El impacto del primero de su especie. Wannacry

Aunque es muy difícil evaluar el impacto real de cualquier ataque masivo, es evidente que el impacto del Ransomware WannaCry en la sociedad ha sido muy alto. En opinión de varios grupos de analistas, podría haber sido mucho peor si hubiese estado asociado a una campaña masiva de envío de correos electrónicos o si no se hubiese descubierto, durante las primeras horas, la capacidad de desactivar su propagación a través simplemente de la existencia de un determinado dominio activo en Internet. Aunque el objetivo del malware era, aparentemente, cifrar el contenido de los sistemas conectados a las redes atacadas y solicitar a continuación un rescate a través de un mensaje preparado en 28 idiomas, debemos analizar su impacto desde distintos puntos de vista.

Desde un punto de vista económico directo, aparentemente, el ataque, para el atacante, no ha sido especialmente beneficioso, y, por tanto, su impacto económico directo a través de los rescates obtenidos podríamos calificarlo como ridículo, si lo comparamos con la magnitud del incidente. A las 8:00AM del 20/05 la recaudación era de BTC 48,258 a través de 293 pagos, en los tres monederos identificados relacionados con este ataque. Teniendo en cuenta que el bitcoin está a 1.976,72 USD, el atacante habría obtenido 95,392.55 USD. Francamente, parece que hay algo que no encaja en todo esto: si el objetivo es económico, lo lógico es provocar una propagación rápida y masiva. Si es así, ¿por qué se deja la posibilidad de detener la propagación si este tipo de ataque obtiene dinero por cada artefacto desplegado?

Desde un punto de vista económico indirecto, para las empresas, el coste ha sido elevado. En primer lugar, por la pérdida de actividad derivada de la desconexión masiva de puestos de trabajo y del corte de múltiples servicios en las redes que han impedido que se pueda trabajar con normalidad durante algunos días. En segundo lugar, por la inversión adicional concentrada que se ha tenido que hacer para parchear y poner al día miles de millones de ordenadores en todo el mundo. Téngase en cuenta que tan solo en GVA se ha tenido que revisar el estado de actualización de más de 200.000 ordenadores entre puestos de usuario y servidores. En tercer lugar, por el daño que ha sufrido la imagen de algunas compañías, o personas directamente relacionadas con esas compañías, que se han visto directamente afectadas.

Desde un punto de vista social el impacto ha sido doble. Por una parte la rápida difusión de las noticias, y lo complejo de la información trasmitida, ha provocado un sentimiento común de miedo y preocupación masivo ante este tipo de situaciones. Por otra parte, este ciberataque ha tenido un impacto muy bajo sobre las redes domésticas, pero ha servido para que los ciudadanos tomemos conciencia de la importancia de las medidas de seguridad.

A estas horas muchos equipos técnicos seguimos preguntándonos por el verdadero objetivo de este ciberataque y, por tanto, por el impacto real del mismo. ¿Habrá sido una cortina de humo para desviar la atención de los equipos de ciberseguridad hacia otra parte? ¿Será una campaña especulativa para alterar el precio de algunas cosas como la cotización de algunas compañías o como el BTC? ¿Habrá sido un ataque dirigido para menoscabar la imagen de alguna de las compañías afectadas?, o ¿se habrá escapado una muestra experimental de algún laboratorio de malware que estaba trabajando con ciberarmamento? Lo que está claro es que el impacto ha sido muy alto, que podría haber sido mucho mayor, que no tenemos clara la atribución y que los grupos de expertos no se ponen de acuerdo a la hora de identificar el verdadero objetivo de esta campaña. Tendremos que esperar para poder responder todas estas preguntas que quedan abiertas.