Hace algo unas semanas, el misterioso grupo de hackers conocido como Shadow Brokers liberaron en Github un conjunto de herramientas de hackeo acerca de las cuales se dice que pertenecían al Equation Group de la NSA. A partir de esa liberación, cientos de miles de computadoras con Windows se vieron comprometidas.
Estas herramientas estaban dirigidas a versiones anteriores del sistema de Redmond. Concretamente a Windows XP, Windows Server 2003, Windows 7 y 8, y Windows 2012. Microsoft reaccionó rápido y liberó parches dirigidos a cubrir todas las vulnerabilidades de las que se estaba sacando provecho. Sin embargo, parece no haber sido suficiente.
Muchos investigadores realizaron escaneos masivos a través de Internet después de que el malware supuestamente de la NSA se pusiese a disposición pública. Sus resultados fueron desalentadores. Por ejemplo, desde la empresa suiza Binary Edge detectaron que había más de 107 mil equipos infectados con DoublePulsar, un «implante» de espionaje. Otro escaneo hecho por Rob Graham, CEO de Errata Security, ofreció un número bastante menor pero igualmente alto: en torno a las 41 mil computadoras. Desde Below0day, el número también fue menor, pero más cercano a la cifra anterior: 30 mil máquinas afectadas, la mayoría de ellas en Estados Unidos.
DoublePulsar es un backdoor o puerta trasera que se usa para inyectar y ejecutar código malicioso en sistemas infectados. Se instala usando el exploit EternalBlue que apunta a los servicios de intercambio de archivos SMB en Windows desde XP hasta Server 2008 R2. Una vez instalado, DoublePulsar hace uso de las computadoras secuestradas para enviar más malware, spam y realizar ataques cibernéticos contra otros equipos. Para hacerse indetectable, este backdoor no escribe ningún archivo en las PC que infecta, de manera que no persiste una vez que la máquina se reinicia.
El problema aquí va en dos sentidos. El primero de ellos es que hay muchos usuarios que posponen las actualizaciones del sistema a veces incluso semanas. Sí, a todos nos incomoda que en mitad de nuestra actividad nos aparezca un mensaje diciendo que se tiene que aplicar una actualización. Pero las actualizaciones nunca son en vano y además de aportar mejoras al sistema operativo, también buscar solucionar problemas como este.
El otro sentido, y más grave aún, es que las herramientas están enfocadas a versiones del sistema de Microsoft que ya no reciben actualizaciones de seguridad, como Windows XP y Windows Server 2003, lo cual hace a las máquinas que las tienen instaladas muy vulnerables a este tipo de ataques. Debido a esto es que varios investigadores esperan que el número de equipos afectados por DoublePulsar siga creciendo.
Por lo tanto, también son dos lecciones las que nos deja este suceso: la primera, que siempre debemos actualizar lo antes posible nuestro sistema operativo, sobre todo aquellas personas que no están atentos a la actualidad tecnológica, pues suelen ser lo que más tendencia tienen a desentenderse de la importancia de las actualizaciones. Y la segunda, que hoy en día contar con un sistema operativo antiguo puede convertirse en un grave problema. Ya no se trata solo de poder aprovechar las mejoras que se han hecho en versiones más modernas, sino que también se es más vulnerable a ataques de este tipo.
