EXPERTOS EN SEGURIDAD RASTREAN LA INFECCIÓN INICIAL

El dedo acusador por el ciberataque apunta a Moscú

Los políticos en Kiev culpan al Kremlin y según analistas hay evidencias "sólidas" de que el virus se inició en Ucrania. Sin embargo, se vieron afectadas empresas rusas

El ciberataque global que golpeó a algunas de las compañías más grandes del mundo fue rastreado por expertos en seguridad hasta la infección inicial en Ucrania, donde los políticos acusan a Moscú de orquestar el virus ransomware.

Los expertos en seguridad informática aseguraron que Ucrania fue el país más golpeado. ESET, la compañía de ciberseguridad y antivirus, informó que sus datos indican que más de tres cuartas partes de las infecciones que tuvieron lugar en todo el mundo fueron en el país.

Bogdan Botezatu, analista de seguridad en Bitdefender, una de las empresas de antivirus más grandes del mundo, señaló que "tenía sólida evidencia" de que el ransomware, conocido como NotPetya o Goldeneye, comenzó con una actualización de un software proveniente del estudio contable ucraniano MeDoc.

Ese hallazgo, basado en telemetría y datos internos provenientes de una serie de clientes ucranianos de Bitdefender, generó significativas dudas sobre quién es el responsable.

Ucrania, que combate a los separatistas respaldados por Rusia en el este del país desde que Moscú anexó la península de Crimea en 2014, repetidas veces acusó al Kremlin de provocar ataques cibernéticos como parte de una "guerra híbrida" más general, incluyendo un hackeo que dejó grandes partes del oeste del país sin energía a fines de 2015.

Dmytro Shymkiv, vicedirector de la administración presidencial de Ucrania y ex ejecutivo de Microsoft, dijo a Financial Times ayer que el espectro general y el foco geográfico del ataque dejó "en claro que el virus se originó en un país hostil a la nación de Ucrania... Hoy hay sólo uno: Rusia".

El vocero del Kremlin Dmitry Peskov dijo a los reporteros que Rusia no sabe quién estuvo detrás del ataque. El virus ayer demostró señales de desaceleración, ya que se vieron afectados sólo unos pocos grupos asiáticos.

El ransomware, aprovechando la misma vulnerabilidad que el virus WannaCry que el mes pasado se propagó en varias organizaciones desde el Servicio de Salud Nacional británico hasta FedEx golpeó numerosas computadoras el martes.

El software malicioso usó la encriptación para evitar que los usuarios accedan a sus computadoras, y exigía un rescate de 300 dólares en bitcoins a cambio de devolver los datos. A diferencia de la mayoría de los ransomware, no sólo encripta archivos, de los cuales las compañías pueden hacer un backup, sino que afecta la capacidad de operar de la máquina.

Adam Meyer, vicepresidente de Inteligencia en CrowdStrike, una compañía de ciberseguridad, dijo que el software era particularmente "traicionero" porque podía afectar máquinas sin acción humana.

El daño que provocaba el virus WannaCry se logró detener cuando un experto en seguridad descubrió el llamado kill switch (un interruptor de apagado de emergencia en el código del malware), lo que impidió que siga propagándose el virus una vez activado. En este último ataque, apenas se habla de un kill switch para una versión.

Eric Chien, de la compañía de ciberseguridad Symantec y autor de la investigación sobre el famoso ataque del gusano Stuxnet, sostuvo que éste último podría convertirse en un "malware de autopropagación eterna" si no surge un kill switch.

Este ransomware parece haber intentado aprender de las lecciones de WannaCry, cuyos desarrolladores no anticiparon la rapidez con la que podía extenderse.

No se sabe exactamente quién estuvo detrás del ataque. No hay evidencia aún de que sea el mismo grupo responsable de WannaCry. El jefe de seguridad nacional de Ucrania, Oleksandr Turchynov, habló de una "huella rusa". No obstante, la petrolera rusa Rosneft y Evraz, la mayor siderúrgica del país, también se vieron afectados.

 

Tags relacionados