WannaCry: el ransomware que paralizó hospitales en todo el mundo

El titular

12 de mayo de 2017. Viernes. Los hospitales del NHS (National Health Service) de Reino Unido empiezan a apagar pantallas. Aparece un mensaje: "Oops, your files have been encrypted!" Piden 300 USD en Bitcoin. Las ambulancias se desvían. Las cirugías se cancelan. Los pacientes son enviados a casa.

En 24 horas, WannaCry infecta más de 200,000 sistemas en 150 países. Telefónica en España envía a sus empleados a casa. FedEx, Renault, Deutsche Bahn, el Ministerio del Interior ruso. Todos afectados.

Es el primer ransomware que llega a los telediarios de prime time en todo el mundo.

El contexto

EternalBlue: un arma robada

Un mes antes, en abril de 2017, el grupo Shadow Brokers publicó un arsenal de herramientas de la NSA (National Security Agency) robadas del grupo de élite Equation Group. Entre ellas: EternalBlue, un exploit para una vulnerabilidad en el protocolo SMBv1 de Windows (MS17-010).

Microsoft había publicado el parche (MS17-010) en marzo de 2017. Pero millones de sistemas no lo habían aplicado. Hospitales, fábricas, universidades: infraestructura crítica corriendo Windows XP y Windows 7 sin actualizar.

Lazarus Group

WannaCry fue atribuido al Lazarus Group, la unidad de operaciones ciber del RGB (Reconnaissance General Bureau) de Corea del Norte. Lazarus ya era conocido por el hackeo de Sony Pictures (2014) y el robo del banco central de Bangladesh (2016). WannaCry fue su operación más destructiva.

Cómo funcionaba

Propagación: EternalBlue + DoublePulsar

WannaCry tenía dos componentes: un worm y un ransomware.

El worm usaba EternalBlue para explotar SMBv1 en puerto 445. Una vez dentro del sistema, instalaba DoublePulsar (otra herramienta de la NSA) como backdoor y usaba ese backdoor para desplegar el ransomware. Luego escaneaba la red local y la red externa buscando más sistemas vulnerables.

La propagación era completamente automática. No requería phishing, no requería interacción del usuario. Si tu puerto 445 estaba expuesto y no tenías el parche: infectado.

Cifrado

WannaCry cifraba archivos con AES-128-CBC, generando una clave AES por archivo. Cada clave AES se cifraba con RSA-2048 (clave pública embebida en el malware). Sin la clave privada RSA del atacante, la recuperación era imposible.

Archivos afectados: documentos, imágenes, bases de datos, archivos de configuración. 176 extensiones de archivo.

El kill switch

WannaCry contenía un dominio hardcodeado: iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Antes de cifrar, el malware intentaba conectarse a ese dominio. Si la conexión tenía éxito, el malware se detenía. Si fallaba, cifraba.

Los atacantes probablemente lo diseñaron como mecanismo anti-sandbox: en un sandbox de análisis, los dominios suelen resolver a cualquier IP. En un sistema real, un dominio no registrado no resuelve. El malware asumía que si el dominio resolvía, estaba en un sandbox y no debía ejecutarse.

El kill switch de Marcus Hutchins

Marcus Hutchins (@MalwareTechBlog), un investigador de malware británico de 22 años, estaba analizando una muestra de WannaCry cuando encontró el dominio del kill switch. Lo registró por 10.69 USD "para ver qué pasaba".

Al registrar el dominio, todos los sistemas infectados que intentaban conectarse al kill switch ahora recibían respuesta. WannaCry se detenía. La propagación global se frenó en seco.

Hutchins no sabía que registrar ese dominio salvaría potencialmente millones de sistemas. Lo descubrió después, cuando los equipos de respuesta confirmaron que la tasa de nuevas infecciones cayó drásticamente tras el registro.

Hutchins fue celebrado como héroe. Meses después, sería arrestado por el FBI por su participación anterior en el desarrollo del troyano bancario Kronos. Una historia compleja que cubrimos en el artículo sobre su caso.

El impacto

NHS (Reino Unido)

• 80 de 236 trusts hospitalarios afectados
• 19,000 citas canceladas, incluidas 139 pacientes de urgencia redirigidos
• 600 consultas de médicos de cabecera afectadas
• Coste estimado: 92 millones de libras
• Ningún dato de paciente fue robado (WannaCry solo cifraba, no exfiltraba)

Global

• 200,000+ sistemas infectados en 150 países
• Daños estimados: 4,000-8,000 millones USD
• Organizaciones afectadas: Telefónica, FedEx, Renault, Nissan, Deutsche Bahn, PetroChina, Ministerio Interior Rusia
• Bitcoin recaudado: ~140,000 USD (trivial comparado con el daño)

Geopolítico

• EEUU y UK atribuyeron formalmente a Corea del Norte (diciembre 2017)
• Park Jin Hyok (Lazarus) acusado por DOJ en septiembre 2018
• Debate global sobre responsabilidad de la NSA por desarrollar y perder EternalBlue

Las lecciones

1. Parchear importa

MS17-010 llevaba 2 meses publicado cuando WannaCry explotó. Los sistemas que tenían el parche aplicado eran inmunes. WannaCry fue un desastre de gestión de parches, no de tecnología.

2. Las ciberarmas se escapan

La NSA desarrolló EternalBlue como arma ofensiva. Shadow Brokers la robó y publicó. Lazarus la usó en WannaCry. Las ciberarmas, a diferencia de las armas convencionales, son código: una vez filtradas, cualquiera puede usarlas.

3. SMBv1 debería estar muerto

WannaCry aceleró la deprecación de SMBv1. Microsoft lo desactivó por defecto en Windows 10 Fall Creators Update (octubre 2017). En 2026, SMBv1 sigue habilitado en sistemas legacy en demasiadas organizaciones.

4. Los kill switches son accidentales, no diseño

WannaCry tenía un kill switch porque los atacantes cometieron un error de diseño (confundir anti-sandbox con kill switch global). No confíes en que el próximo ransomware tenga la misma debilidad.

Estado actual

WannaCry original: neutralizado por kill switch. Variantes sin kill switch: circulan en sistemas sin parchear. EternalBlue: sigue siendo explotado activamente en 2026 contra sistemas sin MS17-010. Lazarus Group: sigue activo, enfocado en robo de criptomonedas (hackeos de Ronin Network, Atomic Wallet, Stake.com).