El ransomware WannaCry (y también conocido como Wanna Decrypt0r o WCry entre otros) sigue siendo tema central de la actualidad tecnológica. Investigadores de seguridad de diversas empresas han estudiado el código y creen que este ciberataque masivo podría proceder de Corea del Norte.
Esa teoría se basa en el hecho de que WannaCry comparte código con el malware desarrollado por un grupo de crackers norcoreanos llamado Lazarus Group. Aunque eso haya ocurrido, esa no es una prueba definitiva de que el ataque haya procedido de allí, y de hecho cualquier cracker podría haber hecho lo mismo desde cualquier parte del mundo.
Reutilizando código de 2015
WannaCry se ha extendido a 300.000 máquinas en más de 150 países, afirman los expertos, y en el estudio de su funcionamiento se ha descubierto que el código hay partes que ya se utilizaron en el código de un backdoor llamado Contopee desarrollado por Lazarus Group en 2015.
Shared code between an early, Feb 2017 Wannacry cryptor and a Lazarus group backdoor from 2015 found by @neelmehta from Google. pic.twitter.com/hmRhCSusbR
— Costin Raiu (@craiu) 15 de mayo de 2017
Similitude between #WannaCry and Contopee from Lazarus Group ! thx @neelmehta - Is DPRK behind #WannaCry ? pic.twitter.com/uJ7TVeATC5
— Matthieu Suiche (@msuiche) 15 de mayo de 2017
Expertos en seguridad como Matt Suiche, fundador de Comaeio, explicaba en dos artículos en el blog de su empresa cómo el descubrimiento inicial de Neel Mehta, investigador en Google, estaba justificado. Al decompilar el código de WannaCry y de Contopee se podía ver cómo el funcionamiento del código era idéntico en parte de ambos malwares.
Esa conexión con Lazarus Group justificaría que el ataque procediese de Corea del Norte, algo a lo que se suma el hecho de que como indicaba Suiche, "su narrativa en el pasado ha estado dominada por la infiltración en instituciones financieras con el objetivo de robar dinero". El Symantec Security Response precisamente hablaba de ese malware hace un año.
Los argumentos son notables, pero no definitivos
Para este investigador el ciberataque masivo tiene un claro componente político, y según su opinión "esto indicaría que una nación extranjera hostil podría haber aprovechado las capacidades ofensivas que perdió el Equation Group para crear el caos global".
Since registering the 2nd killswitch yesterday, we stopped ~10K machines from spreading further - mainly from Russia. #WannaCry #OKLM pic.twitter.com/eQziRoq8UN
— Matthieu Suiche (@msuiche) 15 de mayo de 2017
El ataque sigue tratando de actuar y de propagarse, pero un segundo killswitch (un "interruptor de desactivación" consistente de nuevo en un dominio muy particular) ha logrado frenar su avance.
Corea del Norte en el punto de mira, pero podría ser cualquier otro país
Mientras tanto siguen los procesos que tratan de descubrir esa autoría y que por supuesto tratan de frenar definitivamente a un ransomware que ciertamente podría provenir de Corea del Norte. Habrá que esperar para saber si Lazarus Group dice algo al respecto, pero por el momento conviene ser cautos: ese código compartido existe, pero esa evidencia no es aún concluyente.
De hecho como indicanban en Cyberscoop "el código compartido no es lo mismo que la atribución. El código puede ser escrito y borrado por cualquiera, y el código compartido se reutiliza a menudo". Esa práctica es tan común entre desarrolladores y desarrollos convencionales como entre aquellos dedicados al mundo de la seguridad informática, tanto para bien como (y aquí tenemos un buen ejemplo) para mal.
El propio Suiche afirmaba que "la atribución se puede falsificar siempre, porque solo es cuestión de mover algunos bytes de un lado a otro". Los investigadores de Kaspersky Labs que también estudiaron esas similitudes en el código indicaban que "se necesita investigar más sobre el código de las primeras versiones de WannaCry".
En Symantec coinciden en esas valoraciones sobre lo poco definitivo que es ese descubrimiento: "aunque la conexión existe, por el momento solo representa una conexión débil. Seguiremos investigando para [encontrar] conexiones más sólidas".
En Xataka | Ni Linux ni macOS te salvarán del ransomware: la condena de Windows es su popularidad
Ver 40 comentarios
40 comentarios
yarlei
bueno bueno, que casualidad que sea korea del norte.... ahora se ha convertido en una amenaza global y debe ser ¨CASTIGADA¨.
aar21
Las pruebas serán las mismas que las de las armas de destrucción masiva de Irak.
juaner
Si hubiese pasado en los 80, en lugar de a Corea del Norte mencionarían a Rusia.
juanmartinez7
Ha sido Rajoy
myboo9632
Mames, sería lo mismo decir que fue Cuba, si quieren bombardear Norcorea que lo hagan, ni les valió un cacahuete soltar cincuenta y tantas bombas a Siria :v
hokusaionxataka
Ja ja estaba cantado. El culpable ha sido cualquiera menos los creadores del engendro que siguen trabajando en algún edificio de Virginia.
El zampabollos tecleó y metió el virus en interné mientras comía un bollicao.
Usuario desactivado
Donde dicen Corea del Norte quieren decir Estados Unidos ¿no?
whisper5
La mayor responsabilidad en este ataque es de los ciberdelincuentes que lo hayan realizado, eso está claro. Ahora bien, es muy revelador el silencio de todas las grandes empresas informáticas salvo Microsoft, que como el ataque ha sido dirigido a Windows se apresuró a echar balones fuera.
Lo cierto es que la seguridad informática está echa unos zorros y unas empresas se van culpando a las otras y nadie quiere abordar realmente el problema, aquí lo importante es ganar dinero.
Microsoft: las últimas versiones de Windows y algunos de sus parches son cada vez más problemáticos. Hasta tal punto que una vez lanzados públicamente Microsoft los ha tenido que retirar porque daban muchos problemas, en algunos casos inutilizando equipos informáticos. Los departamentos de informática de las empresas son cautos porque una actualización problemática puede hacer perder mucho dinero y credibilidad a una empresa. Se encuentran ante la disyuntiva de actualizar tarde y con garantías pero con el riesgo de tener equipos vulnerables, o eliminar vulnerabilidades cuanto antes pero arriesgarse a que los parches de Microsoft dejen fuera de juego a sus ordenadores o aplicaciones. El software está llegando a unas magnitudes que cada vez garantizan menos la seguridad. Esto Microsoft lo sabe y puso en marcha las versiones 'Preview' para que miles de usuarios por el mundo le hagan parte del trabajo de depuración de sus productos. Además, y tiene narices, los usuarios de Windows 10 Home no tienen opción a no instalar actualizaciones y así sirven de conejillos de indias antes de que usuarios profesionales y empresas actualicen sus equipos.
Apple: el mismo problema que Microsoft tiene Apple. Sus últimas versiones de iOS y macOS (antiguo OS X) dan cada vez más problemas y muchos usuarios deben sufrir los errores de Apple que se van subsanando con segundas, terceras, cuartas, etc. versiones que van apareciendo semana tras semana. Que empresas tan grandes y con tantos recursos estén generando tantos problemas dice mucho del estado caótico en el que está la informática.
Google: sufre el mismo problema, pero además es un ejemplo de la política de echar balones fuera y preocuparse sólo de lo propio. La inmensa mayoría de usuarios de Android del mundo tiene teléfonos y tabletas vulnerables, con versiones de Android que están desactualizadas y que nunca se actualizarán. Lo rentable es que te compres un dispositivo móvil nuevo. Aquí se van pasando la pelota de unos a otros: que si Google ya publica actualizaciones, que el fabricante dice que ya le gustaría actualizar pero que el fabricante del SoC del móvil no actualiza drivers, que si las marcas no quieren actualizar móviles baratos porque dicen que no queda margen, que al fabricante ya le gustaría actualizar la versión de Android pero es que la ha personalizado tanto que le resulta muy caro, etc. El caso es que los unos por los otros la seguridad de los dispositivos móviles hace aguas por todas partes.
Todos los equipos electrónicos conectados a internet son un caso aparte. Los fabricantes de routers abandonan su actualización y corrección de vulnerabilidades mucho antes de que termine su vida útil. Quieren conectar a internet televisores, lavadoras, frigoríficos, etc. sin políticas de seguridad eficaces. Los fabricantes de móviles esperan que cambiemos de móvil antes de dos años, pero esa vida tan corta no la aplicamos a televisores, lavadoras o frigoríficos. Además, llenan de sensores a esos equipos y los conectan a internet sin garantías. Así pasó hace unos meses cuando crearon una de las mayores 'botnet' que se conocen con equipos del llamado IoT (Internet de las Cosas) vulnerables. ¿De verdad creen que vamos a utilizar el Internet de las Cosas o los coches autónomos (ya han hackeado bastantes veces coches conectados a internet) si no se ponen a solucionar los problemas actuales? Solucionar esto cuesta dinero y mientras estas empresas sigan ganándolo no harán nada. Es triste que esperen a que la situación sea insostenible o dejen de ganar dinero para atender a todos lo problemas que causan en el mundo la falta de seguridad en estos momentos.
Me parece terrible e irresponsable que las empresas no hayan salido a dar la cara para reconocer que tenemos un problema y que van a trabajar conjuntamente para solucionarlo. Se van a olvidar del tema hasta que el siguiente ataque igual o más grave que el actual les haga hacer declaraciones, sólo si les afecta, para salvar su culo (como ha hecho Microsoft).
Me parece obsceno que muchas de estas empresas estén en comités y fundaciones para garantizar que en un futuro no se produzcan problemas causados por una, todavía inexistente, inteligencia artificial general (todo ello con gran rimbombancia y alboroto mediático) y en cambio los grandes problemas reales que tiene ahora la informática los ignoren (salvo sus parcelas propias de negocio).
jdelmoral
LOL máximo.
bangalter
Siguiendo esa lógica absurda, yo diría que han sido los chinos, porque los chinos lo copian todo y seguro que también han copiado el código. Venga hombre, no me jodas...
Usuario desactivado
Si claro jajajjajaja
sathwan
corea norte, gracias los 300 EUR que recibiría por ataque, podrá superar en PIB a eeuu y convertirse en una gran potencia mundial...
tbgs
Lo harían con un 286, de AMD que eran mas rápidos... en fin, vaya puto mundo tenemos.
tecnokamal
EEUU, no menten otras tonterías, sabemos que ha sido el centro de inteligencia de estados unidos y mas estando ahora Trump al cargo, son los que tienen la tecnología y los que suelen usar a crackers para su propio beneficio a cambio de librarles de penas e incluso ofrecerles puestos de trabajo. A mayores q la mayor parte de daño se lo ha llevado Rusia objetivo no claro por parte de Corea del Norte pero muy objetivo por parte de EEUU, que un dia es su aliado y al siguiente son sus peores enemigos.
ppkk1
De los creadores de "créanme: Saddam Hussein tiene armas de destrucción masiva" llega ahora...
luisbohorquez
mmmmm No me lo creo ni a tiros en especial cuando ley que el RamsonWare es una herramienta que EUA dejó perder
recuperar_archivos
No sería de extrañar, pero si no hay pruebas puede ser cualquiera
euromobel
Algo habrá que hacer para detener a estos locos de Corea del Norte.
r080
Señores occidentales, no busquen excusas, vayan y partan la cara al KimYongil que a nadie le va a parecer mal.