Si hay un premio a «malware del año», no hay duda de que el que se lo llevará, al menos por ahora (porque todo es susceptible de empeorar), es el infame ransomware WannaCry, que ha puesto en jaque a muchos sistemas Windows a lo largo y ancho del mundo y que hubiese sido peor de no ser por la acción «accidental» de un chico de 22 años llamado Marcus Hutchins.
Hutchins es un investigador británico de seguridad informática que adquirió fama entre el viernes 12 de mayo y el sábado 13 bajo el nombre de @MalwareTechBlog en Twitter cuando dijo en este servicio que había encontrado un interruptor de apagado de WannaCry y que lo había activado, lo cual ayudó quizá no a detener por completo la propagación del ransomware pero sí a ralentizarlo.
¿Y cómo lo hizo? Pues de una manera muy simple: registrando un dominio. Por lo visto, Hutchins descubrió que había una referencia a un nombre de dominio con letras aparentemente al azar escondido dentro del malware para rastrearlo. Así que probó a comprarlo, a ver qué pasaba. Y lo que pasó es que esta pequeña acción impidió que se continuara propagando con la misma intensidad que hasta el momento.
¿Por qué se detuvo WannaCry?
Que la compra del dominio contribuyó a enlentecer la expansión de WannaCry es algo que confirmaron desde empresas como Proofpoint, CISCO y Malwarebytes. Desde esta última, también explicaron a qué se debía probablemente el uso de ese dominio: al parecer, podría tratarse de un método de apagado insertado por los delincuentes o una «técnica anti-sandbox». Pero, sin importar la razón por la que se hubiera puesto el dominio ahí, al comprarse y habilitarse, WannaCry se detuvo. O al menos, como hemos dicho, se ralentizó.
Como señalan desde Malwarebytes, esto no quiere decir que el peligro terminase (ni haya terminado) pues cualquier otra variante de WannaCry podría volver a actuar. Aunque con todos los parches de emergencia que se han sacado hasta el momento se puede pensar que es poco probable que una nueva versión vuelva a causar los estragos que esta ha producido, eso no quiere decir que la amenaza se haya extinguido. Al fin y al cabo, el malware no deja de ser software, aunque malicioso. Y el código puede tomarse como base para realizar un nuevo ataque aprovechando nuevas vulnerabilidades.
Pero volviendo al protagonista de esta parte de la historia de WannaCry, Hutchins está actualmente colaborando con el Centro Nacional de Seguridad Cibernética del GCHQ (Cuartel General de Comunicaciones del Gobierno por sus siglas en inglés, uno de los servicios de inteligencia británicos) de cara a prepararse para otro posible ataque, el cual podría ser inminente según declaró a la BBC.
Cabe señalar que Hutchins no se ha colgado ninguna medalla por lo que él mismo ha admitido que fue una acierto completamente fortuito. Así lo dijo por Twitter y también lo contó en su propio blog.
I will confess that I was unaware registering the domain would stop the malware until after i registered it, so initially it was accidental.
— MalwareTech (@MalwareTechBlog) May 13, 2017
Pero aunque haya sido por accidente, eso no le quita el estatus de héroe a Hutchins. De no haber sido por su prueba de «a ver que pasa», los daños podrían haber sido mayores. Y ya fueron bastante altos.
WannaCry afectó no solo a grandes empresas como Telefónica, sino otras organizaciones como el sistema de salud británico, el NHS. Según Robert Wainwright, director ejecutivo de Europol, al menos 200 mil equipos fueron afectados a lo largo de 150 países diferentes, un número que cuando estés leyendo esto puede haberse incrementado. Y según un análisis realizado por la BBC, los delincuentes han recibido pagos por los rescates que han terminado acumulando una cifra (en Bitcoins) que supera los 28 mil dólares.
