«No sabíamos cuándo ni dónde, pero nos temíamos un ciberataque así»

Bernardo Quintero, ingeniero de seguridad en Google y Virustotal, uno de los informáticos expertos en seguridad con más experiencia en España, analiza las características del 'hackeo' masivo del pasado viernes

FERNANDO TORRES

Bernardo Quintero es, probablemente, uno de los ingenieros informáticos que más sabe sobre ciberseguridad en España, y Google le avala. El gigante tecnológico le fichó a él y a su equipo en 2012, adquiriendo su producto estrella: Virustotal. Se trata de un servicio online pionero en el escaneo sistemático de archivos en busca de 'software' dañino, que a día de hoy opera desde Málaga para Silicon Valley. El ataque masivo con 'ransomware' que el pasado viernes no le ha pillado por sorpresa. «No sabíamos cuándo ni dónde iba a ocurrir», asegura, pero «estábamos pendientes».

- ¿Qué es un ransomware?

- Es un tipo de 'malware', un 'software malicioso'. Básicamente, se trata de un código que secuestra los documentos del sistema que infecta y los encripta. De forma automática, crea una contraseña que queda en manos del atacante. Al usuario le sale un 'pantallazo' pidiendo que pague un rescate para recuperar la información.

- ¿Cómo fue el ataque del viernes? ¿un 'ransomware' de manual?

- El ataque del viernes es muy complejo, en el que se ha utilizado el 'ransomware' de una forma diferente, pero todo viene desde más atrás en el tiempo. Todo empezó el 14 de marzo. Microsoft lanzó una actualización para los sistemas operativos Windows, y una de las cosas que cambió fue el protocolo SMB, que sirve para compartir la información de un ordenador en red local. Al lanzar el parche, dijeron que habían descubierto una vulnerabilidad a través de la cual alguien podría hacerse con el control de la red mediante el SMB, por lo que catalogaron la actualización como crítica. Así, el viernes, alguien cogió un 'ransomware' y metió el código de infección del SMB en él, por lo que a parte de infectar el ordenador, contagiaba a la red local completa, y así se movió de manera exponencial. Si hay cientos de ordenadores infectados solo hizo falta que el virus se abriera en uno.

- ¿Esperaba que pasara esto?

- No sabíamos ni cuándo, ni dónde, ni cómo, pero sabíamos que algo iba a pasar. Hay un montón de tweets y comentarios al respecto en la comunidad de informáticos en internet, porque estábamos todos estudiando el código parcheado

- ¿Siempre se puede recuperar lo robado después de un 'ransomware'?

- No. En las primeras versiones sí era posible, porque el sistema de cifrado no era demasiado sosfisticado. Ahora son muy potentes y no siempre es posible, ni siquiera si el usuario efectúa el pago. Si hay suerte se recupera la información en su totalidad, pero en muchos otros casos, una vez enviada la cantidad demandada, los datos se han perdido para siempre.

- ¿Cuál es la mejor defensa?

- No existe una defensa perfecta. Es importante tener un buen antivirus y, cuando se trata de una empresa, copias de seguridad periódicas.

- ¿A quién se dirigen estos ataques?

- En este caso de 'ransomware' conectado con 'gusano', el objetivo es puramente económico.

- ¿Cree que se va a repetir?

- Seguro. Mientras estamos hablando hay gente que está adaptando el código empleado en este ataque para utilizarlo en una nueva infección.

- ¿Qué sabe del atacante?

-El código usado el viernes ya lo había probado antes, en marzo con una campaña de ransomware estándar. Pero fue un ataque entre otros muchos y no tuvo repercusión. El hackeo del viernes llegó a Virustotal a las siete de la mañana, y fue detectado por trece motores antivirus, que percibieron cómo se había aprovechado de la falta de actualización del sistema operativo.