WannaCry y NotPetya: Ransomware como Arma de Estado (2017)

2017: el año que cambió el ransomware para siempre

En un período de 45 días, dos ciberataques transformaron la percepción global del ransomware. El primero, WannaCry, demostró que un exploit robado a una agencia de inteligencia podía paralizar hospitales, fábricas y telecomunicaciones en 150 países. El segundo, NotPetya, reveló algo más inquietante: que el ransomware podía ser una tapadera para algo mucho peor.

Ambos compartían una pieza técnica central: EternalBlue, un exploit para el protocolo SMBv1 de Windows desarrollado por la NSA y filtrado al público por un grupo conocido como The Shadow Brokers. Pero sus orígenes, motivaciones y consecuencias eran radicalmente diferentes.

WannaCry fue obra de Lazarus Group, vinculado a Corea del Norte. NotPetya fue una operación del GRU ruso (Sandworm, Unidad 74455). Uno buscaba dinero. El otro buscaba destrucción.

EternalBlue: la munición que armó ambos ataques

Para entender WannaCry y NotPetya, hay que empezar por la herramienta que los hizo posibles.

La NSA y su arsenal de exploits

La Agencia de Seguridad Nacional de Estados Unidos (NSA) mantenía, a través de su unidad de operaciones ofensivas (Tailored Access Operations, TAO, también conocida como Equation Group), un arsenal de exploits zero-day para sistemas operativos y protocolos ampliamente desplegados. Entre ellos se encontraba EternalBlue, un exploit para una vulnerabilidad de desbordamiento de búfer en la implementación de SMBv1 (Server Message Block versión 1) de Microsoft Windows.

SMBv1 es un protocolo de red diseñado en 1983 para compartir archivos e impresoras en redes locales. A pesar de haber sido reemplazado por SMBv2 (2006) y SMBv3 (2012), SMBv1 seguía habilitado por defecto en la mayoría de sistemas Windows en 2017 por razones de compatibilidad retroactiva.

La NSA tuvo acceso a este exploit durante al menos cinco años antes de que fuera robado. Durante ese tiempo, no informó a Microsoft de la vulnerabilidad, priorizando su valor como herramienta de espionaje sobre la seguridad de cientos de millones de usuarios de Windows.

La filtración de Shadow Brokers

El 13 de agosto de 2016, un grupo autodenominado "The Shadow Brokers" publicó un primer lote de herramientas de hacking supuestamente robadas a Equation Group. Intentaron subastarlas sin éxito. En los meses siguientes publicaron filtraciones adicionales, escalando la presión.

La filtración decisiva llegó el 14 de abril de 2017, bajo el nombre "Lost in Translation". El paquete incluía:

Herramienta	Objetivo	Uso posterior
EternalBlue	Exploit SMBv1 (MS17-010)	WannaCry, NotPetya, múltiples campañas
EternalRomance	Exploit SMBv1 variante	NotPetya (vector adicional)
EternalChampion	Exploit SMBv1 variante	Campañas posteriores
EternalSynergy	Exploit SMBv1 variante	Campañas posteriores
DoublePulsar	Backdoor de kernel post-explotación	WannaCry (carga del payload)

Microsoft había publicado el parche MS17-010 exactamente un mes antes, el 14 de marzo de 2017. Existe un debate sobre si la NSA avisó a Microsoft de la inminente filtración (lo que explicaría la publicación del parche justo antes). Microsoft no publicó parche para Windows XP ni Windows Server 2003, sistemas ya sin soporte pero aún masivamente desplegados.

EternalBlue: anatomía técnica

La vulnerabilidad explotada por EternalBlue (CVE-2017-0144) residía en la forma en que el driver srv.sys procesaba transacciones SMBv1. El fallo era un desbordamiento de búfer en el manejo de mensajes de tipo SMB_COM_TRANSACTION2, específicamente en la subcomando SMB_COM_NT_TRANSACT.

Aspecto	Detalle
CVE	CVE-2017-0144
Boletín Microsoft	MS17-010
Protocolo	SMBv1 (puerto 445/TCP)
Tipo de vulnerabilidad	Desbordamiento de búfer en pool no paginado del kernel
Autenticación requerida	Ninguna
Impacto	Ejecución remota de código con privilegios de SYSTEM
Sistemas afectados	Windows XP, Vista, 7, 8, 8.1, 10, Server 2003/2008/2012/2016
Parche disponible	14 de marzo de 2017 (solo para sistemas con soporte)

El exploit enviaba una serie de paquetes SMB malformados que corrompían la memoria del kernel de Windows. Tras el desbordamiento, EternalBlue instalaba DoublePulsar, un backdoor de kernel que permitía inyectar código arbitrario en el proceso lsass.exe del sistema objetivo. Todo esto ocurría de forma remota, sin interacción del usuario y sin credenciales.

WannaCry: 12 de mayo de 2017

El brote

El viernes 12 de mayo de 2017, a las 07:44 UTC, las primeras infecciones de WannaCry comenzaron a registrarse en Asia. En pocas horas, el malware se había extendido a 150 países, cifrando los archivos de más de 200.000 ordenadores.

El impacto fue inmediato y visible:

NHS del Reino Unido: el Servicio Nacional de Salud británico fue una de las víctimas más notorias. Al menos 80 de 236 trusts hospitalarios se vieron afectados. Se cancelaron 19.000 citas médicas. Ambulancias fueron desviadas. Quirófanos cerraron. El NHS dependía masivamente de Windows XP, un sistema sin soporte desde 2014, y muchas máquinas no tenían el parche MS17-010.

Telefónica (España): la sede central en Madrid fue afectada. Los empleados fueron instruidos a apagar sus ordenadores inmediatamente. Las pantallas mostraban la nota de rescate de WannaCry pidiendo 300 dólares en Bitcoin.

Renault (Francia): la producción se detuvo en varias plantas de fabricación. Las líneas de montaje dependían de sistemas Windows conectados a la red corporativa.

FedEx (Estados Unidos): operaciones significativamente interrumpidas.

Deutsche Bahn (Alemania): los paneles de información en estaciones de tren mostraban la nota de rescate de WannaCry en lugar de los horarios.

PetroChina: más de 20.000 gasolineras no pudieron procesar pagos electrónicos.

Anatomía técnica de WannaCry

WannaCry (también conocido como WannaCrypt, WCry, WanaCrypt0r 2.0) combinaba un componente worm (gusano de red) con un módulo de ransomware:

Componente	Función
Dropper principal	mssecsvc.exe: contiene el worm y el payload de ransomware
Kill switch check	Intenta conectar a un dominio hardcodeado. Si responde, termina la ejecución
Módulo worm	Escanea redes locales y puertos 445/TCP en Internet, explota EternalBlue + DoublePulsar
Ransomware payload	tasksche.exe: cifra archivos con AES-128-CBC + RSA-2048
Nota de rescate	@[email protected]: interfaz gráfica con cuenta atrás y direcciones Bitcoin
Tor client	Comunicación con C&C a través de la red Tor

Proceso de cifrado: WannaCry generaba un par de claves RSA-2048 por máquina. La clave privada se cifraba con la clave pública maestra de los atacantes. Cada archivo se cifraba con una clave AES-128-CBC única. Para descifrar, el usuario debía pagar, recibir la clave privada RSA desencriptada y usarla para recuperar las claves AES individuales.

Extensiones objetivo: WannaCry cifraba archivos con extensiones comunes de documentos, imágenes, bases de datos, código fuente y archivos comprimidos (.doc, .xls, .ppt, .pdf, .jpg, .zip, .sql, .cpp, .java, entre otras 176 extensiones). Los archivos cifrados recibían la extensión .WNCRY.

Rescate: 300 dólares en Bitcoin, incrementado a 600 dólares si no se pagaba en tres días. Se proporcionaban tres direcciones Bitcoin hardcodeadas en el código.

Defectos de diseño

A pesar de su capacidad destructiva de propagación, WannaCry tenía defectos significativos como ransomware:

1. Solo tres wallets Bitcoin: todas las víctimas pagaban a las mismas tres direcciones, lo que hacía imposible para los atacantes identificar automáticamente qué víctima había pagado. El proceso de descifrado requería contacto manual.

2. Kill switch global: el componente worm verificaba la existencia de un dominio antes de ejecutarse. Si el dominio estaba registrado y respondía, WannaCry se detenía. Este mecanismo fue diseñado probablemente como técnica anti-sandbox (los sandboxes de análisis suelen resolver todos los dominios), pero resultó ser la debilidad fatal del malware.

3. Ganancias mínimas: a pesar de infectar más de 200.000 máquinas, los atacantes solo recaudaron aproximadamente 140.000 dólares en Bitcoin a través de las tres wallets. Una cifra ridícula comparada con el daño causado.

El kill switch: Marcus Hutchins y los 10,69 dólares que frenaron una pandemia

Marcus Hutchins, conocido online como @MalwareTechBlog, era un investigador de seguridad británico de 22 años que trabajaba para Kryptos Logic desde su domicilio en Devon, Inglaterra. El viernes 12 de mayo se despertó con noticias del brote y comenzó a analizar una muestra de WannaCry.

Al descompilar el código, Hutchins observó que el malware intentaba conectarse a un dominio extraordinariamente largo antes de ejecutar su payload:

iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com

Si la conexión al dominio fallaba (el dominio no existía), WannaCry procedía con el cifrado. Si la conexión tenía éxito (el dominio respondía), WannaCry terminaba su ejecución sin hacer daño.

Hutchins registró el dominio por 10,69 dólares a través del registrador Namecheap. En ese momento, su intención era rastrear las infecciones (sinkholing): cada máquina infectada que consultara el dominio aparecería en los logs del servidor. Lo que no sabía era que al registrar el dominio estaba activando el kill switch global.

El efecto fue inmediato. Las nuevas infecciones de WannaCry se detuvieron en las máquinas con acceso a Internet. Las máquinas ya infectadas seguían cifradas, y las máquinas sin acceso a Internet (redes internas aisladas) seguían siendo vulnerables. Pero la propagación global se frenó de golpe.

Hutchins publicó un análisis detallado en su blog y recibió reconocimiento inmediato de la comunidad de seguridad. Sin embargo, su historia tomó un giro inesperado en agosto de 2017, cuando fue arrestado por el FBI en Las Vegas (donde asistía a la conferencia DEF CON) por cargos relacionados con el desarrollo del troyano bancario Kronos años antes, cuando era adolescente. En 2019 fue declarado culpable y sentenciado a un año de libertad supervisada, sin tiempo en prisión, en reconocimiento de su cooperación y su contribución a la detención de WannaCry.

Atribución: Lazarus Group (Corea del Norte)

La atribución de WannaCry a Lazarus Group (también conocido como Hidden Cobra, ZINC, G0032 en MITRE ATT&CK) fue establecida por múltiples fuentes:

Symantec y Kaspersky identificaron coincidencias de código entre WannaCry y herramientas previamente atribuidas a Lazarus Group, incluyendo el backdoor Contopee y muestras del ataque a Sony Pictures (2014).

Google Threat Analysis Group: Neel Mehta, investigador de Google, publicó un tweet el 15 de mayo de 2017 con hashes de código compartido entre WannaCry y malware de Lazarus, sin comentario adicional. La comunidad de seguridad lo interpretó correctamente.

Atribución oficial: en diciembre de 2017, Estados Unidos, Reino Unido, Australia, Canadá, Nueva Zelanda y Japón atribuyeron formalmente WannaCry a Corea del Norte. Thomas Bossert, asesor de seguridad nacional de la Casa Blanca, escribió en un editorial del Wall Street Journal: "North Korea is directly responsible."

En septiembre de 2018, el Departamento de Justicia de Estados Unidos acusó formalmente a Park Jin Hyok, un programador norcoreano vinculado a Lazarus Group, por su participación en WannaCry, el ataque a Sony Pictures y el robo al Banco de Bangladesh (81 millones de dólares, 2016).

Detalle de atribución	Información
Grupo	Lazarus Group (G0032)
Estado patrocinador	Corea del Norte (RGB, Reconnaissance General Bureau)
Motivación	Financiera (obtención de divisas para el régimen)
Acusado formal	Park Jin Hyok (DOJ, septiembre 2018)
Atribución gubernamental	EE.UU., Reino Unido, Australia, Canadá, NZ, Japón (diciembre 2017)
Evidencia técnica	Código compartido con Contopee, backdoors de Sony Pictures, herramientas Lazarus

NotPetya: 27 de junio de 2017, 45 días después

Si WannaCry fue un terremoto, NotPetya fue un tsunami deliberado y dirigido.

El vector: M.E.Doc y el supply chain attack

M.E.Doc (My Electronic Document) era un software de contabilidad fiscal desarrollado por la empresa ucraniana Intellect Service, con sede en Kiev. No era un programa opcional: la legislación ucraniana obligaba a las empresas que operaban en el país a utilizar software compatible con el sistema tributario nacional, y M.E.Doc era uno de los más populares, con aproximadamente 400.000 clientes.

Los atacantes comprometieron los servidores de actualización de M.E.Doc. El 27 de junio de 2017, una actualización legítima del software (versión 10.01.175-10.01.176) incluía código malicioso inyectado en el módulo ZvitPublishedObjects.dll. Cuando las empresas instalaron la actualización rutinaria, ejecutaron NotPetya.

Este no fue un compromiso improvisado. Investigaciones posteriores de ESET y Cisco Talos revelaron que los atacantes habían tenido acceso a los servidores de M.E.Doc desde al menos abril de 2017, y que actualizaciones anteriores (en abril y mayo) también habían sido comprometidas para probar el mecanismo de distribución.

La ejecución: de Ucrania al mundo en horas

NotPetya se activó a las 10:30 hora local de Ucrania (07:30 UTC). Las primeras víctimas fueron empresas ucranianas que instalaron la actualización de M.E.Doc. Pero NotPetya no se quedó ahí.

Una vez dentro de una red, NotPetya se propagaba lateralmente usando una combinación de tres mecanismos:

1. EternalBlue y EternalRomance: los mismos exploits de SMBv1 filtrados por Shadow Brokers, para atacar máquinas sin parche en la red local.

2. Mimikatz: NotPetya incluía una versión modificada de Mimikatz, la herramienta de Benjamin Delpy que extrae credenciales de la memoria del proceso lsass.exe de Windows. Con estas credenciales (hashes NTLM y tickets Kerberos), NotPetya podía autenticarse en otras máquinas de la red como un usuario legítimo.

3. WMIC y PsExec: con las credenciales obtenidas por Mimikatz, NotPetya usaba Windows Management Instrumentation (WMIC) y PsExec (herramienta de SysInternals) para ejecutarse remotamente en otras máquinas. Este mecanismo funcionaba incluso en máquinas completamente parcheadas contra EternalBlue, porque usaba credenciales válidas.

La combinación de EternalBlue (para máquinas sin parche) y Mimikatz+WMIC/PsExec (para máquinas parcheadas) hacía que NotPetya fuera devastadoramente eficaz en entornos corporativos donde un solo dominio de Active Directory conectaba miles de máquinas.

Las multinacionales con oficinas en Ucrania se convirtieron en el canal de propagación global. Un empleado en Kiev ejecutaba la actualización de M.E.Doc, NotPetya se propagaba por la red local ucraniana, cruzaba la VPN corporativa y alcanzaba oficinas en todo el mundo.

NotPetya no era ransomware: era un wiper

NotPetya se presentaba como una variante de Petya, un ransomware conocido desde 2016. Mostraba una nota de rescate pidiendo 300 dólares en Bitcoin a una dirección única. Pero las similitudes con un ransomware real terminaban ahí.

Característica	Ransomware real (Petya/WannaCry)	NotPetya
Clave de cifrado	Almacenada o transmitida al atacante	Generada aleatoriamente y descartada
Recuperación tras pago	Posible (si el atacante coopera)	Imposible (no existe mecanismo)
Identificador de víctima	Único, permite vincular pago con víctima	Aleatorio, sin vinculación posible
MBR	Reemplazado con bootloader de rescate	Sobrescrito con código destructivo
MFT	Cifrada con clave recuperable	Cifrada con clave irrecuperable
Objetivo real	Monetización	Destrucción de datos

El mecanismo destructivo de NotPetya:

1. Reemplazo del MBR: NotPetya sobrescribía el Master Boot Record (MBR) del disco con su propio código. Al reiniciar, la máquina mostraba una pantalla falsa de CHKDSK mientras en realidad cifraba la tabla MFT (Master File Table) del disco.

2. Cifrado de la MFT: la MFT es el índice que contiene la ubicación de todos los archivos en un volumen NTFS. Sin la MFT, el sistema operativo no puede localizar ningún archivo, aunque los datos sigan físicamente en el disco.

3. Clave irrecuperable: NotPetya generaba una clave de cifrado Salsa20 aleatoria para cifrar la MFT. Esta clave se cifraba con la clave pública RSA del atacante y se almacenaba en el disco. Pero investigadores de Kaspersky demostraron que el "installation ID" mostrado en la nota de rescate (que supuestamente identificaba a cada víctima) era simplemente datos aleatorios, sin relación con la clave de cifrado. No existía forma de que los atacantes generaran una clave de descifrado, aunque quisieran.

4. Cifrado de archivos adicional: además de cifrar la MFT, NotPetya cifraba individualmente archivos con extensiones específicas usando AES-128. Este cifrado adicional era técnicamente reversible, pero sin el MBR ni la MFT, el sistema era irrecuperable de todas formas.

La conclusión fue unánime entre los investigadores: NotPetya nunca fue diseñado para generar dinero. El componente de ransomware era una tapadera para ocultar la verdadera naturaleza del ataque: destrucción masiva de datos.

El daño: cifras que redefinieron el riesgo cibernético

NotPetya causó pérdidas documentadas sin precedentes en la historia del cibercrimen:

Empresa	Sector	Pérdida estimada	Impacto
Maersk	Transporte marítimo	300 millones USD	45.000 PCs, 4.000 servidores destruidos, 10 días de reconstrucción total
Merck	Farmacéutico	870 millones USD	Producción detenida, pérdida de lotes de vacunas
FedEx (TNT Express)	Logística	400 millones USD	Sistemas de TNT Express irrecuperables durante semanas
Saint-Gobain	Construcción	384 millones USD	Operaciones en 67 países interrumpidas
Mondelez	Alimentación	188 millones USD	Caso judicial histórico contra Zurich Insurance
Reckitt Benckiser	Consumo	129 millones USD	Producción y distribución interrumpidas
Rosneft	Petróleo	No divulgado	Servidores afectados, producción mantenida manualmente
Total estimado		10.000+ millones USD	El ciberataque más costoso de la historia

Maersk merece atención particular. La compañía naviera danesa, responsable del 20% del comercio marítimo mundial, perdió toda su infraestructura IT en menos de una hora. Los 45.000 PCs y 4.000 servidores tuvieron que ser reemplazados. El único controlador de dominio de Active Directory que sobrevivió estaba en una oficina de Ghana que se había quedado sin electricidad durante el ataque (la máquina estaba apagada). Ese único servidor permitió reconstruir toda la infraestructura. Si la oficina de Ghana hubiera tenido electricidad ese día, Maersk habría perdido toda su identidad digital corporativa.

Andy Powell, CISO de Maersk, describió la escena en la sede de Copenhague: "You could walk down the corridors and see screens going black."

Atribución: Sandworm (GRU, Unidad 74455)

NotPetya fue atribuido a Sandworm, la unidad de operaciones cibernéticas ofensivas del GRU (Dirección Principal de Inteligencia del Estado Mayor de las Fuerzas Armadas de Rusia), específicamente a la Unidad 74455.

La atribución se basó en múltiples líneas de evidencia:

1. Vector inicial ucraniano: M.E.Doc era un objetivo exclusivamente útil para atacar a Ucrania, coherente con la guerra de Rusia contra Ucrania (iniciada en 2014 con la anexión de Crimea).

2. Historial de Sandworm: el mismo grupo había ejecutado los ataques contra la red eléctrica de Ucrania en diciembre de 2015 (BlackEnergy) y diciembre de 2016 (Industroyer/CrashOverride), ambos causando apagones.

3. Infraestructura compartida: investigadores de ESET identificaron coincidencias entre la infraestructura de C&C de NotPetya y operaciones anteriores de Sandworm.

4. Atribución oficial: en febrero de 2018, Estados Unidos y Reino Unido atribuyeron públicamente NotPetya al gobierno ruso. La declaración de la Casa Blanca fue directa: "the most destructive and costly cyber-attack in history [...] part of the Kremlin's ongoing effort to destabilize Ukraine."

5. Acusaciones formales: en octubre de 2020, el Departamento de Justicia de Estados Unidos acusó a seis oficiales del GRU (Unidad 74455) por NotPetya, los ataques a la red eléctrica ucraniana, la interferencia en las elecciones francesas de 2017 y el ataque a los Juegos Olímpicos de Invierno de PyeongChang 2018.

Detalle de atribución	Información
Grupo	Sandworm (Voodoo Bear, IRIDIUM, Telebots)
Organización	GRU, Unidad 74455
Sede	Torre de GRU, Khoroshyovskoe, Moscú
Motivación	Destrucción, desestabilización de Ucrania
Acusados formales	6 oficiales del GRU (DOJ, octubre 2020)
Atribución gubernamental	EE.UU., Reino Unido, Australia, Canadá (febrero 2018)

Técnicas MITRE ATT&CK

WannaCry y NotPetya utilizaron técnicas que MITRE ATT&CK cataloga formalmente:

Técnica	ID	Uso en WannaCry	Uso en NotPetya
Exploitation of Remote Services	T1210	EternalBlue para propagación masiva por SMBv1	EternalBlue + EternalRomance para propagación lateral
Data Encrypted for Impact	T1486	Cifrado AES-128-CBC + RSA-2048 de archivos personales	Cifrado Salsa20 de MFT (irrecuperable)
Disk Wipe	T1561	No aplicable (era ransomware real)	Sobrescritura de MBR, destrucción efectiva del disco
Supply Chain Compromise: Software Supply Chain	T1195.002	No aplicable	Compromiso del servidor de actualizaciones de M.E.Doc
OS Credential Dumping	T1003	No utilizado	Mimikatz para extraer credenciales NTLM y Kerberos
Remote Services: SMB/Windows Admin Shares	T1021.002	No utilizado	WMIC y PsExec con credenciales robadas
Inhibit System Recovery	T1490	Eliminación de shadow copies (vssadmin delete shadows)	Eliminación de shadow copies y sobrescritura de MBR

La dimensión jurídica: Mondelez vs. Zurich y la cláusula de "acto de guerra"

NotPetya generó un caso judicial que redefinió la relación entre ciberseguridad y seguros. En 2018, Mondelez International (propietaria de marcas como Oreo y Cadbury) presentó una reclamación de 100 millones de dólares a Zurich Insurance por los daños sufridos durante NotPetya, bajo su póliza de "todo riesgo" para daños a propiedad.

Zurich rechazó la reclamación invocando la exclusión por "actos hostiles o bélicos" (war exclusion clause), argumentando que NotPetya era un ataque del estado ruso y, por tanto, un acto de guerra.

El caso planteó una cuestión sin precedentes: ¿puede un ciberataque atribuido a un estado ser clasificado como "acto de guerra" a efectos de una póliza de seguros, incluso cuando no hay declaración formal de guerra? Si la respuesta era afirmativa, prácticamente ningún ciberataque de un estado nación estaría cubierto por seguros comerciales.

El caso se resolvió extrajudicialmente en 2022, pero su impacto fue profundo. Lloyd's of London emitió en agosto de 2022 una directiva requiriendo que todas las pólizas de ciberseguros incluyeran exclusiones explícitas para ciberataques respaldados por estados. La industria del ciberseguro se transformó permanentemente.

Comparativa técnica: WannaCry vs. NotPetya

Aspecto	WannaCry	NotPetya
Fecha	12 mayo 2017	27 junio 2017
Tipo real	Ransomware (con kill switch)	Wiper disfrazado de ransomware
Vector inicial	Escaneo masivo de Internet (puerto 445)	Supply chain (M.E.Doc update)
Propagación	EternalBlue + DoublePulsar	EternalBlue + EternalRomance + Mimikatz + WMIC/PsExec
Kill switch	Sí (dominio hardcodeado)	No
Recuperación posible	Sí (pago + clave RSA)	No (clave destruida)
Rescate	300 USD (Bitcoin)	300 USD (Bitcoin, decorativo)
Recaudación	~140.000 USD	~10.000 USD
Daño total	Cientos de millones USD	10.000+ millones USD
Atribución	Lazarus Group (Corea del Norte)	Sandworm (GRU ruso, Unidad 74455)
Motivación	Financiera	Destrucción geopolítica
Máquinas afectadas	200.000+ en 150 países	Decenas de miles (daño concentrado pero global)

El legado de 2017

Fin de la inocencia del ransomware

Antes de 2017, el ransomware era percibido como un problema económico: un criminal cifraba tus datos y pedía dinero. WannaCry y NotPetya demostraron que el ransomware podía ser un vector de destrucción masiva, y que la línea entre crimen y operación militar se había borrado.

NotPetya, en particular, estableció un precedente: los estados nación podían usar el formato de ransomware como cobertura plausible para operaciones de destrucción. Si parece ransomware, los primeros análisis asumen motivación financiera, lo que da tiempo al atacante y dificulta la respuesta.

La responsabilidad de las agencias de inteligencia

WannaCry y NotPetya reavivaron el debate sobre la acumulación de vulnerabilidades (vulnerability hoarding) por parte de agencias de inteligencia. Brad Smith, presidente de Microsoft, escribió tras WannaCry:

"Repeatedly, exploits in the hands of governments have leaked into the public domain and caused widespread damage. An equivalent scenario with conventional weapons would be the U.S. military having some of its Tomahawk missiles stolen."

El argumento era directo: la NSA sabía de la vulnerabilidad en SMBv1 durante años y no la reportó a Microsoft. Si lo hubiera hecho, MS17-010 se habría publicado años antes, y tanto WannaCry como NotPetya habrían sido inviables.

Aceleración del parcheo y la segmentación

Tras 2017, el tiempo medio de aplicación de parches críticos en grandes organizaciones se redujo significativamente. Las lecciones fueron claras:

1. Desactivar SMBv1: Microsoft publicó guías para desactivar SMBv1, y Windows 10 Fall Creators Update (octubre 2017) lo deshabilitó por defecto.
2. Segmentación de red: la propagación lateral de NotPetya mediante credenciales robadas demostró que un dominio Active Directory plano (sin segmentación) era una superficie de ataque masiva.
3. Backup offline: tanto WannaCry como NotPetya destruían shadow copies. Los backups offline (no conectados a la red) pasaron de ser buena práctica a requisito absoluto.
4. Protección de credenciales: Mimikatz como componente de NotPetya aceleró la adopción de Credential Guard y la limitación de privilegios de administrador de dominio.

Normas de atribución estatal

WannaCry y NotPetya fueron los primeros ciberataques en recibir atribución pública coordinada por múltiples gobiernos. Antes de 2017, la atribución de ciberataques a estados era un ejercicio técnico reservado a empresas de seguridad (Mandiant, CrowdStrike, Kaspersky). Después de 2017, la atribución se convirtió en una herramienta diplomática: los gobiernos identificaban públicamente al atacante como acto político deliberado, con acusaciones formales del Departamento de Justicia como respaldo.

Este modelo de "name and shame" (identificar y señalar) se aplicó posteriormente a la interferencia electoral rusa (2018), SolarWinds (2020), los ataques de Exchange Server de Hafnium (2021) y múltiples operaciones chinas.

Lecturas recomendadas

Para profundizar en los eventos de 2017 y su contexto, dos libros son referencia esencial:

• "Sandworm" de Andy Greenberg (2019): la investigación definitiva sobre Sandworm y NotPetya. Greenberg, periodista de Wired, rastreó las operaciones del grupo desde los ataques a la red eléctrica ucraniana hasta NotPetya, documentando cómo un grupo del GRU se convirtió en la unidad de ciberoperaciones más destructiva del mundo.

• "This Is How They Tell Me the World Ends" de Nicole Perlroth (2021): Perlroth, durante una década corresponsal de ciberseguridad del New York Times, documenta el mercado de zero-days y cómo la acumulación de exploits por agencias de inteligencia (incluido EternalBlue) creó las condiciones para WannaCry y NotPetya. El libro traza la cadena completa: de la NSA a Shadow Brokers, de Shadow Brokers a Lazarus y Sandworm.

Conclusión: 45 días que cambiaron las reglas

WannaCry y NotPetya, separados por apenas 45 días, representan el momento en que el ransomware dejó de ser solo un problema de crimen organizado para convertirse en un instrumento geopolítico. Un grupo norcoreano armó un exploit robado a la NSA para financiar un régimen aislado. Un grupo ruso usó una actualización de software fiscal ucraniana para ejecutar el ciberataque más costoso de la historia.

Las víctimas no fueron solo las empresas afectadas directamente. El NHS británico, con sus pacientes desviados y sus cirugías canceladas. Los agricultores ucranianos que no pudieron presentar sus declaraciones fiscales. Los puertos de todo el mundo que dejaron de funcionar durante días porque Maersk no podía procesar contenedores.

La ironía definitiva de 2017 es que EternalBlue, la herramienta que hizo posible ambos ataques, fue desarrollada por la NSA para espiar a los enemigos de Estados Unidos. Terminó siendo usada por Corea del Norte para extorsionar a hospitales británicos y por Rusia para destruir la infraestructura digital de medio planeta.

Ningún exploit robado vuelve a guardarse en la caja.