Una simple acción de un joven de 22 años, conocido en Internet con el nombre de MalwareTech, logró contener parte del ransomware de escala mundial y “dimensión nunca antes vista” que afectó a instituciones y empresas de casi 100 países.
MalwareTech se encontraba la noche del viernes pasado analizando el código detrás del programa malicioso cuando hizo un descubrimiento que resultaba evidentemente extraño. El software, llamado WannaCry, se estaba esparciendo al usar una extraña dirección de Internet, pero notó que esa dirección no llevaba a ningún sitio.
Eso se debía a que nadie había registrado ese dominio, es decir, la página base en la red la cual funcionaba como base para esparcir el virus y activar su daño. Al notarlo, MalwareTech pagó los US$ 10,69 para comprar la dirección web, y al ser el propietario pudo acceder a los datos analísticos y tuvo una idea de cómo estaba funcionando este ransomware. Y no solo eso: al registrar la dirección también notó que el software malicioso se detuvo.
“En realidad, en parte fue por accidente”, dijo en una charla con la BBC. Su hallazgo hizo que potenciales víctimas en todo el mundo, tanto instituciones privadas como del gobierno, evitaran perder miles de millones de dólares.
Desde el viernes, la campaña masiva de ransomware, un ataque en el que los perpetradores piden dinero a cambio de liberar el acceso a los sistemas, afectó a instituciones de Reino Unido, Estados Unidos, China, España, Italia, Vietnam y Taiwán, entre otros, pero principalmente de Rusia.
Entre los más afectados estuvo el Servicio Nacional de Salud británico, la empresa española Telefónica, el fabricante de vehículos Renault, y el servicio de mensajería de FedEx.
Primero se creía que el virus tenía una especie de “interruptor de apagado” para detener la propagación del ransomware, en caso de que las cosas se salieran de su control para su creador. Si ese fuera el caso, el acto de registrar la dirección web misteriosa activó ese interruptor.
Pero luego de horas de análisis, MalwareTech piensa que no era ese el caso, sino una manera de detectar si el malware se estaba ejecutando en una “máquina virtual”.
Mientras que un ordenador real no era capaz de acceder a la dirección registrada por el joven de 22 años, una máquina virtual podía obtener respuesta artificialmente y dar por válido el sitio como real.
“Mi registro (de la dirección) causó que todas las infecciones a nivel mundial creyeran que estaban dentro de una (máquina virtual) y salieran… por tanto, mi intencional acción previno la propagación y posterior petición de rescate de los ordenadores”, describió MalwareTech, según consigna www.bbcmundo.com.
El investigador ha sido llamado un “héroe accidental” por frenar la propagación del virus. Si bien parece haber detenido una cepa de la propagación del virus con el registro de la dirección web, esto no significa que el ransomware en sí haya sido detenido.
“Es muy importante que la gente actualice su sistema”, planteó MalwareTech, con los parches de seguridad que ofrece Windows para evitar la entrada de este virus. Los expertos en seguridad han advertido que podrían aparecer nuevas variantes de WannaCry que ignoren al “interruptor de apagado”.
“Esta variante no debe estar extendiéndose más lejos, sin embargo, es casi seguro que habrá imitaciones”, dijo el investigador de seguridad Troy Hunt en un blog.
MalwareTech advirtió: “Hemos detenido este, pero habrá otro que venga y no va a poder ser detenido por nosotros. Hay una gran cantidad de dinero en esto, no hay ninguna razón para que se detengan. No es mucho esfuerzo para ellos cambiar el código y empezar de nuevo”, alertó.