NEGOCIOS

Así es como este veinteañero detuvo el peor ciberataque de la historia

En Inglaterra, este investigador de ciberseguridad de 22 años encontró la cura al ransomeware.

15/05/2017 12:05 PM CDT | Actualizado 15/05/2017 12:05 PM CDT

Luego de infectar a millones de sistemas en 150 países en todo el mundo, el ransomeware que causó el mayor ciberataque en la historia finalmente fue detenido.

Y en lugar de que fuera una gran organización de ciberseguridad la responsable de detenerlo, al también llamado virus WannaCry (Quierollorar) lo paró un investigador de ciberseguridad de 22 años de Devon, un condado al suroeste de Inglaterra, que se hace llamar @MalwareTechBlog.

Mientras trataba de buscar más información sobre el ransomeware, el investigador de ciberseguridad activó involuntariamente el interruptor que evita que ese malware -que es como se le conoce a un software malicioso- se active.

Una ola de ciberataques golpea en todo el mundo

Pero, ¿cómo lo logró?

Adentro del código del ransomware estaba oculta una rara petición que el virus hacía antes de atacar: buscaba si una dirección web en particular estaba registrada en esa computadora.

"#WannaCry La carga de propagación contiene un dominio no registrado previamente, la ejecución falla ahora que el dominio ha sido bloqueado", dijo Darien Huss.

Si no encontraba esa dirección web, el virus tenía luz verde y procedía a infectar la computadora a la que llegaba, encriptando su información para exigir un rescate.

Sin embargo, si la dirección web estaba registrada, el malware tenía luz roja y detenía su proceso de instalarse en la computadora y atacar.

Curioso de saber que pasaría, el investigador de ciberseguridad compró el dominio de la dirección web por la modesta cantidad de $10 libras (12 dólares) y, luego, volvió a abrir el virus.

Lo peor del virus 'ransomware' está por llegar este lunes

Y efectivamente, al encontrar que el dominio se había registrado en su computadora, el virus WannaCry dejó de instalar y robar la información. Realmente fue así de simple.

Entonces, ¿por qué el hacker crearía un interruptor que matara el virus dentro de su software?

Según lo que escribió en la página del Centro de Ciberseguridad Nacional de Reino Unido, @MalwareTech cree que ese interruptor fue diseñado para hacer que el malware fuera más difícil de detectar por los investigadores de seguridad cibernética.

Verán, en algunas situaciones las compañías de ciberseguridad crean "entornos arenosos" donde pueden atrapar un malware y, ahí, dejarlo que funcione sin riego para el mundo exterior.

En estos entornos es posible que la dirección web antes mencionada pareciera estar registrada, aunque realmente no lo esté.

En consecuencia, el interruptor era en realidad una forma de que el malware averiguara si se trataba de un entorno real o de un falso, lo que impidió que cayera en las trampas arenosas y que los investigadores de seguridad cibernética pudieran detectarlo.

El mundo vivirá segunda oleada de ataque cibernético el lunes

Lo que los hackers no consideraron era que alguien encontraría la página y la registraría el dominio en el mundo real.

Mientras que el investigador admite que no estaba consciente de que al registrar el dominio pararía el virus WannaCry, el hecho de registrarlo es parte de su trabajo de todos los días.

Usar un interruptor de este tipo es común y parte de su trabajo como investigador en ciberseguridad, pues todos los días, dice, registra cientos de dominios como parte de una medida de seguridad.

Entonces, ¿el virus WannaCry ha sido detenido para siempre? Tristemente no.

"Una cosa que es muy importante tener en cuenta", explica @MalwareTech, "Es nuestro solución sólo se detiene esta muestra y no hay nada que impida a los hackers la eliminación de la comprobación de dominio y volver a intentarlo, por lo que es muy importante que todos los sistemas sin parche se protejan tan rápido como puedan.

También te pude interesar: