las primeras máquinas infectadas los hackers ya han hecho más de US$50,000 dólares, y se esperaba que si el ataque no se hubiese detenido que la cifra aumentaría a posiblemente los Mil Millones de dólares según algunos estimados estadísticos.

Y si se preguntan cómo se saben estas cifras, pues se sabe debido a que con la forma de pago de bitcoins es trivial rastrear la dirección que acepta los pagos (aun esta sea anónima y nadie sepa quien la maneja), ya que la base de datos de transacciones de bitcoins es por diseño y su propia naturaleza totalmente pública y replicada en miles de servidores de Internet, y por tanto se puede saber con total exactitud cuánto dinero estos hackers están haciendo con este esquema (eso les da una idea de por qué bitcoins es tan usado por criminales como estos).

¿Cómo me protejo de este Wannacrypt (y otros similares en el futuro)?
Lo primero es que es sumamente importante hacer respaldos (backups) periódicos de tus datos, para por si ocurre algo como esto puedas al menos recuperar tus datos más recientes.

Otra opción es actualizar a Windows 10 que es una versión de Windows mucho más segura que versiones anteriores.

Otra opción es cambiarte al mundo de Apple y sus Macs, que aunque de vez en cuando también son vulnerables, no representan ni el 1% de todos los ataques que ocurren en el mundo, en donde la mayoría de ataques (literalmente el 99%) van dirigidos a Windows (o en el caso móvil, a Android).

Y otra opción es (en la medida de lo posible) adoptar más sistemas en la nube como Google Docs o GMail que mantienen todos tus datos remotos y protegidos.

Y por último, les dejo el siguiente enlace oficial de Microsoft en donde están las actualizaciones para Windows liberadas gratuitamente por Microsoft. Es URGENTE que instalen estas actualizaciones lo antes posible.

Noten que hay enlaces para las versiones en inglés de Windows, y otro grupo de enlaces para las versiones "localizadas" de Windows. Si tienen Windows en español utilicen ese segundo grupo de enlaces.

Si tu versión de Windows no aparece en la lista es porque debes utilizar el Windows Update (Actualización de Windows) que viene con tu PC para que este lo instale automáticamente.

Enlace de actualización contra el Wannacrypt

En nota aparte, noten que esto que ha ocurrido fue precisamente lo que predije ocurriría en mi predicción #58 para este año, que pueden leer en este enlace.

#eliax

Actualización 18 de Mayo 2017: Tal cual predije hace dos días, ya surgió una nueva amenaza que toma ventaja de la misma vulnerabilidad EternalBlue de WannaCry. Esta se llama "Adylkuzz" y utiliza el mismo mecanismo para infiltrar tu PC, pero a diferencia de WannaCry, lo que este nuevo malware hace es minar bitcoins en tu PC. Según estimados, el grupo de hackers que desarrolló esta versión es posible que ya haya amasado una fortuna equivalente a más de US$1 Millón de dólares.

Noten que aunque esta versión no te pide una suma de dinero ni te secuestra o daña tus datos, que utiliza el CPU (procesador) de tu PC para hacer una tremenda cantidad de cálculos pesados, lo que significa que pone a trabajar a tu PC de más, lo que significa que come parte de la memoria que otras aplicaciones pudieron haber utilizado, y de paso hace que tu PC se sienta considerablemente más lenta debido a la carga de trabajo que le pone a hacer a tu PC esclavizada de forma clandestina sin que sus usuarios sepan exactamente qué sucede.

autor: josé elías

32 comentarios

629,014 vistas

Opinión / Análisis , Predicciones , Tecno-Seguridad , Windows / Microsoft

Previamente en eliax:
Mañana se activa el virus Conficker en millones de máquinas ( mar 31, 2009)
Editorial eliax: La Era de los Cánceres Informáticos (mas allá de los virus) ( abr 14, 2009)
Virus pudo ser causa de accidente aéreo en donde 154 personas murieron. Opinión ( ago 23, 2010)
Virus Stuxnet amenaza con provocar estragos en equipos industriales y la sociedad ( sept 26, 2010)
¿Jefe de la Mafia Italiana ciber-asesinado por hacker? ( oct 16, 2010)
Pregunta a eliax: ¿Que es un ataque del tipo DDoS en Internet? ( feb 23, 2011)
Historia de Stuxnet, el virus digital más sofisticado de todos los tiempos ( jul 14, 2011)
Android recibe el 99.9% de todos los virus móviles a inicios del 2013 ( jun 3, 2013)
Alerta máxima de seguridad en Android con el troyano Backdoor.AndroidOS.Obad.a ( jun 9, 2013)
Increíble: badBIOS, un virus/troyano por ultrasonido de PC a PC. Explicación eliax ( nov 4, 2013)
Inicia la carrera de protección de impresiones 3D con Disarming Corruptor. Eliax explica ( nov 11, 2013)
Eliax explica: Heartbleed, el problema de seguridad más grande de Internet ( abr 14, 2014)
ALERTA: Descubren como espiar cualquier celular de cualquier red del planeta ( dic 19, 2014)
Crean sistema que transfiere las expresiones de tu cara a otra persona, en tiempo real ( oct 19, 2015)
Predicciones y Tendencias #eliax para el 2017 (ACTUALIZADO) ( ene 10, 2017)

Comentarios

Hola Elias, buena tarde, está pregunta tal vez sea tonta, pero tengo una duda, se puede quedar infectado un disco USB, que solo se conecta para respaldar la información?, el virus puede quedar en ese disco y activarse cuando se use de nuevo??.. Gracias y buen artículo.

#1 Antonio - mayo 16, 2017 - 03:33 PM (15:33 horas) (responder)

Este virus en particular se esparce por redes de datos (el vector inicial ocurre por email), no por memorias USB. Sin embargo hay virus que son simples ejecutables o archivos disfrazados, y si esos no los borras de tu USB podrían activarse siempre en equipos que no estén protegidos y que abran esos archivos.

#1.1 José Elías (enlace) - mayo 16, 2017 - 03:39 PM (15:39 horas) (responder)

volvió eliax¡¡¡ lo mejor del virus fue que volvieras a escribir. Saludos

#2 adastra - mayo 16, 2017 - 03:35 PM (15:35 horas) (responder)
Interesante que no recomiendas ninguna versión de Linux. Hay un por qué? O solo se te pasó?

#3 Walter - mayo 16, 2017 - 03:42 PM (15:42 horas) (responder)

Para el usuario promedio a quien este ataque está dirigido es mucho más fácil adoptar una Mac que una máquina con Linux (y ojo que recomiendo Ubuntu, pero por lo general a quien sabe lo que está haciendo o en entornos empresariales).

Linux todavía tiene muchos bordes por alisar para el usuario promedio que no tiene acceso a un técnico que lo ayude con pormenores.

#3.1 José Elías (enlace) - mayo 16, 2017 - 04:09 PM (16:09 horas) (responder)

Yo después de haber probado (un poco) MAC, y también Ubuntu, diría que no es más difícil usar Ubuntu que MAC. Aunque sí es cierto que Unbuntu en particular es más complicado de usar que Mageia, ya que Ubuntu y sus derivados tienen problemas cuando se usan con idiomas diferentes del inglés.

#3.1.1 anv - junio 5, 2017 - 09:15 AM (09:15 horas) (responder)

yo no ando en webs raras, solo miro webs de confianza y apenas veo mi correo de remitentes confiables y solo uso el wifi de mi casa,
igual estoy en riesgo?

#3.2 lelouch - mayo 17, 2017 - 12:53 PM (12:53 horas) (responder)

Esto con Linux no sucede

#4 Juan Pablo - mayo 16, 2017 - 07:49 PM (19:49 horas) (responder)
lo interesante es ver como se cuelga en la capa de red de windows. algo que seria mas importante para los manager network

#5 EMATRIX - mayo 16, 2017 - 08:42 PM (20:42 horas) (responder)
Me pongo a pensar en lo facil que fue desactivarlo, porque era acaso que el desarrollador tenia mucha fe en que nadie podria detectar o encontrar esa forma de contacto web que requeria el mismo software? es absurdo si te pones a pensarlo, pretender que algo que estaria en la vista de todos, hiciera caso omiso.

#6 jonas - mayo 17, 2017 - 06:51 AM (06:51 horas) (responder)
A uno de mis usuarios le cayó, pero es el script , por correo, lo tengo guardado, por si alguien lo quiere analizar.

#7 Omar Arias - mayo 17, 2017 - 07:31 PM (19:31 horas) (responder)
Saludos...
Pero los antivirus : ESET, Kapersky y otros lo detectan y lo solucionan verdad???. Gracias

#8 jorge21 - mayo 19, 2017 - 04:53 PM (16:53 horas) (responder)

1) No tiene solución. O pagas o pierdes todo.
2) Nunca te fíes de los antivirus. La mayoría de las veces son sólo un placebo.

#8.1 anv - junio 9, 2017 - 05:32 AM (05:32 horas) (responder)

Recuerdo un virus similar, el Locky. La computadora de mi padre se infectó con eso y era la misma modalidad, pedían rescate, aunque con un mensaje amable diciendo dónde ingresar y cuánto depositar.

Estuve buscando soluciones para eso y lo único que pude hacer es recuperar algunos archivos gracias a los temporales, pero parte de la información tuve que darla por perdida.

#9 Marco Ramos (enlace) - mayo 23, 2017 - 06:56 PM (18:56 horas) (responder)
Jajaja usuarios de windows... Eso les pasa por usar juguetes para cosas de grandes.

#10 Jonathan - mayo 25, 2017 - 06:55 AM (06:55 horas) (responder)
uff...menudo problema!
A ver cómo apañamos ahora.
Gracias por la info y felicidades por el blog.

#11 Click aqui (enlace) - junio 2, 2017 - 07:50 AM (07:50 horas) (responder)
Cada dia surgen nuevas amenazas. Y es un mundo al que siempre iremos un paso detrás. Las sugerencias planteadas son excelentes y me sumo a su utilización.
Cambie a Mac y me siento mucho mas tranquilo con la seguridad. Aunque no quiere decir que las amenazas para este sector no existan.

Excelente artículo, como siempre.

#12 aneudy patiño - junio 12, 2017 - 05:49 PM (17:49 horas) (responder)
Yo no se de virus, de raptos, de extorsión, de la evolución, de Dios, lo único que me interesa es si eliax volverá a como era antes

#15 El amigo - junio 22, 2017 - 01:54 AM (01:54 horas) (responder)
Yo estoy contenta con mi Mac, pero me gustaría que eliax regresase.

#16 Milena (enlace) - julio 23, 2017 - 03:12 PM (15:12 horas) (responder)
Lamentablemente yo sufrí la consecuencia de este virus meses atrás, terminé formateando mi PC.

#17 Joshua - julio 24, 2017 - 09:24 PM (21:24 horas) (responder)
Y se sabe si esta vulnerabilidad afecta a las páginas web?. Porque en nuestro negocio de desarrollo web siempre nos preocupa que este tipo de virus puedan afectar a nuestros diseños web.

#18 Jordán Díaz (enlace) - julio 26, 2017 - 09:52 AM (09:52 horas) (responder)

Un virus es independiente de la forma de propagación. Alguien puede tomar cualquier virus y modificarlo para ser entregado por vulnerabilidades de página web, sistemas de email, apps, protocolos, etc.

#18.1 José Elías (enlace) - agosto 2, 2017 - 06:46 PM (18:46 horas) (responder)

Eliax!!!! Volveeee

#19 Guido o - julio 26, 2017 - 03:42 PM (15:42 horas) (responder)
Me parece increíble que en pleno 2017 haya podido pasar esto. Me recuerda a los tiempos del virus I love you.

#22 Jorge (enlace) - julio 28, 2017 - 03:27 PM (15:27 horas) (responder)
El principal problema de esto es que la gente relacionará las criptomonedas (bitcoin) con actividades fraudulentas como esta. Y así la sociedad no se acabará de fiar de una de las tecologías del futuro.

Por todo lo demás, buen artículo eliax.

#23 Héctor (enlace) - julio 31, 2017 - 07:53 AM (07:53 horas) (responder)
Que paso Eliax??? No mas post???

#24 Angel - agosto 3, 2017 - 05:24 PM (17:24 horas) (responder)
Recuerdo haber pasado por algo similar con mi ordenador, un virus muy fuerte que borró toda la base de datos. Esperemos que no me vuelva a pasar. El problema es que se piensa que es fraudulento.

#25 Antonio Campos (enlace) - agosto 16, 2017 - 07:58 AM (07:58 horas) (responder)
Lo de los virus es como una enfermedad, por más que intentes ya no puedes trabajar tranquilo y la verdad que eso te quita tiempo de vida.

#26 Carlos (enlace) - septiembre 8, 2017 - 05:29 PM (17:29 horas) (responder)
El problema es cuando ataca a los que no sabemos casi nada de tecnologías y cualquier vendernos engaña. Muchas gracias por la información Eliax, siempre interesante.

#27 Ana Carmen (enlace) - septiembre 9, 2017 - 01:45 PM (13:45 horas) (responder)
Esto es hacernos un favor, con lo complicado que es trabajar con windows, gracias pro la explicación eliax.

#28 Manuel (enlace) - septiembre 11, 2017 - 05:05 PM (17:05 horas) (responder)
Hola a todos!
Soy estudiante de ingenieria informatica, y estamos ahora viendo temas de ciberseguridad, y me ha sido de gran ayuda para entender como funcionan este tipo de virus.
Muchisimas gracias por el aporte y seguir con el buen trabajo de este blog.

#29 Patau (enlace) - octubre 5, 2017 - 05:20 AM (05:20 horas) (responder)
Existen programas que detectan los virus en el tráfico de email Prefiero no nombrar marcas. La mayoría de los informáticos tienen sistemas implementados donde se detectan. Hay que optar por usar email gratuitos.

#32 Julia Socorro (enlace) - diciembre 10, 2018 - 01:03 PM (13:03 horas) (responder)

Añadir Comentario

tu nombre
tu email (opcional)
web personal (opcional)
en respuesta a...
comentario de caracteres máximo
5 + 1 =	requerido (control anti-SPAM)
¿De qué color es el cielo?:	requerido (control anti-SPAM)

"Eliax, gracias por aportar tus ideas. Vas a llegar lejos"

por "Juan Agustín" en oct 2, 2014