El pasado viernes 12 de mayo, más de 200 mil computadoras en 150 países alrededor del mundo fueron afectadas por una agresiva campaña de ransomware llamada WannaCry, WannaCrypt0r o WCry. Se le llama “ransomware” porque cifra los documentos de una computadora y exige el pago de una suma de dinero para devolver los archivos a su estado original. Es decir, los archivos quedan inaccesibles hasta que se paga el rescate. Lo que ha hecho famoso al ransomware WannaCry es la capacidad y métodos utilizados para propagarse: fue demasiado rápido, desatando una crisis cibernética. Cuando empresas como Deutsche Bhan, Telefónica España y el Sistema Nacional de Salud (NHS) de Inglaterra recibieron el virus, los trenes se detuvieron, las líneas telefónicas dejaron de funcionar y los hospitales no pudieron tomar rayos X.
¿Qué pasó? ¿Se podía prevenir? ¿Y qué rol juega Estados Unidos en esta crisis?
Como contexto, el año pasado un grupo llamado “Shadow Brokers” hackeó a la National Security Agency (NSA) e hizo públicas todas sus “ciberarmas”. Se les dice “armas” porque, mediante ellas, la agencia más poderosa de espionaje del gobierno estadounidense explota vulnerabilidades y errores en plataformas comerciales de Apple, Microsoft o Android -comúnmente utilizados- para saber todo lo que sucede en sus sistemas. No es necesario dar clic: es un defecto de fábrica que nadie conoce, y que permite a la NSA entrar a teléfonos o computadoras.
WannaCry aprovechó una de las vulnerabilidades hechas pública por Shadow Brokers para atacar Windows. Técnicamente, se trataba de un fallo en SMBv1, que se utiliza para acceder de manera remota a un computador e intenta infectar a más computadores, generando una cantidad de direcciones IP públicas aleatorias y escaneando los computadores vulnerables de la red local en que se encuentra (de la oficina o de la casa donde está conectado el computador infectado).
En su momento, las preguntas más importantes fueron: ¿se puede prevenir infección? ¿conviene pagar para recuperar la información? Sin embargo, lo primero era corregir las vulnerabilidades. En Marzo de 2017 Microsoft hizo pública una actualización que corrige la vulnerabilidad utilizada por WannaCry para infectar nuevos computadores, por lo que la medida básica para prevenir cualquier infección del ransomware es mantener actualizado Windows. Esta es una responsabilidad que tenemos los usuarios y usuarias en el mundo: es importante actualizar.
Otras medidas para prevenir el ataque son deshabilitar SMBv1, y aplicar reglas de firewall para bloquear el acceso por defecto al puerto 445, pero si el computador ya está infectado con el ransomware, lo más importante es revisar si existen respaldos de la información. En general, WannaCry infectó redes institucionales o corporativas que debiesen tener respaldos de la información de las estaciones de trabajo, en cuyo caso los encargados deben volver a instalar el sistema operativo y restaurar los respaldos previos a la infección. De cualquier manera, no era recomendable pagar, dado que de ningún modo garantizaba la devolución de la información en su estado original.
Es importante resaltar que la NSA jugó un rol crucial en esta crisis. Como agencia de inteligencia no solo se ha encontrado con estos fallos sino que los ha buscado activamente para obtener ventajas competitivas ante conflictos que se desarrollan en el espacio virtual, además de utilizarlos en contra de los usuarios. Es decir, que además de violar la privacidad, ha dispuesto dichas vulnerabilidades para su uso arbitrario e indiscriminado. Si la NSA hubiera hecho públicas las vulnerabilidades en lugar de intentar tener una ventaja a partir de ellas, la crisis de WannaCry nunca se hubiera desatado. Su deber como organismo estatal es proteger y respetar derechos humanos, pero en este caso lograron todo lo contrario.
Las vulnerabilidades en sistemas operativos y programas siempre van a existir, y quien las explote tiene una ventaja competitiva en términos de poder de coacción sobre otros [así como tener una pistola o una bomba nuclear] o de inteligencia [recolección de información]. Los países no renuncian nunca a tener ese poder, por eso es urgente y necesario regularlo mediante políticas de control de “armas digitales” para que los gobiernos más poderosos estén obligados a hacerlas públicas, en vez de usarlas en contra de las personas. Además, las políticas de prevención y mitigación de ataques a infraestructura “básica” (estaciones de trabajo de instituciones públicas, sistemas de manejo y control de información, sistemas financieros o de salud, etc) son vitales.
Con respecto a las empresas, es obvio que deben “parchar” o “arreglar” las vulnerabilidades de sus productos. Sin embargo, parte del problema en este caso fue la dificultad para actualizar los sistemas, ya sea porque no son originales, porque no se les da la importancia necesaria o simplemente por falta de personal capacitado. En última instancia, los y las usuarias también jugamos un papel importante en la prevención y respuesta ante situaciones como esta. En el caso de América Latina -como ocurre en muchas otras regiones del mundo-, el uso extendido de software privativo sin licencia resulta, más que un problema de legalidad, una barrera en el acceso a una internet segura. Ante casos como estos, vale la pena invitar una vez mas a la reflexión sobre la importancia de utilizar sistemas libres, que permitan la actualización periódica, a la vez que son sistemas auditables.
La crisis de WannaCry deja algo claro: a medida en que la tecnología permea nuestra vida un problema similar se puede volver a presentar en cualquier momento. Lo importante es que existan políticas y medidas para prevenir el daño que puedan causar, además de presionar para que los estados se hagan responsables por las “armas digitales” que desarrollan: no pueden invadir nuestra privacidad arbitrariamente, y no pueden desatar crisis en infraestructura básica para la sociedad.