El viernes 12 de mayo quedará marcado en la historia de la seguridad informática como el fúnebre triunfo del cibercrimen y, quizás, como el momento en que las organizaciones tomaron conciencia de las ramificaciones y consecuencias de una mala política de seguridad. Sí, estoy hablando de WannaCryptor. Pero, al margen de continuar analizando los pormenores técnicos de esta campaña de distribución y explotación, creo que vale la pena destacar otro aspecto que se desprende del pasado ataque y que ha pasado desapercibido, oculto tras la sombra producida por la asombrosa dimensión de los sistemas afectados...
Mientras releía las diferentes publicaciones que minuto a minuto iban surgiendo con el objetivo de informar las últimas noticias, una en particular llamó mi atención. Me refiero a este artículo, publicado por phys.org. A medida que avanzaba en la lectura, no pude evitar notar la variedad de rubros afectados por WannaCryptor: el gobierno, el transporte, las telecomunicaciones, los grandes almacenes de suministros, la educación y los organismos de salud fueron algunas de las industrias atacadas.
Esta es una faceta del ransomware que nunca antes había parecido tan real
Una frase en particular llegó a sorprenderme: “En Gran Bretaña, el ataque interrumpió la atención en el Servicio Nacional de Salud, forzando a las ambulancias a desviarse y a los hospitales, a posponer operaciones”. Si nos detenemos un segundo a pensar qué tienen en común los más de 200.000 equipos infectados, nos daremos cuenta que una buena porción de ellos forma parte de sistemas de infraestructuras críticas.
El Departamento de Seguridad Nacional de los Estados Unidos define a la infraestructura crítica como aquella cuyos activos, sistemas y redes, ya sean físicos o virtuales, son tan vitales para el país que su incapacidad o destrucción tendrían un efecto debilitante sobre la seguridad física, económica o pública, la salud, o cualquier combinación de estas. De hecho, en la última edición de nuestro informe de Tendencias, los investigadores Cameron Camp y Stephen Cobb dedicaron una sección completa al tratamiento de esta temática y sus posibles vectores de compromiso.
En reiteradas ocasiones durante los últimos años hemos reportado a través de WeLiveSecurity la importancia que reviste la seguridad en industrias como la educación y la salud, donde cada vez se observan más ataques. ¿Cómo podría operarse a un paciente cuya historia clínica, con el registro de sus alergias, se ha visto cifrada por un ransomware? ¿Qué pasa cuando el ransomware se expanda a otros dispositivos médicos de la IoT? Esta es otra de las tendencias en seguridad sobre las cuales Lysa Myers nos advertía hacia finales de 2016.
Aunque asumimos que el ataque del 12 de mayo solo buscó beneficio económico con base en las diversas nacionalidades de las redes indiscriminadamente afectadas a lo largo de más de 100 países, la pregunta no dejó de resonar en mi cabeza: ¿podría un ransomware, intencionalmente o no, interrumpir la normal operatoria de un país al punto de causar verdaderos estragos para sus habitantes?
Esta es una faceta del ransomware que nunca antes había parecido tan real. ¿Podría ser este el modus operandi del ciberterrorismo en los años por venir? Solo el tiempo lo dirá.