¿El virus NotPetya es un arma de ciberguerra? Expertos dicen que sí

10 de julio de 2017

El ciberataque lanzado la semana pasada mediante el virus llamado NotPetya, que afectó a cientos de empresas en 65 países pero perjudicó principalmente a Ucrania, fue en realidad la puesta en acción de un arma de la ciberguerra, un campo cada vez más importante pero en el que todo es confuso, según coincidieron especialistas.

El martes 27 de junio, alrededor de 2.000 computadoras de cientos de empresas en varios países amanecieron infectadas por lo que parecía un ransomware -un tipo de malware que encripta equipos o archivos y exige un pago para liberarlos-, que pedía un rescate de US$300, similar a WannaCry, que en mayo había afectado a cientos de miles de equipos en todo el mundo.

Sin embargo, los investigadores encontraron que la dirección de correo electrónico a la que debía enviarse la confirmación del pago era inexistente. Además, este nuevo ataque no solo cifraba archivos sino que corrompía parte del sistema de arranque de las máquinas infectadas y dañaba el disco rígido, un poder de destrucción para el cual no hay una "cura" y que dejó miles de computadoras inutilizadas.

Así, NotPetya es más bien un destructor con características de gusano, que se propagó por las redes internas de las empresas y organismos que utilizan el software de contabilidad MeDoc, desarrollado en Ucrania e instalado en alrededor de un millón de computadoras en ese país, según el Gobierno europeo.

"Lo de NotPetya está aún bajo investigación, tanto por empresas de seguridad como por policías de varios países. Lo que se hizo fue infectar una empresa que desarrolla un software de contabilidad, MeDoc. La empresa fue infectada hace tiempo, meses, y luego modificaron el código del producto y agregaron el troyano. Esto muestra que fue una operación muy bien planificada y llevada a cabo de manera brillante. MeDoc fue la víctima 0", explicó en diálogo con Télam el especialista en seguridad informática Cristian Borghello.

Embed
"Lo que prueba esto es que o bien se trata de un caso de espionaje industrial o bien de un arma gubernamental. Se estima que detrás está Rusia, pero podría ser cualquiera", continuó el director del Proyecto Odila, y detalló que "a las empresas afectadas se les robó información, y después terminó todo con la destrucción de los discos y las computadoras.

En otras palabras, según el especialista, "NotPetya fue como el golpe final. Se calcula que el robo fue entre marzo y abril".

En el mismo sentido, para Alfredo Adrián Ortega, experto en ciberseguridad de la firma Avast, NotPetya "no es un ransomware, sino un destructor, hecho para destruir computadoras. Un método que se usa mucho con las operaciones de la llamada ciberguerra".

"Aparentemente lo compró el ejército ruso, lo disfrazó para que pareciera un ransomware y lo largó en Ucrania. Lo que es seguro es que no fue un ransomware, sino una ciberarma diseñada para reventar un país", dijo a Télam.

Alexis Sarghel, investigador en seguridad informática, coincidió en que ese ataque "fue más que nada para hacer daño", y precisó que con el paso de los días "fueron aumentando los casos en Argentina, desde empresas de manejo de granos a varios bancos que no tomaron los recaudos suficientes", por lo que incluso "hay muchos cajeros que no funcionan".
Los investigadores coinciden en la dificultad de investigar qué es lo que sucedió, porque el malware destruyó los archivos y el arranque de las computadoras que infectó, y en que se trata de un ataque contra Ucrania.
De hecho, el Gobierno de ese país acusó de inmediato a Rusia (con quien mantiene desde 2014 un diferendo armado tras la adhesión de Crimea) de estar detrás del ataque: "Los datos disponibles indican que en el ataque están implicados los mismos grupos de hackers que en diciembre de 2016 atacaron el sistema financiero, las infraestructuras de transportes y energía de Ucrania. Esto demuestra la implicación en el ataque de los servicios secretos de Rusia", señaló en un comunicado el Servicio de Seguridad de Ucrania.
Sin embargo, en esta ciberguerra que tiene como principales protagonistas a Estados Unidos, Rusia y China, es difícil saber qué es lo que en realidad sucede y quien está detrás de las acciones.
"Es complicado. No sabés si es un grupo, un Estado o quién dirige esto. Creo que es parte de la idea, si sos un Estado lo que querés es que nadie sepa que sos vos", analizó Sarghel, para quien si bien no hay pruebas sobre la implicación rusa en el tema, hay ciertos indicios que llevan a la sospecha.
"Un dato para sospechar de Rusia es que allá está Snowden. ¿Por qué no libera todo lo que sabe? Lo mismo con Assange. Va liberando su conocimiento (sobre las herramientas estadounidenses de espionaje) de a poco. Rusia tiene información muy importante, además de muchos de los mejores criptógrafos y gente muy formada en el tema, con muchos recursos", analizó.
"Además, se mueven mucho en áreas grises de la computación, sumado al factor histórico post guerra fría... Hay mucha gente en Rusia vinculada al ciberdelito, no solo 20 chicos de la elite informática, sino ya crimen organizado", continuó.
Para el investigador, en materia de ciberarmas los desarrolladores de estas herramientas están un paso adelante, empleando malware que se desconoce, por lo que afirmó que los demás "estamos viviendo el pasado".

Temas