“Vi que no estaba registrado y pensé, ‘quizá debiera hacerme con él”, escribió Huss, investigador de Proofpoint, en su cuenta de Twitter al ver que la solución, un tanto inusual y que evidencia un fallo de los propios atacantes, funcionaba.
Ambos estudiaron cómo era el procedimiento de WannaCry, que es como se ha nombrado al software malicioso que atacó a grandes empresas el viernes, entre ellas Telefónica, Fedex o el servicio de salud de Reino Unido (NHS).
Vieron que al proceder a atacar un nuevo objetivo, WannaCry (en español "quiero llorar") contactaba con un nombre de dominio (una dirección de Internet), que consistía en una gran cantidad de caracteres cuyo final siempre era “gwea.com”.
Dedujeron que si WannaCry no podía tener acceso a esa dirección comenzaría a funcionar de manera errante por la Red, buscando nuevos sitios que atacar, hasta terminar por desactivarse, como sucedió.
Así que, siguiendo esta lógica, se compró el dominio gwea.com. Lo adquirió en NameCheap.com por 10,69 dólares e hizo que apuntase a un servidor en Los Ángeles que tenía bajo su control para poder obtener información de los atacantes.
Tan pronto como el dominio estuvo en activo pudo sentirse la potencia del ataque, más de 5.000 conexiones por segundo. Hasta que finalmente terminó por apagarse a sí mismo, como un bucle.
Según ellos mismos han explicado a Daily Beast, es muy probable que el autor del código malicioso fuese consciente del fallo y lo mantuviera como un interruptor de emergencia para desactivarlo.
“Si no lo hubiésemos parado, hay casi un 100% de posibilidades de que hubiera seguido republicándose una y otra vez”, apunta, “mientras que la gente no ponga los parches eso va a seguir sucediendo”.
Ryan Kalember, de la empresa de seguridad Proofpoint, considera que el ingenio de esta pareja merece reconocimiento: “Merecen el premio al héroe accidental. Quizá no son conscientes de lo mucho que han ayudado a frenar que este ransomware (como se llama en el argot a los programas que exigen un rescate) se difundiera en todo el mundo”.
En el momento en que registraron el dominio que puso freno al avance del ataque, miles de ordenadores en Asia y Europa ya estaban infectados, pero apenas había avanzado en Estados Unidos, donde hubo tiempo para poner el parche e inmunizarse. La solución, que no ayuda a los que ya tienen sus máquinas infectadas, es posible que no sea definitiva. No hay una garantía sobre algunas variantes de este software malicioso que podría tener otros interruptores para darlos de baja.
Shadow Brokers, el grupo que dice haber robado las herramientas de ciberespionaje de la Agencia Nacional de Seguridad (NSA) y que compartió con Wikileaks a modo de denuncia, liberó este programa el 14 de abril. Una vez que se adentra en un PC, este encripta todos los datos de los ordenadores en los que se infiltra y pide un pago a cambio de desbloquear los archivos. En este caso la cantidad demandada por máquina fue de 300 dólares. Según los cálculos de Kaspersky Labs se registraron 45.000 ataques en 74 países.
@elpais
