Estas leyendo
WannaCry, el ransomware que ha afectado a Telefónica y otras empresas por una vulnerabilidad ya parcheada de Windows

Hoy las noticias televisivas y de la comunidad jornalista de la red han saltado en alerta ante la novedad que ha comenzado a surgir con respecto a un ransonware, de nombre WannaCry, que ha afectado a varias multinacionales y compañías reconocidas en el mundo como Telefónica, BBVA, Vodafone, siendo la primera la más afectada. Todo esto ha ocurrido gracias a una vulnerabilidad que poseía Windows, que se conoce como EternalBlue y reconocida con el código de conocimiento de Microsoft MSE17-010, y que fue solucionado en el Patch Tuesday de marzo de este año. 70 paises tambien están siendo afectados por este ransonware.

WannaCry ha traído problemas a los usuarios y compañías que no han actualizado sus copias de Windows, ya que este secuestra archivos del sistema y datos personales de la víctima, siendo recuperables únicamente con un pago de rescate vía Bitcoin. Las dos variantes que se conocen del ransonware incluyen desde eliminar las credenciales y los accesos de administración al dispositivo atacado, hasta la que hemos descrito y ha sido la más dañina, la encriptación de la información, pero en realidad corresponden a procesos distintos de acción por parte del atacante.

¿Cómo funciona WannaCry?

Según explica la compañía de seguridad MalwareBytes en una publicación análisis del código fuente de WannaCry, el ransonware primero intentaba conectarse a un sitio web específico que ya no existe.

Esto fue probablemente algún tipo de kill switch o técnica anti-sandbox. Sea lo que sea, se ha salido en contra de los autores del gusano, ya que el dominio se ha suprimido y el host en cuestión ahora resuelve una dirección IP que aloja un sitio web.

Posterior a ello, hace diversas comprobaciones para instalar un servicio que permite preparar el escenario para el ataque y para mantener disponible el ambiente para más futuros ataques.

Después de pasar este control, lo primero que hace el gusano es comprobar el número de argumentos con los que se lanzó. Si se ejecutó con menos de dos argumentos pasados, se instala un servicio denominado mssecsvc2.0 con nombre de presentación Microsoft Security Center (2.0) Service (donde el binario se ejecuta con dos argumentos), inicia ese servicio, elimina el binario de ransomware localizado en los recursos del gusano, y lo ejecuta.

Si se ejecutó con dos argumentos o más, en otras palabras, si se ejecutó como un servicio de ejecución, eventualmente cae a través de la función de gusano.


El gusano posee dos núcleos principales que permiten infectar arquitecturas de PC de x86 como x64, ambos provenientes de un archivo con extensión .data. WannaCry utiliza una API de pseudocriptografía que genera numero aleatorios. Además de ello, existe una función del código que escanea el archivo HOSTS y roba la IP del dispositivo, además de las redes cercanas a las que este se encuentra conectado para seguir propagándose. Todo esto lo hace tratando de conectar al puerto 445.

Los hilos que exploran Internet generan una dirección IP aleatoria utilizando el generador de números pseudoaleatorios criptográficamente seguro del sistema operativo inicializado anteriormente, o un generador de números pseudoaleatorios más débil si el CSPRNG no se inicializa. Si la conexión al puerto 445 en esa dirección IP aleatoria tiene éxito, se analiza todo el rango /24 y si el puerto 445 está abierto, se realizan intentos de explotar. Esta vez, el tiempo de espera de explotación para cada IP no ocurre después de 10 minutos, sino después de una hora.

Finalmente entra en acción el módulo principal de la explotación llamada DoublePulsar, el cuál realizada todo el trabajo. MalwareBytes recomienda ejecutar este script que permitirá eliminar cualquier indicio de DoublePulsar de nuestro dispositivo, así la puerta trasera se cierra y no hay opción de que WannaCry se propague.

Una vulnerabilidad ya parcheada

El reporte MSE17-010 de Microsoft indica que la actualización de seguridad resuelve vulnerabilidades en Windows. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un atacante envía mensajes especialmente diseñados a un servidor de Microsoft Server Message Block 1.0 (SMBv1), cuestión que WannaCry utiliza en dispositivos que no han recibido la actualización mensual de marzo.

Windows Vista, Windows 7, Windows Server 2008 R2, Windows Server 2012 y 2012 R2, Windows 8.1, Windows RT 8.1, Windows 10 y Windows Server 2016 son las versiones del sistema operativo que están afectados. Microsoft ofrece una solución en caso de que no hayas instalado esta actualización:

  • Abre el Panel de control, haz clic en Programas y, a continuación, haz clic en Activar o desactivar características de Windows.
  • En la ventana Características de Windows, desactiva la casilla de verificación SMB1.0 / CIFS File Sharing Support y, a continuación, haz clic en Aceptar para cerrar la ventana.
  • Reinicia el sistema.

El inconveniente con las empresas radica en la falta de diligencia al actualizar las versiones de los sistemas operativos Windows utilizados para administrar la información. Telefónica ha sido la más afectada, con un 85% de los computadores de la compañía ya afectados.

El FBI puede estar detrás de los ataques

Aunque no se conoce el origen del gusano, se especula que esto proviene desde el FBI gracias a herramientas y prácticas utilizadas por el NSA en años anteriores para este tipo de ataques de vulnerabilidades. Rusia ha sido el país más afectado, donde se ha producido el 73% de infecciones por WannaCry según indica Kaspersky Labs.

Imagen tomada de HobbyConsolas

Sobre El Autor
César Gómez
César Gómez
Editor Senior. Me llaman "Cego". Ingeniero de Sistemas. Geek. ex-Microsofter. "Los placeres de la vida: leer un buen libro, disfrutar del amor correspondido, una buena taza de café y hacer lo que te gusta, en mi caso, desarrollar."
  • X2

  • 5 es mayor que 3 :)

  • Franco Olivares Walker

    una ayuda por favor no tengo la actulizacion esa de mazo pero tengo actulizaciones mas recientes de seguridad acumulativas win update no descargo esa actu de marzo solo tengo actus mas nuevas estoy protegido o no?

  • Franco Olivares Walker

    aver mi windows 10 no tiene esa actu pero tiene una acumulativa mas actual estoy protegido o no?

  • Guillermo

    Esta noticia de Microsoft realmente preocupante a nivel mundial que puso en jaque a miles de empresas tiene pocos comentarios. Ahora dejan afuera los Lumias 520 de w10m y es el fin del mundo. Who understand?

  • Daniel Cala Suarez

    Jajajajaja xdxdxd

  • El +Berraco

    Jajaja pinche Daniel eres un desmadre, lindo momo te lo robo

  • Daniel Cala Suarez

    https://uploads.disquscdn.com/images/8d2c8e00dee36e79aae806a29bc600032bfe9d35570e5cc0dc4fe338063c6480.png

    Realmente no llego a entender cuales son tus intenciones con el comentario, pero te hace falta un detector de joda. Y perdóname por no haber tenido la misma vision del futuro que tu, que supongo que ya vendiste tus BitCoins por millones de dólares. :v

  • El +Berraco

    Con tu comentario solito ventilas tu soberana estupidez Daniel y perdón que te lo diga con todas sus letras pero si en vez de estar aquí replicándole a lagarto cada que comenta algo te hubieras puesto trucho y haber sabido que el bit coin era la moneda del futuro cuando los expertos lo dijeron… ah pero es mejor estar defendiendo a microsoft y sus p*ndejadas verdad? Jojojo

  • El +Berraco
  • José López

    Puedes descompilar el programa como lo indicas, pero aunque lo puedas analizar es poco lo que se pueda hacer, ya que lo complejo es el algoritmo de cifrado que se usa, crear un programa de cifrado no es nada del otro mundo, hasta yo lo he hecho, pero los algoritmos para cifrar es donde esta la verdadera complejidad, se emplea una gran cantidad de tiempo para hacerlos. Para poder hacer el descifrado se necesita una clave, sin la clave nunca lo vas hacer, a menos que lo hagas por fuerza bruta.
    Y lo que dices que de que elimina los archivos pues, en realidad no, eliminando los archivos los creadores del ransoware no ganan nada, pero cifrándolos en el equipo si, ya que se tiene que pagar un rescate para descifrar los archivos.
    Creo que el cifrado en esta ocasión es uno basado en AES, puedes buscarlo para que veas lo complejo que es.

  • Julian David Trejos Rueda

    1.)El problema no es que sea complejo el cifrado, el problema es descompilar el programa malo. Se pueden probar experimentos con el virus y un computador de pruebas sin conexión a internet.
    2.)Si en realidad NO es un cifrado sino un destructor de archivos, no se puede solucionar, ya que borra todos los datos, el block de notas es experto en eso.

  • José López

    En realidad no es tan sencillo como piensas, una vez que los archivos son cifrados por este ransomware es poco lo que se puede hacer, esto es por que el cifrado que usan en muy complejo y tratar de descifrarlo por “fuerza bruta” les tomaría a los equipos años, ahora suma cuantos archivos pueden haber en las PC de las empresas y te darás cuenta lo difícil que seria esta tarea, la única forma rápida de poder descifrarlo es teniendo una contraseña, el problema es que solo los que hicieron el virus saben cual es la contraseña.

  • Daniel Cala Suarez

    Hubiese conseguido BitCoins cuando estaban a menos de 1 dolar :’v

  • Julian David Trejos Rueda

    ahora hay que hacer una operación inversa para recuperar los archivos, me imagino que si el programa los encriptó, podemos descompilarlo, ¿No?

  • Julian David Trejos Rueda

    yo creo que si hubieran tenido Windows 10 Mobile, no les hubiera pasado nada.

  • Guillermo

    Es verdad, fue antes del ataque. Algo habrán sabido de antemano…

  • Matias

    Eso fue a principio de semana previo al ataque

  • Tomas Rossi

    jajaj argentina o america del sur ni aparece jajajaj vamoh argentina

  • Luis Fernando Acevedo Peralta

    Si, pero mas de cara al publico por el “escandalo” mas que por el ataque en si, ya que la empresas, (mas las grandes) suelen tener backups, ahora el tiempo que estén fuera de servicio se limita al tiempo que tardan en parchear sus sistemas y usar los backups.

  • Luis Fernando Acevedo Peralta

    A los usuarios normales esto no les afecta, mas de lo normal, el ataque fue masivo no dirigido a telefónica, y empresas como telefónica aunque se han visto afectadas ya deben tener planes de contingencia entre backups y pacheos ya preparándose, esa algo casi obligatorio, así que solo es cuestión de tiempo (depende del alcance del ataque) de que se recuperen

  • Luis Fernando Acevedo Peralta

    cifrado tipo AES de las extensiones mas comunes .doc, etc.

  • Omar Spagnolo

    Eso si no tenes el parche marzo o tenes una version que ya dejo de dar soporte MSFT. Igualmente ya saco un parche para las versiones fuera de soporte, es decir, XP, Vista, etc

  • Omar Spagnolo

    Asi es señor una vez encriptados no lo sacas con NADA.

  • J.David

    Los de IT no pueden actualizar como si nada, podrían estropearles el departamento. Deben comprobar las actualizaciones, verificar que todo va, decidir si con los errores que ocurren es beneficioso actualizar y si es que sí, arreglar los errores (como cambiar un programa, algunos parámetros, etc…) y realizar copias de seguridad y actualizar

  • Basicamente es así:

    – Tienes actualizado tu PC = respira que estas protegido
    – No tienes actualizado tu PC = empieza a preocuparte.

  • Lagartoasesino

    Luego del mega ataque, sube el valor del bitcoin, ya supera los 1800 dolares por unidad, hace unos meses estaba en 1500!!!

    https://uploads.disquscdn.com/images/934a9878661fae8bcf8d48480c75bc4d9976f3c0fafb4dcb65778c556093e545.jpg

  • Garfield

    Porque esos p**** gringos piensan que los p**** rusos fueron los que “eligieron” al diablo de trump

  • ldgs13

    Malditos gringos que put* buscan.

  • Nicolás

    Encima se ocuparon de ponerle un nombre descriptivo porque WannaCry lo describe bastante bien jajaja

  • Nicolás

    No se realmente pero si en realidad no encripta? Cualquiera puede hacer un programa con un mensaje que diga cualquier cosa sea mentira o verdad. Y si encripta, con que cifra? Usa bitlocker o algún otra forma? igual no entiendo mucho de bitlocker ni de cifrado de archivos, no se bien como funciona.

  • Garfield

    Me acabo de enterar que el FBI podría estar involucrado, difícil en no dudar dada la puja cibernética entre E.U y Rusia, hasta intervenciones clínicas tuvieron que ser suspendidas, ah mundo de locos…

  • Hoy.

  • Rafael Rodriguez

    Pues según lo que dicen el post, se supone que esa vurnelabilidad fue corregida en esa actualización de marzo

  • Pablo

    Al final no entendi. Si tenemos el windows parchado con el ultimo parche de seguridad, estamos protegidos y no tenemos que hacer nada??

  • ldgs13

    Cuando fue esté ataque?

  • Mr Jesus

    creo que alguien perdera su trabajo…

  • Oscar

    pero como vas ser muy tonto de abrir algo que no sepas de donde vino o de los departamentos de IT no hagan su trabajo de actualizar, Telefónica uno cree que son todos hábiles uno se lo pasa si estas en hospital y no tienes conocimientos básicas de seguridad, pero igual esto demuestra que no querer invertir en nuevo software y capacitación.

  • Oscar

    superpack . zip … abrir o no abrir …AAAAbrir ..

  • José López

    Tienes toda la razón.

  • Diria que es mas culpa del departamento IT que del usuario

  • Eddie

    O sea, afecto a todos los Windows excepto a los que tenemos la ultima versión? Les hicieron una propuesta que no pudieron rechazar?

  • Paco Garcia

    Jajajajajajja que bien

  • José López

    Usuarios abriendo adjuntos sin verificar quien los envía + los departamentos de IT sin actualizar los equipos de forma periódica = desastre.

  • José López

    Lo que mencionas corrige lo del ransonware, pero si los documentos fueron cifrados poco o nada se puede hacer, a menos que tengas un respaldo de esos documentos en otro servidor.

  • Necrolancer

    Ahi te actualizo lagarto, pregunte y esas 3 se perdieron

  • Necrolancer

    Parchearon hasta lo que se desde sistemas… En 3 pc con el cartel, y con el pach de seguridad, se corrigió

  • Lagartoasesino

    Una vez que se encripta no se arregla, seguramente tenían backup físico.

  • Lagartoasesino

    El ataque a Telefónica Madrid afectó a los servidores en Argentina
    Lo confirmó la empresa a través de su cuenta oficial en Twitter.

    El ataque a la red interna de la sede central en Madrid de Telefónica a través de un virus conocido como “ransomware” afectó también a los servidores en la Argentina.

    https://uploads.disquscdn.com/images/f7fa68d62ea840dcbc886520b5b7aa523dfa930e48d068eb54874ad9f1ea608e.gif

  • Necrolancer

    Parchearon con la ultima acumulativa.. Son pc con windows 7 y xp… Les pusieron el parche del antivirus manualmente y se corrigió

  • Cómo recuperaron la información?

  • Necrolancer

    En mi laburo cayó y estuvimos off 6hs

  • Jonathan Mora

    Alguien de alla y que cuente como esta la cosa….?

  • Jonathan Mora

    Que les dire… es feo por que ponen a un usuario como uno en peligro por culpa de que una empresa sea una vagabunda y no actualiza su OS o tienen obsoletos… no se, se que es caro $$$ pero ya ven, vale la pena

  • Lagartoasesino

    Telefonica esta en una situación muy fea.